Früherkennung der Bundesrat will eine generelle Meldepflicht bei Cyberangriffen

Früherkennung: der Bundesrat will eine generelle Meldepflicht bei Cyberangriffen

Für Betreiberinnen und Betreiber kritischer Infrastrukturen gilt bei Cyberangriffen künftig eine allgemeine Meldepflicht. Die entsprechende Gesetzesvorlage wird derzeit im Auftrag des Bundesrates ausgearbeitet. Ziel des Bundesrates ist es, eine Art Frühwarnsystem zu schaffen.

Für Funktionsausfälle bestehen in einigen Sektoren bereits heute Meldepflichten, eine generelle Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen, beispielsweise in der Energieversorgung oder der Telekommunikation, gibt es jedoch nicht. Das nationale Zentrum zum Schutz vor Cyberrisiken NCSC hat nun geprüft, ob die Einführung einer solchen Meldepflicht Sinn macht und was sie beinhalten könnte. Parallel dazu wurde vom Bundesamt für Bevölkerungsschutz (BABS) die Einführung bzw. der Ausbau von Meldepflichten für Funktionsausfälle bei kritischen Infrastrukturen geprüft, wie es in einer Medienmitteilung heisst.

Am vergangenen Freitag hat der Bundesrat die entsprechenden Prüfungsergebnisse zur Kenntnis genommen und über das weitere Vorgehen entschieden.

Ausarbeitung bis Ende 2021

Der nächste Schritt ist nun die Schaffung einer rechtlichen Grundlage für eine Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen sowie bei Entdeckung von Sicherheitslücken. Den Auftrag zur Ausarbeitung einer entsprechenden Vernehmlassungsvorlage hat das Eidg. Finanzdepartement (EFD) erhalten. Die Arbeiten sollen laut der Mitteilung bis Ende 2021 abgeschlossen sein, so die Mitteilung weiter.

Einerseits gilt es, eine zentrale und für alle Sektoren einheitliche Meldestelle auf Gesetzesstufe festzulegen, andererseits müssen die Kriterien und Fristen für entsprechende Meldungen definiert werden. Anschliessend werden die konkreten Bestimmungen nach Sektoren in Erlassen festgelegt, wobei es bereits bestehende Meldepflichten und ihre Kriterien zur berücksichtigen gilt.

Mehr Sicherheit dank Frühwarnsystem

Mit der Schaffung einer Meldestelle und einer Meldepflicht verfolgt der Bundesrat das übergeordnete Ziel, die Bedrohungslage für die Schweiz künftig besser einschätzen zu können und damit die Sicherheit des Landes zu stärken. Laut der Mitteilung sollen die bei der Stelle eingehenden Meldungen sowie in diesem Zusammenhang erhobene Daten genutzt werden, um Angriffsmethoden frühzeitig zu erkennen und Frühwarnungen abzusetzen. Die Daten der Betroffenen werden nicht weitergegeben.

Weiter will der Bundesrat, dass die Departemente − koordiniert durch das BABS − Vorschläge erarbeiten, wie Meldepflichten für Funktionsausfälle von kritischen Infrastrukturen auf- oder ausgebaut werden können. Dies allerdings im Rahmen der bestehenden, rechtlichen Grundlagen.