Kritische Infrastrukturen: Meldepflichten bei schwerwiegenden Sicherheitsvorfällen in der Schweiz?

Bild: Medientypisches Kli­scheebild von einem Hacker mit Hoodie in schwarzer Umgebung

Sollen «Meldepflichten für kritische Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen» in der Schweiz eingeführt werden?

Darüber wird der Bundesrat bis Ende 2020 grundsätzlich entscheiden, wie das Eidgenössische Finanzdepartement (EFD) schreibt:

«Der Bundesrat hat […] den Bericht ‹Varianten für Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen› gutgeheissen. Dieser beschreibt die Kernfragen, welche sich in Bezug auf die Einführung von Meldepflichten stellen und zeigt mögliche Modelle zu ihrer Umsetzung auf. […]»

Und:

«Die Schweiz kennt keine generelle Meldepflicht für Cybervorfälle. Der Austausch zu Cybervorfällen bei kritischen Infrastrukturen wie Energieversorgung, Telekommunikation oder Finanz- und Versicherungswesen erfolgt auf freiwilliger Basis über die Melde- und Analysestelle Informationssicherung (MELANI). Angesichts der raschen Entwicklung der Cyberrisiken stellt sich die Frage, ob dieser freiwillige Austausch genügt, um Bedrohungen frühzeitig und sektorenübergreifend zu erkennen. […] Wesentlich für die möglichen Varianten ist die Frage, ob Cybervorfälle einer separaten Stelle gemeldet werden müssen oder ob die in den Sektoren teilweise schon bestehenden Meldestellen für Sicherheitsvorfälle ergänzt werden sollen. Abhängig von dieser Organisationsstruktur ist zu beurteilen, ab welchem Ausmass Vorfälle meldepflichtig sind, welche Fristen für die Meldung gelten, ob Meldungen anonym abgegeben werden können und ob Sanktionen für den Unterlassungsfall definiert werden.»

Und weiter:

«Der Bundesrat hat das neu geschaffene Nationale Zentrum für Cybersicherheit im Eidgenössischen Finanzdepartement (EFD) zusammen mit dem Bundesamt für Bevölkerungsschutz (BABS) beauftragt, diese Fragen unter Einbezug der zuständigen Behörden der Kantone und des Bundes sowie der Wirtschaft abzuklären. Dabei ist auch zu prüfen, ob eine Ausweitung der generellen Meldepflichten für Funktionsausfälle bei kritischen Infrastrukturen vorgenommen werden soll. […]»

Der Bericht geht auch auf das entsprechende Postulat 17.3475 von Nationalrätin Edith Graf-Litscher vom 15. Juni 2017 zurück.

Für die Mitgliedstaaten der Europäischen Union (EU) sieht die Richtlinie (EU) 2016/1148 über Massnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-Richtlinie) die «Meldung von Sicherheitsvorfällen» vor. Beispielhaft ist das deutsche Gesetz zur Umsetzung der NIS-Richtlinie.

Im europäischen Datenschutzrecht gib es mit Art. 33 der Datenschutz-Grundverordnung (DSGVO) ebenfalls Meldepflichten. Mit Art. 22 des revidierten Datenschutzgesetzes (DSG) wird die Schweiz voraussichtlich vergleichbare Meldepflichten einführen.

Bild: Pixabay / TheDigitalArtist, medientypisches Kli­scheebild von einem Hacker, Public Domain-ähnlich.

2 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.