Das Parlament hat die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen beschlossen. Dank der Meldepflicht erhält das BACS künftig eine bessere Übersicht über die in der Schweiz erfolgten Cyberangriffe und die Vorgehensweisen der Angreifer. Die Umsetzung der Meldepflicht wird in der Cybersicherheitsverordnung (CSV) festgelegt. Diese befindet sich aktuell noch in der Vernehmlassung, welche bis zum 13. September 2024 dauert.
Erfolgreiche Cyberangriffe können weitreichende Folgen für die Verfügbarkeit und Sicherheit der Schweizer Wirtschaft haben. Die Bevölkerung, Behörden und Unternehmen sind täglich dem Risiko eines Cyberangriffs ausgesetzt. Heute fehlt eine Übersicht darüber, welche Angriffe wo stattgefunden haben, da Meldungen an das BACS nur auf freiwilliger Basis erfolgen. Dank einer Meldepflicht erhält das BACS künftig eine bessere Übersicht über die in der Schweiz erfolgten Cyberangriffe und die Vorgehensweisen der Angreifer. Dadurch wird eine bessere Einschätzung der Bedrohungslage möglich und Betreiberinnen und Betreiber kritischer Infrastrukturen können frühzeitig gewarnt werden.
Meldepflicht im ISG verankert
Bereits bei der Erstellung der «Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken 2018 – 2022» wurde gefordert, dass die Machbarkeit der Einführung einer Meldepflicht geprüft werde. Der Bundesrat hat 2021 beschlossen, die gesetzlichen Grundlagen für die Einführung einer Meldepflicht zu schaffen und diese als Änderung des Gesetzes über die Informationssicherheit (ISG) umzusetzen. Am 12. Januar 2022 hat er die Vernehmlassung zur Änderung des ISG in die Vernehmlassung gegeben. Diese hat gezeigt, dass eine Meldepflicht von Wirtschaft, Forschung und Kantonen grundsätzlich begrüsst wird. Am 2. Dezember 2022 hat der Bundesrat die Botschaft zur Änderung des ISG zur Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen verabschiedet. Die Änderungen des ISG wurden schliesslich am 29. September 2023 vom Parlament beschlossen.
Vernehmlassung der Cybersicherheitsverordnung
Mit der Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV) legt der Bundesrat dar, wie er die Meldepflicht künftig umsetzen will und welche Stellen davon ausgenommen werden. So regelt die Verordnung die Ausnahmen von der Meldepflicht für Behörden und Organisationen, definiert die meldepflichtigen Cyberangriffe und legt fest, welche Inhalte gemeldet werden müssen. Sie schreibt auch die Verfahren für die Erfüllung der Meldepflicht vor und legt die Frist und den Abschluss der Meldung fest.
Der Bundesrat hat am 22. Mai 2024 die Vernehmlassung zur Verordnung über die Cybersicherheit eröffnet. Diese dauerte bis am 13. September 2024.
Damit für die Betroffenen ersichtlich wird, wie die Meldepflicht künftig umgesetzt werden soll, hat das BACS einen Entwurf für das Meldeformular erstellt. Darin ist ersichtlich, welche Angaben in welcher Form verlangt werden. Das Formular ist aktuell als Dokument verfügbar, es wird bei Inkrafttreten der Meldepflicht als Online-Formular auf dem Cyber-Security Hub des BACS verfügbar sein.
Nächste Schritte:
Nach der Vernehmlassung wird die Cybersicherheitsverordnung dem Bundesrat unterbreitet. Die Einführung der Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen wird voraussichtlich im Laufe des ersten Halbjahres 2025 erfolgen.
Weiterführende Informationen
Letzte Änderung 24.09.2024