Bundesrat will Melde­pflicht bei Cyber­angriffen auf kritische Infrastruktur

12. Januar 2022, 14:23
  • politik & wirtschaft
  • security
  • regulierung
  • gesetz
image

Besteht ein erhebliches Schadenspotential, müssen Angriffe dem NCSC gemeldet werden. Dieses soll künftig Analysen durchführen und Empfehlungen abgeben.

Der Bundesrat hat die Vernehmlassung zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen eröffnet. Die Vorlage schaffe die gesetzlichen Grundlagen für die Meldepflicht und definiere die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC). Das Zentrum sei als zentrale Meldestelle vorgesehen, so eine Mitteilung.
Das NCSC erhalte jede Woche durchschnittlich 300 Meldungen zu erfolgreichen oder versuchten Cyberangriffen. Diese helfen dem NCSC, die Bedrohungslage besser einschätzen und aktuelle Angriffsmuster erkennen zu können. Nun soll das Meldewesen gestärkt werden, indem Betreiber von kritischen Infrastrukturen verpflichtet werden, dem NCSC Cyberangriffe  zu melden.
Über die Meldepflicht solle sichergestellt werden, dass das NCSC über umfassende Informationen und ein aktuelles Lagebild verfügt. So solle es auch andere Betreibende kritischer Infrastrukturen frühzeitig vor Cyberangriffen warnen können, schreibt der Bundesrat.

"Erhebliches Schadenspotenzial"

Die Meldepflicht für Betreiber kritischer Infrastrukturen soll für solche Angriffe gelten, die ein erhebliches Schadenspotential aufweisen, wird in der Mitteilung ausgeführt. Dies seien insbesondere Angriffe, die die Funktionsfähigkeit gefährden oder mit Erpressung, Drohung oder Nötigung verbunden sind.

Mehr Aufgaben für das NCSC

Die Vorlage verpflichte aber nicht nur die Unternehmen zur Mitwirkung beim Schutz vor Cyberangriffen, schreibt der Bundesrat, sondern definiere auch die Aufgaben der Verwaltung zum Schutz von Wirtschaft und Bevölkerung.
Zu diesem Zweck werde das NCSC beauftragt, die Öffentlichkeit vor Cyberbedrohungen zu warnen und sie für Risiken zu sensibilisieren. Zudem soll das NCSC Meldungen nicht nur entgegennehmen, sondern auch technische Analysen durchführen und den Meldenden Empfehlungen zum weiteren Vorgehen abgeben.
Bis anhin seien die Aufgaben des Bundes beim Schutz vor Cyberrisiken nicht auf Gesetzesstufe definiert gewesen. Mit der Verankerung der Meldepflicht im Informationssicherheitsgesetz (ISG) sollen nun auch die Aufgaben des NCSC, insbesondere auch dessen Zuständigkeit als Meldestelle, im ISG festgelegt werden.
Die Vernehmlassung zur Vorlage dauert bis zum 14. April 2022.

Was heisst kritische Infrastruktur?

Im Gesetz wird auch definiert, für welche Unternehmen und Organisationen die Meldepflicht gelten soll. Grundlage sind die in der Nationalen Strategie zum Schutz kritischer Infrastrukturen aufgeführten Teilsektoren. Dazu gehören unter anderem Energieversorger, Banken, Spitäler, Hochschulen sowie Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit, Rettung oder Trinkwasserversorgung.
Ebenso gelistet werden Anbieter von Fernmeldediensten, Online-Marktplätzen, Cloudcomputing und weiteren digitalen Services sowie Registrare von Domain-Namen und RZ-Betreiber in der Schweiz, falls die Dienste über eine grosse Userzahl verfügen oder eine hohe Bedeutung für die Wirtschaft haben.
Zu den "weiteren digitalen Diensten" gehören beispielsweise Angebote in den Bereichen Identitätsmanagement, Signaturen oder E-Voting, wie aus dem erläuternden Bericht hervorgeht.
Hinzu kommen auchHersteller von Hard- und Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Produkte einen Fernwartungszugang haben oder zur Steuerung und Überwachung von Systemen verwendet werden können.

Loading

Mehr zum Thema

image

Chipkonzern Micron will 40 Milliarden Dollar in US-Produktionsanlagen stecken

Das US-Gesetz zur Förderung der Halbleiter-Produktion trägt erste Früchte.

publiziert am 9.8.2022
image

Bund sichert sich Printer und Zubehör für 80 Millionen Franken

An papierlos ist noch lange nicht zu denken. HP wird die nächsten Jahre für die Drucker der Verwaltung zuständig sein. Ein kleiner Teil des Auftrags geht daneben an Canon.

publiziert am 9.8.2022
image

ICT-Ausgaben in Europa wachsen solide weiter

Der Krieg in der Ukraine und Lieferkettenprobleme beeinträchtigen gemäss IDC den Hardwaremarkt, aber der Softwarebereich wächst ungebrochen.

publiziert am 9.8.2022
image

Post erwirbt Mehrheit an EPD-Betreiber Axsana

Der Konzern erhofft sich mit dem Zukauf einen Schub für das elektronische Patientendossier und will eine einheitliche Infrastruktur schaffen.

publiziert am 9.8.2022