Bundesrat will Melde­pflicht bei Cyber­angriffen auf kritische Infrastruktur

12. Januar 2022, 14:23
  • politik & wirtschaft
  • security
  • regulierung
  • gesetz
image

Besteht ein erhebliches Schadenspotential, müssen Angriffe dem NCSC gemeldet werden. Dieses soll künftig Analysen durchführen und Empfehlungen abgeben.

Der Bundesrat hat die Vernehmlassung zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen eröffnet. Die Vorlage schaffe die gesetzlichen Grundlagen für die Meldepflicht und definiere die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC). Das Zentrum sei als zentrale Meldestelle vorgesehen, so eine Mitteilung.
Das NCSC erhalte jede Woche durchschnittlich 300 Meldungen zu erfolgreichen oder versuchten Cyberangriffen. Diese helfen dem NCSC, die Bedrohungslage besser einschätzen und aktuelle Angriffsmuster erkennen zu können. Nun soll das Meldewesen gestärkt werden, indem Betreiber von kritischen Infrastrukturen verpflichtet werden, dem NCSC Cyberangriffe  zu melden.
Über die Meldepflicht solle sichergestellt werden, dass das NCSC über umfassende Informationen und ein aktuelles Lagebild verfügt. So solle es auch andere Betreibende kritischer Infrastrukturen frühzeitig vor Cyberangriffen warnen können, schreibt der Bundesrat.

"Erhebliches Schadenspotenzial"

Die Meldepflicht für Betreiber kritischer Infrastrukturen soll für solche Angriffe gelten, die ein erhebliches Schadenspotential aufweisen, wird in der Mitteilung ausgeführt. Dies seien insbesondere Angriffe, die die Funktionsfähigkeit gefährden oder mit Erpressung, Drohung oder Nötigung verbunden sind.

Mehr Aufgaben für das NCSC

Die Vorlage verpflichte aber nicht nur die Unternehmen zur Mitwirkung beim Schutz vor Cyberangriffen, schreibt der Bundesrat, sondern definiere auch die Aufgaben der Verwaltung zum Schutz von Wirtschaft und Bevölkerung.
Zu diesem Zweck werde das NCSC beauftragt, die Öffentlichkeit vor Cyberbedrohungen zu warnen und sie für Risiken zu sensibilisieren. Zudem soll das NCSC Meldungen nicht nur entgegennehmen, sondern auch technische Analysen durchführen und den Meldenden Empfehlungen zum weiteren Vorgehen abgeben.
Bis anhin seien die Aufgaben des Bundes beim Schutz vor Cyberrisiken nicht auf Gesetzesstufe definiert gewesen. Mit der Verankerung der Meldepflicht im Informationssicherheitsgesetz (ISG) sollen nun auch die Aufgaben des NCSC, insbesondere auch dessen Zuständigkeit als Meldestelle, im ISG festgelegt werden.
Die Vernehmlassung zur Vorlage dauert bis zum 14. April 2022.

Was heisst kritische Infrastruktur?

Im Gesetz wird auch definiert, für welche Unternehmen und Organisationen die Meldepflicht gelten soll. Grundlage sind die in der Nationalen Strategie zum Schutz kritischer Infrastrukturen aufgeführten Teilsektoren. Dazu gehören unter anderem Energieversorger, Banken, Spitäler, Hochschulen sowie Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit, Rettung oder Trinkwasserversorgung.
Ebenso gelistet werden Anbieter von Fernmeldediensten, Online-Marktplätzen, Cloudcomputing und weiteren digitalen Services sowie Registrare von Domain-Namen und RZ-Betreiber in der Schweiz, falls die Dienste über eine grosse Userzahl verfügen oder eine hohe Bedeutung für die Wirtschaft haben.
Zu den "weiteren digitalen Diensten" gehören beispielsweise Angebote in den Bereichen Identitätsmanagement, Signaturen oder E-Voting, wie aus dem erläuternden Bericht hervorgeht.
Hinzu kommen auchHersteller von Hard- und Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Produkte einen Fernwartungszugang haben oder zur Steuerung und Überwachung von Systemen verwendet werden können.

Loading

Mehr zum Thema

image

Mutmasslicher Cyberangriff auf den Vatikan

Russische Hacker sollen verschiedene Websites des Zwergstaates angegriffen haben, weil der Papst den Angriffskrieg in der Ukraine als "grausam" bezeichnete.

publiziert am 1.12.2022
image

Neues digitales Organspenderegister soll 2025 kommen

Das BAG prüft in einer internen Studie verschiedene Umsetzungsvarianten eines neuen digitalen Organspenderegisters – mit und ohne staatliche E-ID.

publiziert am 30.11.2022 2
image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

Datenschutzbedenken wegen M365: Microsoft wehrt sich heftig

In Deutschland, Frankreich und der Schweiz stehen M365-Anwendungen in der Kritik der Datenschützer. Microsoft erklärt, die Bedenken seien "dogmatischer Selbstzweck".

publiziert am 30.11.2022 1