Auftrag für die Vorbereitung einer Vernehmlassung
Der Bundesrat (BR) hat am 11.12.2020 das Eidgenössische Finanzdepartement (EFD) beauftragt, eine Vernehmlassungsvorlage betreffend die Einführung einer Meldepflicht bei Cyberangriffen für Betreiber von kritischen Infrastrukturen auszuarbeiten.
Der BR hat bereits entsprechende Eckwerte für die Ausgestaltung der Vorlage festgelegt.
An der erwähnten Sitzung hat der BR von den Resultaten der Abklärungen Kenntnis genommen und basierend darauf, das weitere Vorgehen beschlossen.
Im Einzelnen:
- Ausgangslage
- Sachstand
- Die Schweiz kennt (noch) keine generelle Meldepflicht bei Cyberangriffen
- Gefahrenbereiche
- Der Austausch zu Cyberangriffen bei kritischen Infrastrukturen erfolgt auf freiwilliger Basis über das Nationale Zentrum für Cybersicherheit (NCSC) im EFD wie etwa in Fällen
- der Energieversorgung
- der Telekommunikation
- des Finanz- und Versicherungswesens
- Der Austausch zu Cyberangriffen bei kritischen Infrastrukturen erfolgt auf freiwilliger Basis über das Nationale Zentrum für Cybersicherheit (NCSC) im EFD wie etwa in Fällen
- Meldepflicht-Vorgabe
- Gemäss der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) soll die Einführung einer Meldepflicht geprüft werden
- Postulat Graf-Litscher
- Der BR hat die Prüfaufträge aufgrund des Postulatsberichts «Meldepflicht von schwerwiegenden Sicherheitsvorfällen bei kritischen Infrastrukturen» (Postulat 17.3475, Graf-Litscher) am 13.12.2019 erteilt
- Sachstand
- Meldepflicht?
- Einführung und Ausgestaltung einer Pflicht?
- Unter Einbezug der zuständigen Behörden der Kantone und des Bundes sowie der Wirtschaft hat das NCSC geprüft, ob
- eine Pflicht zur Meldung von Cyberangriffen eingeführt werden soll und
- wie diese ausgestaltet werden könnte
- Unter Einbezug der zuständigen Behörden der Kantone und des Bundes sowie der Wirtschaft hat das NCSC geprüft, ob
- Umfang und Meldestelle?
- Das Bundesamt für Bevölkerungsschutz (BABS) hat geprüft,
- inwieweit Meldepflichten für Funktionsausfälle bei kritischen Infrastrukturen eingeführt oder ausgebaut werden sollen und,
- ob diese Meldungen einer zentralen Stelle übermittelt werden sollen
- Das Bundesamt für Bevölkerungsschutz (BABS) hat geprüft,
- Einführung und Ausgestaltung einer Pflicht?
- Eckwerte der Meldepflicht
- Auftrag für die Ausarbeitung einer Vernehmlassungsvorlage
- Der BR hat das EFD beauftragt, bis Ende 2021 eine Vernehmlassungsvorlage folgenden Inhalts auszuarbeiten
- Rechtliche Grundlagen der Meldepflicht
- für kritische Infrastrukturen bei Cyberangriffen
- bei der Entdeckung von Sicherheitslücken
- Rechtliche Grundlagen der Meldepflicht
- Der BR hat das EFD beauftragt, bis Ende 2021 eine Vernehmlassungsvorlage folgenden Inhalts auszuarbeiten
- Erlassstufe
- Gesetzesstufe
- Instanzenstufe
- Bestimmung einer für alle Sektoren zentralen Meldestelle
- Meldefristen
- Festlegung der Kriterien für die Vorfall-Meldefrist
- Auftrag für die Ausarbeitung einer Vernehmlassungsvorlage
- Verwendung der Meldungen
- Früherkennung
- Durch ein frühzeitiges Erkennen der Angriffsmethoden und entsprechende Warnungen soll erreicht werden:
- Stärkung der Sicherheit der Schweiz
- Verbesserte Einschätzung der Bedrohungslage
- Vorbehalt
- Keine Datenweitergabe
- Durch ein frühzeitiges Erkennen der Angriffsmethoden und entsprechende Warnungen soll erreicht werden:
- Frühwarnungen
- Die bei der Meldestelle eingegangenen Meldungen und die dabei erhobenen Daten sollen dazu genutzt werden, Frühwarnungen abzusetzen
- Früherkennung
- Vorbereitung
- Die Departemente sollen unter Koordination des BABS Vorschläge erarbeiten, wie
- Meldepflichten für Funktionsausfälle von kritischen Infrastrukturen
- Auf- oder Ausbau der bestehenden rechtlichen Grundlagen.
- Die Departemente sollen unter Koordination des BABS Vorschläge erarbeiten, wie
Weiterführende Informationen
Quelle
LawMedia Redaktionsteam