Meldepflicht für Cyberangriffe auf kritische Infrastrukturen könnte bald Realität werden
Der Bundesrat hat einen Gesetzesentwurf zur Einführung einer Meldepflicht für Cyberangriffe in die Vernehmlassung geschickt. Der Gesetzesentwurf schafft Grundlagen und definiert weiter auch die Aufgaben des NCSC.
Der Bundesrat schickt einen Entwurf für eine Gesetzesänderung im Bereich der Cybersicherheit in die Vernehmlassung. Dabei geht es nicht nur darum, kritische Infrastrukturen zur Meldung von Cyberangriffen zu verpflichten. Der Entwurf soll auch die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC) auf Gesetzesebene definieren. Insbesondere bezüglich der möglichen Unterstützung zur Bewältigung von Cybervorfällen, wie es in einer Mitteilung heisst.
Das Eidgenössische Finanzdepartement (EFD) wurde im Dezember 2020 mit der Ausarbeitung dieses Projekts beauftragt. Derzeit sind die Betreiber kritischer Infrastrukturen in der Schweiz nicht verpflichtet, einen möglichen Cyberangriff offenzulegen. Die Meldung erfolgt auf freiwilliger Basis.
Unterstützung im Sinn einer "erste Hilfe"
Der Entwurf legt zudem auf Gesetzesebene die Aufgaben des NCSC bei der Unterstützung der Wirtschaft und Bevölkerung fest. Das Zentrum soll Meldungen entgegen nehmen, Analysen durchführen sowie die weitere Vorgehensweise nach einer Attacke empfehlen. Darüber hinaus wird das NCSC die Betreiber kritischer Infrastrukturen unterstützen, indem es ihnen bei der Bewältigung von Cybervorfällen hilft. "Diese Unterstützung wird im Sinne einer ersten Hilfe erfolgen und darf nicht mit den auf dem Markt verfügbaren Leistungen konkurrieren", heisst es in der Mitteilung des EFD.
Die betroffenen Unternehmen
Auf den ersten Blick betrifft der in die Konsultation gegebene Vorentwurf KMUs nicht. Er gilt zudem nur für Cyberangriffe mit einem grossen Schadenspotenzial. Der Text weist jedoch darauf hin, dass ein relativ breites Spektrum an Unternehmen und Organisationen betroffen sein können. Der Begriff "kritische Infrastrukturen" umfasst nicht nur Energieversorgungsunternehmen, Krankenhäuser, die Zivilluftfahrt oder Telekommunikationsanbieter. Auch Hochschulen, Behörden aller föderalen Ebenen, Banken, Versicherungen und Finanzmarktinfrastrukturen sind mitgemeint. Zu dieser Definition hinzu kommen Hersteller von Hard- und Software sowie Anbieter von digitalen Diensten, die "über das Internet Dienste anbieten, die von einer grossen Zahl von Nutzern in der Schweiz nachgefragt werden".
Übrigens: Das NCSC blickt zurück auf die häufigsten Cyberbedrohungen des vergangenen Jahres. 2021 sind über 21'000 Meldungen zu Vorfällen eingegangen. Etwas fiel dabei besonders auf, wie Sie hier nachlesen können.