LAWNEWS

Internet / Kommunikation

QR Code

Cyberangriffe gegen kritische Infrastrukturen: BR ist für eine Meldepflicht

Datum:
14.12.2020
Rubrik:
Gesetzgebung
Rechtsgebiet:
Internet, Kommunikation
Stichworte:
ICT, Meldepflicht
Autor:
LawMedia Redaktion
Verlag:
LAWMEDIA AG

Auftrag für die Vorbereitung einer Vernehmlassung

Der Bundesrat (BR) hat am 11.12.2020 das Eidgenössische Finanzdepartement (EFD) beauftragt, eine Vernehmlassungsvorlage betreffend die Einführung einer Meldepflicht bei Cyberangriffen für Betreiber von kritischen Infrastrukturen auszuarbeiten.

Der BR hat bereits entsprechende Eckwerte für die Ausgestaltung der Vorlage festgelegt.

An der erwähnten Sitzung hat der BR von den Resultaten der Abklärungen Kenntnis genommen und basierend darauf, das weitere Vorgehen beschlossen.

Im Einzelnen:

  • Ausgangslage
    • Sachstand
      • Die Schweiz kennt (noch) keine generelle Meldepflicht bei Cyberangriffen
    • Gefahrenbereiche
      • Der Austausch zu Cyberangriffen bei kritischen Infrastrukturen erfolgt auf freiwilliger Basis über das Nationale Zentrum für Cybersicherheit (NCSC) im EFD wie etwa in Fällen
        • der Energieversorgung
        • der Telekommunikation
        • des Finanz- und Versicherungswesens
    • Meldepflicht-Vorgabe
      • Gemäss der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) soll die Einführung einer Meldepflicht geprüft werden
    • Postulat Graf-Litscher
      • Der BR hat die Prüfaufträge aufgrund des Postulatsberichts «Meldepflicht von schwerwiegenden Sicherheitsvorfällen bei kritischen Infrastrukturen» (Postulat 17.3475, Graf-Litscher) am 13.12.2019 erteilt
  • Meldepflicht?
    • Einführung und Ausgestaltung einer Pflicht?
      • Unter Einbezug der zuständigen Behörden der Kantone und des Bundes sowie der Wirtschaft hat das NCSC geprüft, ob
        • eine Pflicht zur Meldung von Cyberangriffen eingeführt werden soll und
        • wie diese ausgestaltet werden könnte
    • Umfang und Meldestelle?
      • Das Bundesamt für Bevölkerungsschutz (BABS) hat geprüft,
        • inwieweit Meldepflichten für Funktionsausfälle bei kritischen Infrastrukturen eingeführt oder ausgebaut werden sollen und,
        • ob diese Meldungen einer zentralen Stelle übermittelt werden sollen
  • Eckwerte der Meldepflicht
    • Auftrag für die Ausarbeitung einer Vernehmlassungsvorlage
      • Der BR hat das EFD beauftragt, bis Ende 2021 eine Vernehmlassungsvorlage folgenden Inhalts auszuarbeiten
        • Rechtliche Grundlagen der Meldepflicht
          • für kritische Infrastrukturen bei Cyberangriffen
          • bei der Entdeckung von Sicherheitslücken
    • Erlassstufe
      • Gesetzesstufe
    • Instanzenstufe
      • Bestimmung einer für alle Sektoren zentralen Meldestelle
    • Meldefristen
      • Festlegung der Kriterien für die Vorfall-Meldefrist
  • Verwendung der Meldungen
    • Früherkennung
      • Durch ein frühzeitiges Erkennen der Angriffsmethoden und entsprechende Warnungen soll erreicht werden:
        • Stärkung der Sicherheit der Schweiz
        • Verbesserte Einschätzung der Bedrohungslage
      • Vorbehalt
        • Keine Datenweitergabe
    • Frühwarnungen
      • Die bei der Meldestelle eingegangenen Meldungen und die dabei erhobenen Daten sollen dazu genutzt werden, Frühwarnungen abzusetzen
  • Vorbereitung
    • Die Departemente sollen unter Koordination des BABS Vorschläge erarbeiten, wie
      • Meldepflichten für Funktionsausfälle von kritischen Infrastrukturen
      • Auf- oder Ausbau der bestehenden rechtlichen Grundlagen.

Quelle

LawMedia Redaktionsteam

Vorbehalt / Disclaimer

Diese allgemeine Information erfolgt ohne jede Gewähr und ersetzt eine Individualberatung im konkreten Einzelfall nicht. Jede Handlung, die der Leser bzw. Nutzer aufgrund der vorstehenden allgemeinen Information vornimmt, geschieht von ihm ausschliesslich in eigenem Namen, auf eigene Rechnung und auf eigenes Risiko.

Urheber- und Verlagsrechte

Alle in dieser Web-Information veröffentlichten Beiträge sind urheberrechtlich geschützt. Das gilt auch für die veröffentlichten Gerichtsentscheide und Leitsätze, soweit sie von den Autoren oder den Redaktoren erarbeitet oder redigiert worden sind. Der Rechtschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen. Kein Teil dieser Web-Information darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – sämtliche technische und digitale Verfahren – reproduziert werden.