Cybercrime Schweiz 17.03.2023, 11:44 Uhr

Nationalrat stimmt für Meldepflicht bei Cyberangriffen

Hat ein Schweizer «Betreiber kritischer Infrastrukturen» eine Schwachstelle in seinem System oder wird Opfer eines Cyberangriffs, muss er diesen melden – zumindest, wenn es nach dem Nationalrat geht. 
(Quelle: shutterstock.com/kavalenkava)
Die Betreiber kritischer Infrastrukturen sollen künftig Cyberangriffe mit einem hohen Schadenspotenzial innerhalb von 24 Stunden melden müssen. Das hat der Nationalrat beschlossen. Wer der Meldepflicht nicht nachkommt, muss mit einer Geldstrafe rechnen.
Die grosse Kammer stimmte am Donnerstag mit 132 zu 55 Stimmen für die notwendigen Änderungen im Bundesgesetz über die Informationssicherheit beim Bund. Die Nein-Stimmen wurden von der SVP erhoben. Die Vorlage wird nun dem Ständerat zugeleitet.

Attacken – aber auch Schwachstellen

Der Nationalrat hat auf Antrag der sicherheitspolitischen Kommission (SIK-N) die Meldepflicht erweitert. Neben Cyberangriffen mit hohem Schadenspotenzial umfassen diese nun auch schwerwiegende Schwachstellen in Computersystemen. Die Kommission erhofft sich dadurch eine präventive Wirkung.
Es soll das Nationale Zentrum für Cybersicherheit (NCSC) als zentrale Meldestelle für Cyberangriffe fungieren. Dieses soll ein elektronisches Meldeformular bereitstellen. Die Meldungen könnten einfach erfasst und auf Wunsch direkt an andere Stellen weitergeleitet werden, wie der Bundesrat in einem Schreiben wissen liess.
Vertreter mehrerer Fraktionen äusserten den Eindruck, dass die Schweiz im internationalen Vergleich diesbezüglich zurückgeblieben ist, so beispielsweise Melanie Mettler der Berner GLP.

Strittiges Detail

Im Nationalrat wurde über die Frist zwischen Vorfall und Meldung sowie über die Höhe den Bussen für eine Verletzung der Meldepflicht gestritten. Der Rat beschloss auf Antrag der Mehrheit und des Bundesrates, dass die Meldung innerhalb von 24 Stunden nach dem Vorfall beim NCSC erfolgen muss.
In einem ersten Schritt gehe es um rasche Handlungsfähigkeit, nicht bereits um genaue Analysen – diese Meinung vertraten einzelne Politiker der Mittepartei und der SP. VBS-Vorsteherin Viola Amherd verwies auf die international gültige Frist von 24 Stunden.
Die SVP hingegen wollte die Limite bei 72 Stunden setzen, hatte aber keine Chance bei der Abstimmung. Die meint, dass die Abwehr eines Angriffs zunächst Priorität habe. Auch auf Bussen von bis zu 100'000 Franken bei Verletzung wollten sie verzichten – stattdessen sollen es positive Anreize richten, da es sich bei angegriffenen Firmen um Opfer handelt, von denen keine kriminelle Energie ausgehe.
Aber auch hier ging die Partei baden: 130 zu 55 Stimmen hiessen eine mögliche Busse gut, sollte die Meldepflicht bewusst nicht eingehalten werden.

Wer muss melden?

Dies betrifft etwa IT-Infrastruktur der Armee, der Bundesanwaltschaft, Banken, Hochschulen, Gesundheits- oder Energieversorger, Bahnunternehmen oder die SRG.
In der EU gibt es bereits seit 2018 eine Meldepflicht, während in der Schweiz eine Übersicht fehle, da die Meldung freiwillig sei. Dies berge Gefahren, ausserdem haben sich Fälle von Cyberkriminalität seit 2020 fast verdoppelt.




Das könnte Sie auch interessieren