Bund prüft die Einführung einer Meldepflicht für Cybervorfälle

Der Bund prüft, ob Betreiber von kritischen Infrastrukturen wie Gesundheit, Wasserversorgung, Ernährung, Energie, Telekommunikation sowie Sicherheitstechnik künftig Cyberangriffe auf ihre Systeme melden müssen. Bis Ende 2020 will er einen Grundsatzentscheid treffen.
13.12.2019 13:00

Den Prüfauftrag zur Einführung einer Meldepflicht für Cybervorfälle hatte der Bundesrat vor zwei Jahren vom Nationalrat erhalten. Konkret sollte die Regierung prüfen, wie und aufgrund welcher Kriterien die Betreiber von kritischen Infrastrukturen einer allgemeinen Meldepflicht bei potenziell schwerwiegenden Sicherheitsvorfällen unterstellt werden könnten.

Edith Graf-Litscher (SP/TG) begründete ihren Vorstoss damit, dass Meldungen systematisch ausgewertet und gestützt darauf Frühwarn-, Beratungs- und Abwehrsysteme aufgebaut werden könnten. Nun hiess der Bundesrat einen Bericht gut, der verschiedene Varianten für Meldepflichten aufzeigt. Entschieden ist noch nichts. Aber der Bericht soll die Basis bilden für mögliche weitere Schritte.

Freiwillig oder obligatorisch?

Heute erfolgt der Austausch zu Cybervorfällen auf freiwilliger Basis über die Melde- und Analysestelle Informationssicherung (Melani). "Angesichts der raschen Entwicklung der Cyberrisiken stellt sich die Frage, ob dieser freiwillige Austausch genügt, um Bedrohungen frühzeitig und sektorenübergreifend zu erkennen", schreibt der Bundesrat.

Geklärt werden müsse auch die Frage, ob Cybervorfälle einer separaten Stelle gemeldet werden müssen oder ob die in den Sektoren teilweise schon bestehenden Meldestellen für Sicherheitsvorfälle ergänzt werden sollen, schreibt der Bundesrat.

Vier Varianten

Abhängig von dieser Organisationsstruktur sei zu beurteilen, ab welchem Ausmass Vorfälle meldepflichtig sind, welche Fristen für die Meldung gelten, ob Meldungen anonym abgegeben werden können und ob Sanktionen für den Unterlassungsfall definiert werden.

Vier Varianten stehen zur Wahl: die Einführung einer zentralen Meldestelle für sicherheitsrelevante Vorfälle; der Auf- und Ausbau der bisherigen dezentralen Meldestellen in den Sektoren; dezentrale Meldestellen mit zentraler Meldestelle für Cybervorfälle oder keine Meldepflicht.

Vorentscheid bis Sommer 2020

Diese Grundmodelle werden nun mit Vertretern der Wirtschaft, der Kantone, den zuständigen Regulatoren und der Politik weiter vertieft. Dazu gehört es auch, im Detail abzuklären, welche gesetzgeberischen Schritte für welches Modell nötig wären.

Die Diskussionen werden im ersten Halbjahr 2020 unter der Leitung des Delegierten des Bundes für Cybersicherheit geführt. Ziel der Diskussionen ist es, sich darauf zu einigen, welches Modell von Meldepflichten für die Schweiz umgesetzt werden soll, sodass ab Sommer 2020 mit der Erarbeitung der entsprechenden gesetzlichen Grundlagen begonnen werden kann.

(AWP)