Bericht «Varianten für Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen»

Einleitung

In einer Sitzung vom 13.12.2019 hat der Bundesrat den Bericht «Varianten für Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen» gutgeheissen. Der Bericht beschreibt offene Fragen im Bezug auf die Einführung von Meldepflichten von Cybervorfällen und zeigt mögliche Modelle zur Umsetzung auf. Der Bundesrat möchte bis Ende 2020 über die Einführung von Meldepflichten entscheiden.

Bisherige Situation

Bis anhin kennt die Schweiz keine Meldepflichten für Cybervorfälle. Über die Melde- und Analysestelle Informationssicherung (MELANI) erfolgt der Austausch zu Cybervorfällen bis dato auf freiwilliger Basis. Aufgrund der letzten Entwicklungen im Bereich der Cybersicherheit stellt sich allerdings die Frage, ob ein freiwilliger Austausch genüge, um Bedrohungen, gerade im Bereich von kritischen Infrastrukturen wie Energieversorgung, Telekommunikation oder Finanz- und Versicherungswesen, genüge, um Bedrohungen frühzeitig zu erkennen. In der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) wird deshalb festgehalten, dass die Einführung von Meldepflichten zu prüfen ist. Weiter hat das Parlament vom Bundesrat die Prüfung verlangt, wie Meldepflichten für Sicherheitsvorfälle bei kritischen Infrastrukturen eingeführt werden könnten.

Möglichkeiten der Umsetzung

Der Bericht «Varianten für Meldepflichten für kritische Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen» skizziert nun erste Ergebnisse dieser Prüfung, wobei die Ergebnisse der bisherigen Arbeiten zusammengefasst und Varianten zur Einführung von Meldepflichten dargelegt werden. Dabei basiert der Bericht insbesondere auf heute bereits bestehenden Meldepflichten für Sicherheitsvorfälle, den Erkenntnissen aus Interviews mit Expertinnen und Experten und den Analysen von Meldepflichten in anderen Ländern. Dabei ist die Frage zentral, ob Cybervorfälle einer separaten Stelle gemeldet werden müssen oder ob die in den Sektoren teilweise schon bestehenden Meldestellen für Sicherheitsvorfälle zu ergänzen sind. Ab welchem Ausmass Vorfälle meldepflichtig sind, welche Fristen für die Meldung gelten, ob Meldungen anonym abgegeben werden können und ob Sanktionen für den Unterlassungsfall definiert werden ist indessen wesentlich von der genannten Organisationsstruktur abhängig.

Entscheid bis Ende 2020 zu erwarten

Die genannten Fragen sollen im Weiteren vom Bundesrat, dem neu geschaffene Nationale Zentrum für Cybersicherheit im Eidgenössischen Finanzdepartement (EFD) und dem Bundesamt für Bevölkerungsschutz (BABS) abgeklärt werden. Bis Ende 2020 soll dem Bundesrat eine Vorlage unterbreitet werden, welche die Grundsatzentscheide zu den Meldepflichten von kritischen Infrastrukturen ermöglicht.

Quelle

LawMedia-Redaktionsteam

The following two tabs change content below.

LawMedia Redaktion

Redakteur bei LAWMEDIA
Artikel der LAWMEDIA Redaktion. Weitere Informationen zur LAWMEDIA unter lawmedia.ch.   » Alle Artikel der LAWMEDIA Redaktion