Cyberangriffe auf kritische Infrastrukturen: Bundesrat will Meldepflicht

Derzeit sind die Betreiber kritischer Infrastrukturen in der Schweiz nicht verpflichtet, einen möglichen Cyberangriff zu melden. Die Meldung erfolgt auf freiwilliger Basis über das National Centre for Cybersecurity (NCSC). Der Bundesrat will dies nun ändern und hat das Eidgenössische Finanzdepartement (EFD) damit beauftragt, einen Gesetzesentwurf in die Vernehmlassung zu geben.

Bei kritischen Infrastrukturen handelt es sich um Prozesse, Systeme und Anlagen, die für das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung unerlässlich sind. Sie umfassen insgesamt neun Bereiche und Sektoren: Lebensmittel, Behörden, Abfallentsorgung, Energie, Finanzen und Versicherungen, Gesundheit, öffentliche Sicherheit, Informations- und Kommunikationstechnik sowie Transport.

Bis Ende 2021 soll das EFD einen Entwurf ausarbeiten, der eine rechtliche Grundlage für die Einführung einer Meldepflicht für kritische Infrastrukturen bei Cyberangriffen und die Aufdeckung von Sicherheitsverletzungen schafft. "Das Gesetz wird zu diesem Zweck eine zentrale Registrierungsstelle benennen und einheitliche Kriterien für alle Sektoren festlegen, um zu bestimmen, wer welche Vorfälle innerhalb welcher Zeitspanne melden muss", heisst es in der Mitteilung der Behörden. Ziel eines solchen Informationsaustausches sei es, Angriffsmethoden frühzeitig zu erkennen, die Sicherheit der Schweiz zu stärken und die Bedrohung besser einzuschätzen. Der Bundesrat betont, dass die Urheber der Statements nicht bekannt gegeben werden.

Auch die Schweizer Armee muss für Cyberangriffe gewappnet sein. Wie sie das tut, hat der Bundesrat kürzlich in einem Bericht zusammengefasst. Der Bericht ist die Antwort auf ein Postulat von Marc Dobler aus dem Jahr 2017.