Auch der Nationalrat will Betreiber kritischer Infrastrukturen nicht zur Meldung schwerwiegender Schwachstellen verpflichten. Damit folgt er bei der Änderung des Informationssicherheitsgesetzes der Position des Ständerates.
Betreiber kritischer Infrastrukturen müssen Cyberangriffe mit grossem Schadenspotenzial künftig dem Bund melden. So will es der Nationalrat, der sich im Differenzbereinigungsverfahren um die Meldepflicht-Vorlage der Auffassung des Ständerates angeschlossen hat. Der Umfang der Meldepflicht dürfte sich damit künftig auf diese Angriffe beschränken. Schwerwiegende Schwachstellen müssen nach dem Wunsch beider Kammern – im Gegensatz zur ursprünglichen Fassung der Vorlage – auch künftig nicht gemeldet werden.
Bevor die Änderung des Informationssicherheitsgesetzes in Kraft treten kann, müssen ihr noch beide Räte zustimmen. Die Schlussabstimmung ist für das Ende der Herbstsession vorgesehen.
Busse bis zu 100‘000 CHF
Die bereinigte Vorlage sieht im Weiteren vor, dass Betreiber kritischer Infrastrukturen, die es vorsätzlich unterlassen, einen Angriff zu melden, mit bis zu 100'000 Franken gebüsst werden können. Als zentrale Meldestelle für Cybervorfälle funktioniert dabei das Nationale Zentrum für Cybersicherheit (NCSC). Unternehmen und Organisationen, die einen Vorfall melden wollen, können dies künftig über ein elektronisches Meldeformular tun.
Die Vorlage für die Meldepflicht war vom Bundesrat im Dezember 2022 in Auftrag gegeben worden. Sie soll helfen, der zunehmenden Anzahl Cybervorfälle zu begegnen und damit einen Beitrag zur Cybersicherheit in der Schweiz leisten, so der Bundesrat in seiner Botschaft zur Vorlage. Dank der Meldepflicht sollen Angriffe künftig frühzeitig entdeckt und Angriffsmuster analysiert werden können.
In die Kategorie «Betreiber kritischer Infrastrukturen» fallen Organisationen und Unternehmen wie unter anderem Bundesrat und Parlament, die Armee, Hochschulen, Banken, Gesundheits- und Energieversorger, oder Bahnunternehmen.
Eine Meldepflicht allein genügt nicht
So sinnvoll eine Meldepflicht auch ist – ohne weiterreichende Schutzmassnahmen ist die Cyberabwehr von Unternehmen und Organisationen ineffektiv. Oft genügen allerdings schon einfache Massnahmen, um ein grundlegendes Sicherheitsniveau zu schaffen. Bereits durch die Installation einer Antiviren-Software, wie Bitdefender, lassen sich beispielsweise Ransomware- und Phishing-Angriffe effizient und mit geringem Aufwand abwehren. Ein derartiges Programm eignet sich damit ideal für eine Kombination mit anderen Massnahmen im Bereich IT-Sicherheit.
