Der Bundesrat (BR) hat am 22.05.2024 die Vernehmlassung zur Verordnung über die Cybersicherheit (CSV) eröffnet:
- Die CSV soll
- vorgeben,
- wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen umgesetzt werden soll;
- regeln
- die Organisation zur Umsetzung der Nationalen Cyberstrategie;
- spezifizieren
- die Aufgaben des neuen Bundesamts für Cybersicherheit (BACS).
- festlegen,
- welche Behörden und Unternehmen von der Meldepflicht ausgenommen sind.
- vorgeben,
Die Vernehmlassung zum Entwurf der CSV dauert bis am 13.09.2024.
Einleitung
- Parlament
- Das Parlament hat am 29.09.2023 die Änderungen des Informationssicherheitsgesetzes (ISG) zur Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen verabschiedet.
- Informationssicherheitsgesetz (ISG)
- Das ISG bestimmt, welche Behörden und Organisationen künftig verpflichtet sind, Cybervorfälle zu melden.
- Das Gesetz legt zudem fest, dass das Bundesamt für Cybersicherheit (BACS) als Meldestelle fungieren soll.
Cybersicherheitsverordnung (CSV)
Mit der Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV) legt der BR folgendes dar:
- Künftige Umsetzung der Meldepflicht;
- Ausgenommene Stellen;
- Geltungsbereich der Meldepflicht für Behörden und Organisationen,
- Definition der meldepflichtigen Cyberangriffe;
- Meldepflichtige Inhalte;
- Verfahren für die Erfüllung der Meldepflicht;
- Frist und den Abschluss der Meldung.
Meldepflicht-Ausnahmen
Als Kernelement der CSV gelten die Bestimmungen zu den Meldepflicht-Ausnahmen.
Ausgenommen werden sollen:
- alle Behörden und Unternehmen, bei denen ein Cyberangriff keine unmittelbaren Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat;
- Energieversorgung;
- Transportwesen;
- Behörden.
Es wurden aber spezifische Schwellenwerte festgelegt, welche diese Ausnahmen definieren:
- Schwellenwerte
- Alle Behörden oder Organisationen, welche diese Schwellenwerte unterschreiten, gelten als nicht meldepflichtig.
- Generelle Ausnahmen
- Eine generelle Ausnahme gilt für
- Unternehmen
- mit weniger als 50 Mitarbeitern;
- mit einem Jahresumsatz oder mit einer Jahresbilanzsumme von weniger als CHF 10 Mio.;
- Behörden,
- welche für weniger als 1000 Einwohner zuständig sind.
- Unternehmen
- Eine generelle Ausnahme gilt für
Verbesserung der Cybersicherheit der Schweiz
Die CSV regelt:
- die strategische Steuerung der Cybersicherheit in der Schweiz;
- die Aufgaben und das Mandat sowie die Zusammensetzung des Steuerungsausschusses der Nationalen Cyberstrategie.
Weiter konkretisiert die CSV
- die Aufgaben des BACS;
- den Informationsaustausch zwischen den Betreibern der kritischen Infrastrukturen.
Mit der Umsetzung der Meldepflicht für Cyberangriffe
- soll die Cybersicherheit der Schweiz stärken und
- soll die Schweiz besser gegen Cyberbedrohungen wappnen.
Dokumente
Weiterführende Informationen
Quelle
LawMedia Redaktionsteam