Cybersicherheit
21.09.2023, 09:00 Uhr
Parlament versenkt Meldepflicht für gravierende Schwachstellen
Betreiber von kritischen Infrastrukturen wie etwa Gesundheits- und Energieversorger und Bahnunternehmen werden künftig Cyberangriffe mit grossem Schadenspotenzial dem Bund melden müssen.
Wenn sie aber schwerwiegende Schwachstellen in ihren Informatiksystemen feststellen, müssen sie das nicht tun.
Darauf haben sich die Eidgenössischen Räte geeinigt und damit die Beratung von Änderungen am Informationssicherheitsgesetz abgeschlossen. Der Nationalrat beschloss am Donnerstagmorgen, sich der Position des Ständerats anzuschliessen und auf eine Meldepflicht für schwerwiegende Schwachstellen zu verzichten.
Im Rat hiess es, es sei besser, jetzt die letzte Differenz zur kleinen Kammer auszuräumen, als noch mit dem Geschäft in die Einigungskonferenz zu gehen. Die Änderung des Informationssicherheitsgesetzes ist nun bereit für die Schlussabstimmungen am Ende der Herbstession in den beiden Räten.
Die Gegner der Meldepflicht auch für schwerwiegende Schwachstellen argumentierten im Ständerat, eine solche Bestimmung wäre nicht zielführend. Es fehlte an genügend Klarheit über die Anzahl betroffener Unternehmen sowie die Art der zu meldenden Schwachstellen. Eine Ausweitung der Meldepflicht würde eine Vielzahl von Meldungen auslösen, weil nicht klar definiert sei, was eine Schwachstelle sei.
Vergeblich versuchte der Nationalrat zu Beginn der Herbstsession, eine Brücke zum Ständerat zu schlagen. Dies, indem er vorschlug, gravierende Schwachstellen in Eigenentwicklungen der kritischen Infrastrukturbetreiber müssten nicht gemeldet werden. Denn spezifische Eigenentwicklungen würden von anderen Betreibern nicht eingesetzt. Auf diesen Kompromissvorschlag ging der Ständerat am Dienstag nicht ein.
Wer nicht meldet, wird gebüsst
Laut der nun bereinigten Vorlage wird das Nationale Zentrum für Cybersicherheit (NCSC) die zentrale Meldestelle für Cybervorfälle sein. Dieses soll ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden, schrieb der Bundesrat in der Botschaft zur Vorlage.
Wer der Meldepflicht vorsätzlich nicht nachkommt, soll mit bis zu 100'000 Franken gebüsst werden können. Die Meldepflicht gilt zum Beispiel für Bundesrat und Parlament, die Bundesanwaltschaft, die Armee, Hochschulen, Banken, Gesundheits- und Energieversorger, die SRG und Bahnunternehmen. Das NCSC steht Angegriffenen, die Meldung machen, unterstützend zur Seite.
2021 wurden dem NCSC rund 22'000 Fälle von Cyberkriminalität gemeldet - rund doppelt so viele wie 2020. Bei vielen der gemeldeten Vorfälle handelt es sich allerdings um erkannte Angriffsversuche und nicht um erfolgreiche Angriffe. Der Bundesrat hatte das NCSC 2019 geschaffen.