LAWNEWS

Internet / ICT-law

QR Code

Cybersicherheitsverordnung (CSV): Bundesrat eröffnet Vernehmlassung

Vernehmlassung: bis 13.09.2024

Datum:
22.05.2024
Rubrik:
Gesetzgebung
Rechtsgebiet:
ICT-Law / Informations- und Kommunikationstechnologie, Internetrecht
Thema:
Cybersicherheitsverordnung (CSV)
Stichworte:
Cybersicherheit, Informationssicherheitsgesetz, Meldepflicht, Vernehmlassung
Autor:
LawMedia Redaktion
Verlag:
LAWMEDIA AG

Der Bundesrat (BR) hat am 22.05.2024 die Vernehmlassung zur Verordnung über die Cybersicherheit (CSV) eröffnet:

  • Die CSV soll
    • vorgeben,
      • wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen umgesetzt werden soll;
    • regeln
      • die Organisation zur Umsetzung der Nationalen Cyberstrategie;
    • spezifizieren
      • die Aufgaben des neuen Bundesamts für Cybersicherheit (BACS).
    • festlegen,
      • welche Behörden und Unternehmen von der Meldepflicht ausgenommen sind.

Die Vernehmlassung zum Entwurf der CSV dauert bis am 13.09.2024.

Einleitung

  • Parlament
    • Das Parlament hat am 29.09.2023 die Änderungen des Informationssicherheitsgesetzes (ISG) zur Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen verabschiedet.
  • Informationssicherheitsgesetz (ISG)
    • Das ISG bestimmt, welche Behörden und Organisationen künftig verpflichtet sind, Cybervorfälle zu melden.
    • Das Gesetz legt zudem fest, dass das Bundesamt für Cybersicherheit (BACS) als Meldestelle fungieren soll.

Cybersicherheitsverordnung (CSV)

Mit der Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV) legt der BR folgendes dar:

  • Künftige Umsetzung der Meldepflicht;
  • Ausgenommene Stellen;
  • Geltungsbereich der Meldepflicht für Behörden und Organisationen,
  • Definition der meldepflichtigen Cyberangriffe;
  • Meldepflichtige Inhalte;
  • Verfahren für die Erfüllung der Meldepflicht;
  • Frist und den Abschluss der Meldung.

Meldepflicht-Ausnahmen

Als Kernelement der CSV gelten die Bestimmungen zu den Meldepflicht-Ausnahmen.

Ausgenommen werden sollen:

  • alle Behörden und Unternehmen, bei denen ein Cyberangriff keine unmittelbaren Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat;
  • Energieversorgung;
  • Transportwesen;
  • Behörden.

Es wurden aber spezifische Schwellenwerte festgelegt, welche diese Ausnahmen definieren:

  • Schwellenwerte
    • Alle Behörden oder Organisationen, welche diese Schwellenwerte unterschreiten, gelten als nicht meldepflichtig.
  • Generelle Ausnahmen
    • Eine generelle Ausnahme gilt für
      • Unternehmen
        • mit weniger als 50 Mitarbeitern;
        • mit einem Jahresumsatz oder mit einer Jahresbilanzsumme von weniger als CHF 10 Mio.;
      • Behörden,
        • welche für weniger als 1000 Einwohner zuständig sind.

Verbesserung der Cybersicherheit der Schweiz

Die CSV regelt:

  • die strategische Steuerung der Cybersicherheit in der Schweiz;
  • die Aufgaben und das Mandat sowie die Zusammensetzung des Steuerungsausschusses der Nationalen Cyberstrategie.

Weiter konkretisiert die CSV

  • die Aufgaben des BACS;
  • den Informationsaustausch zwischen den Betreibern der kritischen Infrastrukturen.

Mit der Umsetzung der Meldepflicht für Cyberangriffe

  • soll die Cybersicherheit der Schweiz stärken und
  • soll die Schweiz besser gegen Cyberbedrohungen wappnen.

Dokumente

Weiterführende Informationen

Quelle

LawMedia Redaktionsteam

Vorbehalt / Disclaimer

Diese allgemeine Information erfolgt ohne jede Gewähr und ersetzt eine Individualberatung im konkreten Einzelfall nicht. Jede Handlung, die der Leser bzw. Nutzer aufgrund der vorstehenden allgemeinen Information vornimmt, geschieht von ihm ausschliesslich in eigenem Namen, auf eigene Rechnung und auf eigenes Risiko.

Urheber- und Verlagsrechte

Alle in dieser Web-Information veröffentlichten Beiträge sind urheberrechtlich geschützt. Das gilt auch für die veröffentlichten Gerichtsentscheide und Leitsätze, soweit sie von den Autoren oder den Redaktoren erarbeitet oder redigiert worden sind. Der Rechtschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen. Kein Teil dieser Web-Information darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – sämtliche technische und digitale Verfahren – reproduziert werden.