Cyberrisiken und Nuklearanlagen

201634132023-07-28T05:23:02Z66;34;09Ip.8Interpellation2601f1156Heim BeaHeimFraktion SS2Sozialdemokratische FraktionauthorNR1NationalratN2016-06-09T00:00:00Z5050043NormalNR1NationalratN2016-09-30T00:00:00ZErledigt302016-08-24T00:00:00Z0UVEK9Departement für Umwelt, Verkehr, Energie und Kommunikationtrue2016-06-09T00:00:0024Im Rat noch nicht behandelt2016-09-30T00:00:00229ErledigtdeNR1NationalratN12632m1120Sommaruga CarloSommaruga Carlocosign2743f4030Birrer-Heimo PriscaBirrer-Heimocosign2666f3830Carobbio Guscetti MarinaCarobbio Guscetticosign2745m4032Jans BeatJanscosign2652f1295Graf-Litscher EdithGraf-Litschercosign2608f1147Kiener Nellen MargretKiener Nellencosign2417f354Semadeni SilvaSemadenicosign2569f806Graf MayaGraf Mayacosign2760m4049Aebischer MatthiasAebischer Matthiascosign2792m4076Hadorn PhilippHadorncosign2795m4091Reynard MathiasReynardcosign3026f4121Gysi BarbaraGysi Barbaracosign3036f4134Munz MartinaMunzcosign3034f4130Masshardt NadineMasshardtcosign3035f4131Friedl ClaudiaFriedl Claudiacosign2726f3923Marra AdaMarracosign3051f4149Häsler ChristineHäslercosign2583f1131Allemann EviAllemanncosign3077m4196Guldimann TimGuldimanncosign3094f4199Seiler Graf PriskaSeiler Grafcosign3068m4201de la Reussille Denisde la Reussillecosign2710f3907Thorens Goumaz AdèleThorens Goumazcosign3020m4115Schwaab Jean ChristopheSchwaabcosign2601f1156Heim BeaHeimFraktion SS2Sozialdemokratische Fraktionauthor16.3413229Erledigt0014Antwort BR / Büro1. Gemäss den Artikeln 4 und 5 des Energiegesetzes vom 26. Juni 1998 (SR 730.0) ist die Energieversorgung Sache der Energiewirtschaft, was auch die Gewährleistung einer sicheren Versorgung umfasst. Anstelle von übergeordneten Sicherheitsvorgaben für Energienetze werden in den Spezialgesetzen konkrete Sicherheitsanforderungen für elektrische Anlagen, Stauanlagen oder Rohrleitungen festgeschrieben. Es obliegt damit den Netzbetreibern festzulegen, welche Risiken getragen werden können oder durch Massnahmen reduziert werden müssen. Im Rahmen der Strategie zum Schutz kritischer Infrastrukturen vom 27. Juni 2012 (SKI, BBl 2012 7715) wurde ein Leitfaden erarbeitet, der die Betreiber dabei unterstützt. Aus dem Umsetzungsprozess des Leitfadens und weiterer SKI-Arbeiten kann sich ein Bedarf zur Präzisierung von Sicherheitsvorgaben ergeben, der durch die Fachbehörden zu prüfen ist.Im Nuklearbereich legt die Gesetzgebung fest, welche Sicherheitsanforderungen gültig sind. Auch in der Informatik gibt es, ähnlich dem physischen Schutz gegen unbefugte Einwirkungen gemäss Anhang 2 der Kernenergieverordnung vom 10. Dezember 2004 (SR 732.11), eine Zonenstruktur mit zunehmendem Widerstand. Die Richtlinie Ensi-A06 legt Kriterien für die Risikobeurteilung fest. Die Festlegung dieser Kriterien basiert auf dem übergeordneten Regelwerk und berücksichtigt das von der Internationalen Atomenergie-Organisation (IAEA) empfohlene Sicherheitsziel.2./3. Die Massnahmen 2 und 12 der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken vom 27. Juni 2012 (NCS, BBl 2013 563) betreffen die Erstellung von Risiko- und Verwundbarkeitsanalysen für die kritischen Teilsektoren gemäss SKI-Strategie - im Sektor Energie sind dies die Erdölversorgung, Erdgasversorgung und Stromversorgung - sowie die Stärkung und Verbesserung der Widerstandsfähigkeit gegenüber Störungen und Ereignissen. Die Risiko- und Verwundbarkeitsanalysen für die Erdgasversorgung und die Stromversorgung sind abgeschlossen, diejenige für die Erdölversorgung wird aktuell erstellt. Für die Gasversorgung liegen auch bereits Massnahmen zugunsten der Widerstandsfähigkeit vor und befinden sich in Umsetzung. Die Massnahmen bezüglich Stromversorgung sind zurzeit beim Bundesamt für wirtschaftliche Landesversorgung in Arbeit, dies in enger Abstimmung mit dem Bundesamt für Energie, der Elektrizitätskommission (Elcom), dem Eidgenössischen Nuklearsicherheitsinspektorat (i) und Vertretern der Energiewirtschaft.Die vorliegenden Ergebnisse zeigen grundsätzlich eine hohe Abhängigkeit von Informations- und Kommunikationstechnologie (IKT) in den Teilsektoren Erdgas- und Stromversorgung, wobei die damit verbundene Verwundbarkeit durch die aktuellen Trends der Digitalisierung weiter zunehmen dürfte. Insbesondere die Überwachungs- und Steuersysteme (Scada-Systeme) in den Strom- und Gasnetzen und krisenfeste Kommunikationsnetze der Betreiber wurden als kritische Ressourcen identifiziert. Die Massnahmen in der Gasversorgung umfassen die Schaffung eines IKT-Pikettdienstes der Branche, die sichere Krisenkommunikation, die Sicherstellung der Zollabwicklung bei einem IKT-Ausfall und den Aufbau eines geschlossenen Kundenkreises der Erdgasbranche bei der Melde- und Analysestelle Informationssicherung (Melani). Diese Massnahme wurde seitens Melani bereits umgesetzt und ist abgeschlossen.Der Bundesrat kann im Rahmen der vorliegenden öffentlich zugänglichen Antwort aufgrund der gesetzlichen Anforderungen und internationalen Verpflichtungen zum Umgang mit sicherungsrelevanter Information keine Auskunft über die aktuellsten Annahmen im Sicherungsbereich von Kernanlagen geben.4. Zuständig für die Aufsicht der Kernanlagen ist das Ensi. Es befasst sich bereits mit Cyberrisiken. Die Entwicklungen in diesem Bereich werden aufmerksam verfolgt.Die Betreiber der Schweizer Kernanlagen müssen IT-Risiken beurteilen, Risikoanalysen durchführen und entsprechende Schutzmassnahmen umsetzen. Artikel 22 des Kernenergiegesetzes vom 21. März 2003 (SR 732.1) umschreibt die Pflichten bzw. Nachrüstungsmassnahmen des Bewilligungsinhabers. Dabei findet Absatz 2 Buchstabe g insbesondere auch in der IT-Security Anwendung. Dieser überbindet dem Bewilligungsinhaber die Pflicht, die Anlage insoweit nachzurüsten, als dies nach der Erfahrung und dem Stand der Nachrüstungstechnik notwendig ist, und darüber hinaus, soweit dies zu einer weiteren Verminderung der Gefährdung beiträgt und angemessen ist. Dies wird vom Ensi laufend überprüft.5. Die Elcom prüft die Anrechenbarkeit von Kosten für die Stromnetze. Gemäss Artikel 15 des Stromversorgungsgesetzes vom 23. März 2007 (SR 734.7) können Massnahmen zur Gewährleistung eines sicheren, leistungsfähigen und effizienten Netzbetriebes als Netzkosten angerechnet werden. Im SKI-Leitfaden wird aufgezeigt, wie Massnahmen zur Risikoreduktion mit einem optimalen Kosten-Wirksamkeits-Verhältnis gefunden werden können. Sofern aufgezeigt werden kann, dass die Massnahmen dieses Kriterium erfüllen, können die Kosten zur Umsetzung der Massnahmen als anrechenbare Netzkosten auf die Kunden überwälzt werden.6. Die Umsetzung der NCS erfolgt dezentral, d. h., sie basiert auf dem Ansatz der Stärkung der Fähigkeiten und Eigenverantwortung der Betroffenen. Der Bund leistet subsidiäre Unterstützung. Ein Steuerungsausschuss NCS rapportiert den Fortschritt der Umsetzung an den Bundesrat. Auf operativer Ebene unterstützt die Koordinationsstelle NCS diesen Prozess. Verschiedene Bundesämter sind federführend verantwortlich für die Umsetzung der NCS-Massnahmen.Der Steuerungsausschuss ist beauftragt, dem Bundesrat bis im Frühjahr 2017 eine Wirksamkeitsüberprüfung der NCS vorzulegen und allenfalls Anpassungen vorzuschlagen. Die für die zukünftige Steuerung der Cyberrisiken anzustrebende Organisationsstruktur wird sich somit aus der Wirksamkeitsüberprüfung ergeben und kann zum jetzigen Zeitpunkt noch nicht vorweggenommen werden. Antwort des Bundesrates.5Eingereichter TextDie Internationale Atomenergie-Organisation (IAEO) und Experten warnen vor immer öfteren Cyberangriffen auf nukleare Anlagen. Auch der Experte für kritische Infrastrukturen, Professor B. M. Hämmerli, sieht Risiken z. B. im Bereich der Energieerzeugung (Swiss ICT 05/16). Der Bundesrat hat, es sei mit Genugtuung festgestellt, eine umfassende Behandlung der Cybergefahren ins Auge gefasst. Allerdings datiert diese NCS von 2012, ist also bereits zwei Computergenerationen alt. Auch zeigt sie nicht, mit welchen Massnahmen konkreten Risiken begegnet werden soll, während sich die Risikolage, so Hämmerli, "hinsichtlich Geld und Häufigkeit massiv verschärft hat". Störungen von kritischen Infrastrukturen, wie es AKW und Nuklearanlagen (PSI, Zwilag usw.) sind, können schwerwiegende Auswirkungen für die Bevölkerung haben. Umso mehr stehen Aufsichtsbehörden und der Bund in der Verantwortung, dafür zu sorgen, dass die Sicherheit gewährleistet werden kann. Im Wissen, dass laut Kernenergiegesetz die Betreiber von AKW-Anlagen in Eigenverantwortung ihre Systeme zu schützen haben und dass selbst eine Trennung der Betriebssysteme vom übrigen IT-Netz kein unüberwindbares Hindernis für Cyberattacken ist, wird der Bundesrat ersucht, folgende Fragen zu beantworten:1. Wer definiert die Höhe des tragbaren Risikos von AKW und Energienetzen für die Gesellschaft, und wie?2. Welche Resultate zeigen die Risiko- und Verwundbarkeitsanalysen Cyber im Bereich AKW, Energienetze und -anlagen, wie beurteilt er diese, welche (Schutz-)Massnahmen wurden für welche Szenarien ergriffen, und in welchen Schritten werden sie umgesetzt?3. Sind die Vorarbeiten gemacht, die Massnahmen definiert, die Branchenorganisationen Energie vorbereitet, um Hackerangriffen zu begegnen?4. Hält er die Vorbereitungen der AKW für genügend? Wird die Verwundbarkeit von AKW in simulierten Hackerangriffen getestet und in welcher Periodizität? Wie vergewissert er sich der Cybersicherheit der AKW?5. Wie ist die Anrechenbarkeit der Kosten für Massnahmen zur Reduktion von Risiken durch Cyberangriffe geklärt?6. Welches ist die adäquate Organisationsstruktur in der Verwaltung, um Cyberrisiken bei kritischen Infrastrukturen wie den AKW begegnen zu können? Sieht er eine Zentralisierung und Bündelung der Ressourcen vor, oder soll weiterhin dezentral in einzelnen Ämtern das Thema behandelt werden?1Titel des GeschäftesCyberrisiken und NuklearanlagenCyberrisiken und Nuklearanlagen