LAWNEWS

Internetrecht / Internet

QR Code

Einführung einer Meldepflicht für Cybervorfälle wird von Bund geprüft

Datum:
17.12.2019
Rubrik:
Gesetzgebung
Rechtsgebiet:
Internetrecht
Stichworte:
Internet, Melani
Autor:
LawMedia Redaktion
Verlag:
LAWMEDIA AG

Bericht «Varianten für Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen»

Einleitung

In einer Sitzung vom 13.12.2019 hat der Bundesrat den Bericht «Varianten für Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen» gutgeheissen. Der Bericht beschreibt offene Fragen im Bezug auf die Einführung von Meldepflichten von Cybervorfällen und zeigt mögliche Modelle zur Umsetzung auf. Der Bundesrat möchte bis Ende 2020 über die Einführung von Meldepflichten entscheiden.

Bisherige Situation

Bis anhin kennt die Schweiz keine Meldepflichten für Cybervorfälle. Über die Melde- und Analysestelle Informationssicherung (MELANI) erfolgt der Austausch zu Cybervorfällen bis dato auf freiwilliger Basis. Aufgrund der letzten Entwicklungen im Bereich der Cybersicherheit stellt sich allerdings die Frage, ob ein freiwilliger Austausch genüge, um Bedrohungen, gerade im Bereich von kritischen Infrastrukturen wie Energieversorgung, Telekommunikation oder Finanz- und Versicherungswesen, genüge, um Bedrohungen frühzeitig zu erkennen. In der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) wird deshalb festgehalten, dass die Einführung von Meldepflichten zu prüfen ist. Weiter hat das Parlament vom Bundesrat die Prüfung verlangt, wie Meldepflichten für Sicherheitsvorfälle bei kritischen Infrastrukturen eingeführt werden könnten.

Möglichkeiten der Umsetzung

Der Bericht «Varianten für Meldepflichten für kritische Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen» skizziert nun erste Ergebnisse dieser Prüfung, wobei die Ergebnisse der bisherigen Arbeiten zusammengefasst und Varianten zur Einführung von Meldepflichten dargelegt werden. Dabei basiert der Bericht insbesondere auf heute bereits bestehenden Meldepflichten für Sicherheitsvorfälle, den Erkenntnissen aus Interviews mit Expertinnen und Experten und den Analysen von Meldepflichten in anderen Ländern. Dabei ist die Frage zentral, ob Cybervorfälle einer separaten Stelle gemeldet werden müssen oder ob die in den Sektoren teilweise schon bestehenden Meldestellen für Sicherheitsvorfälle zu ergänzen sind. Ab welchem Ausmass Vorfälle meldepflichtig sind, welche Fristen für die Meldung gelten, ob Meldungen anonym abgegeben werden können und ob Sanktionen für den Unterlassungsfall definiert werden ist indessen wesentlich von der genannten Organisationsstruktur abhängig.

Entscheid bis Ende 2020 zu erwarten

Die genannten Fragen sollen im Weiteren vom Bundesrat, dem neu geschaffene Nationale Zentrum für Cybersicherheit im Eidgenössischen Finanzdepartement (EFD) und dem Bundesamt für Bevölkerungsschutz (BABS) abgeklärt werden. Bis Ende 2020 soll dem Bundesrat eine Vorlage unterbreitet werden, welche die Grundsatzentscheide zu den Meldepflichten von kritischen Infrastrukturen ermöglicht.

Weiterführende Informationen

Quelle

LawMedia-Redaktionsteam

Vorbehalt / Disclaimer

Diese allgemeine Information erfolgt ohne jede Gewähr und ersetzt eine Individualberatung im konkreten Einzelfall nicht. Jede Handlung, die der Leser bzw. Nutzer aufgrund der vorstehenden allgemeinen Information vornimmt, geschieht von ihm ausschliesslich in eigenem Namen, auf eigene Rechnung und auf eigenes Risiko.

Urheber- und Verlagsrechte

Alle in dieser Web-Information veröffentlichten Beiträge sind urheberrechtlich geschützt. Das gilt auch für die veröffentlichten Gerichtsentscheide und Leitsätze, soweit sie von den Autoren oder den Redaktoren erarbeitet oder redigiert worden sind. Der Rechtschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen. Kein Teil dieser Web-Information darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – sämtliche technische und digitale Verfahren – reproduziert werden.