Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

Verbindlicher IKT-Minimalstandard zur Steigerung der Resilienz gegen Cyberbedrohungen in der Schweiz

ShortId

25.3149

Id

20253149

Updated

14.11.2025 03:12

Language

de

Title

Verbindlicher IKT-Minimalstandard zur Steigerung der Resilienz gegen Cyberbedrohungen in der Schweiz

AdditionalIndexing

09;34;04

1

PriorityCouncil1

Nationalrat

Texts

• <p>Kritische Infrastrukturen wie Energieversorgung, Gesundheitswesen, Finanzsysteme und Transport sind attraktive Ziele für Cyberangriffe. Ein aktueller IKT-Mindeststandard könnte sicherstellen, dass Betreiber grundlegende Schutzmassnahmen implementieren, um Risiken zu minimieren</p>
• <span><p><span>Die Schweiz verfolgt bei der Standardisierung einen dezentralen Ansatz, bei welchem sektorspezifisch festgelegt wird, welche Standards der Cybersicherheit wie umgesetzt werden. Es trifft aber nicht zu, dass diese Standards für die Branchen in jedem Fall freiwillig sind. Über die Stromversorgungsverordnung (SR 734.71) ist die Einhaltung des IKT-Minimalstandards seit 1. Juli 2024 beispielsweise für viele Unternehmen der Stromversorgung verbindlich. Ab Juli 2025 wird dies auch für die Unternehmen der Gasversorgung der Fall sein. In anderen Sektoren stützen sich die Aufsichtsorgane auf Standards, um die Umsetzung allgemein gehaltener Bestimmungen zur Sicherheit und Governance in den entsprechenden Gesetzen zu beurteilen. Die Finanzmarktaufsicht (FINMA) hat beispielsweise in verschiedenen Rundschreiben und Aufsichtsmitteilungen ihre Erwartungen zur Einhaltung von Standards der Cybersicherheit dargelegt, das Bundesamt für Verkehr stützt sich bei seinen Aufsichtsaufgaben auf bestehende Standards und durch die Informationssicherheitsverordnung (SR 128.1) sind die zentralen Elemente von massgeblichen Standards für die Verwaltungseinheiten der Bundesverwaltung und die Armee verbindlich. </span></p><p><span>Der Vorteil des dezentralen Ansatzes bei der Standardisierung liegt darin, dass auf die jeweiligen Besonderheiten der Sektoren eingegangen werden kann und die bestehenden Aufsichtsprozesse genutzt werden können. Die zuständigen Stellen können die Prüfungen zur Cybersicherheit in ihre Aufsichtspraxis integrieren. Fachlich werden sie dabei vom Bundesamt für Cybersicherheit (BACS) unterstützt, welches über den Minimalstandard zur Verbesserung der IKT-Resilienz dafür sorgt, dass die Standardisierungen in den verschiedenen Sektoren aufeinander abgestimmt sind und die Standards gemeinsam mit den Betroffenen weiterentwickelt werden. Das BACS stellt auch sicher, dass die Vorgaben in Einklang mit internationalen Standards sind. Dafür braucht das BACS keine Weisungsbefugnisse, weil diese in der Zuständigkeit der Aufsichtsbehörden verbleiben. </span></p><p><span>Das Staatssekretariat für Sicherheitspolitik und die FINMA verfügen hingegen über direkte Weisungsbefugnisse gegenüber den Verwaltungseinheiten der Bundesverwaltung und der Armee bzw. gegenüber dem Finanzsektor.</span></p><p><span>Die Resilienz der kritischen Infrastrukturen muss auf Grund der dynamischen Entwicklung der Cyberbedrohungslage in den jeweiligen Sektoren laufend neu beurteilt werden. Indikatoren zur Beurteilung sind die Umsetzung von Schutzmassnahmen, die Reaktionszeiten bei der Schliessung von Schwachstellen und die Anzahl erfolgreicher Cyberangriffe sowie deren Auswirkungen. Die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen, die per 1. April 2025 in Kraft getreten ist, wird dem BACS ermöglichen, eine verbesserte Übersicht zum letzten Indikator zu erhalten.</span></p><p><span>Die Herausforderung durch Cyberbedrohungen bleibt für alle Akteure hoch. Es gibt aber keine Hinweise dafür, dass Schweizer Unternehmen sich im internationalen Vergleich schlechter schützen. Der Bundesrat wird die Umsetzung von Standards der Cybersicherheit im Rahmen seiner Zuständigkeit weiter fördern. Er prüft deshalb laufend die Notwendigkeit von zusätzlichen rechtlichen Vorgaben und eines Ausbaus der Mittel der zuständigen Stellen und des BACS. Mindestens genauso wichtig wie die Einführung und Überprüfung von Standards bleibt aber die enge und vertrauensvolle Zusammenarbeit zwischen Behörden und Unternehmen zur Umsetzung von Schutzmassnahmen gegen Cyberbedrohungen. </span></p></span>
• <ul style="list-style-type:disc;"><li>Warum gibt es in der Schweiz bislang keinen verbindlichen IKT-Minimalstandard für kritische Infrastrukturen, während andere Länder (z.B. EU: NIS2 / DORA) solche Standards einführen und wie beurteilt der Bundesrat die Risiken die durch das Fehlen eines solchen entstehen?</li><li>Welche regulatorischen Möglichkeiten sieht der Bundesrat, um einheitliche Mindestanforderungen für Cybersicherheit in kritischen Infrastrukturen festzulegen?&nbsp;</li><li>Das Bundesamt für Cybersicherheit (BACS) ist seit März 2024 verantwortlich für die IKT-Minimalstandards, hat aber aktuell nur die Kompetenz, Empfehlungen abzugeben. Auf freiwilliger Basis können Branchenverbände diesen oder eigene IKT-Minimalstandrads für verpflichtend erklären. Ist dieser dezentrale und nicht allgemein verpflichtende Ansatz nach Ansicht des Bundesrates zielführend und zeitgemäss?</li><li>Wie beurteilt der Bundesrat die derzeitige Resilienz der kritischen Infrastrukturen (KRITIS) gegenüber Cyberangriffen? Auf welcher Basis kann er das beurteilen und in welcher Regelmässigkeit wird eine Neubeurteilung vorgenommen?</li><li>Gibt es eine systematische Erfassung der Cyberrisiken in verschiedenen KRITIS-Sektoren? Inwiefern soll die Erhebung der Cybervorfälle (Einführung Meldepflicht) dazu beitragen, konkrete Massnahmen bez. Minimalanforderungen festzulegen?</li><li>Wie stellt der Bundesrat sicher, dass die Schweiz nicht zum „Schwachpunkt“ in internationalen digitalen Netzwerken wird?</li><li>Welche Massnahmen sind geplant, um die Schweizer Cybersicherheitsstrategie mit internationalen Standards (z. B. EU NIS2, ISO 27001, NIST Cybersecurity Framework) in Einklang zu bringen?</li><li>Ist nach Meinung des Bundesrates die Nationale Anlaufstelle für Cybersicherheit (BACS, NCSC) personell und finanziell ausreichend ausgestattet, um Cyberbedrohungen effektiv zu begegnen?</li><li>Hat nach Meinung des Bundesrates die Nationale Anlaufstelle für Cybersicherheit (BACS, NCSC) bzw. das Staatssekretariat für Sicherheitspolitik (SEPOS) sowie die FINMA die notwendigen Befugnisse/Kompetenzen, um Cyberbedrohungen effektiv zu begegnen, bzw. die notwendigen Massnahmen einzufordern und zu überprüfen?</li></ul>
• Verbindlicher IKT-Minimalstandard zur Steigerung der Resilienz gegen Cyberbedrohungen in der Schweiz

State

Erledigt

Related Affairs

Drafts

• Index

  0

  Texts

  • <p>Kritische Infrastrukturen wie Energieversorgung, Gesundheitswesen, Finanzsysteme und Transport sind attraktive Ziele für Cyberangriffe. Ein aktueller IKT-Mindeststandard könnte sicherstellen, dass Betreiber grundlegende Schutzmassnahmen implementieren, um Risiken zu minimieren</p>
  • <span><p><span>Die Schweiz verfolgt bei der Standardisierung einen dezentralen Ansatz, bei welchem sektorspezifisch festgelegt wird, welche Standards der Cybersicherheit wie umgesetzt werden. Es trifft aber nicht zu, dass diese Standards für die Branchen in jedem Fall freiwillig sind. Über die Stromversorgungsverordnung (SR 734.71) ist die Einhaltung des IKT-Minimalstandards seit 1. Juli 2024 beispielsweise für viele Unternehmen der Stromversorgung verbindlich. Ab Juli 2025 wird dies auch für die Unternehmen der Gasversorgung der Fall sein. In anderen Sektoren stützen sich die Aufsichtsorgane auf Standards, um die Umsetzung allgemein gehaltener Bestimmungen zur Sicherheit und Governance in den entsprechenden Gesetzen zu beurteilen. Die Finanzmarktaufsicht (FINMA) hat beispielsweise in verschiedenen Rundschreiben und Aufsichtsmitteilungen ihre Erwartungen zur Einhaltung von Standards der Cybersicherheit dargelegt, das Bundesamt für Verkehr stützt sich bei seinen Aufsichtsaufgaben auf bestehende Standards und durch die Informationssicherheitsverordnung (SR 128.1) sind die zentralen Elemente von massgeblichen Standards für die Verwaltungseinheiten der Bundesverwaltung und die Armee verbindlich. </span></p><p><span>Der Vorteil des dezentralen Ansatzes bei der Standardisierung liegt darin, dass auf die jeweiligen Besonderheiten der Sektoren eingegangen werden kann und die bestehenden Aufsichtsprozesse genutzt werden können. Die zuständigen Stellen können die Prüfungen zur Cybersicherheit in ihre Aufsichtspraxis integrieren. Fachlich werden sie dabei vom Bundesamt für Cybersicherheit (BACS) unterstützt, welches über den Minimalstandard zur Verbesserung der IKT-Resilienz dafür sorgt, dass die Standardisierungen in den verschiedenen Sektoren aufeinander abgestimmt sind und die Standards gemeinsam mit den Betroffenen weiterentwickelt werden. Das BACS stellt auch sicher, dass die Vorgaben in Einklang mit internationalen Standards sind. Dafür braucht das BACS keine Weisungsbefugnisse, weil diese in der Zuständigkeit der Aufsichtsbehörden verbleiben. </span></p><p><span>Das Staatssekretariat für Sicherheitspolitik und die FINMA verfügen hingegen über direkte Weisungsbefugnisse gegenüber den Verwaltungseinheiten der Bundesverwaltung und der Armee bzw. gegenüber dem Finanzsektor.</span></p><p><span>Die Resilienz der kritischen Infrastrukturen muss auf Grund der dynamischen Entwicklung der Cyberbedrohungslage in den jeweiligen Sektoren laufend neu beurteilt werden. Indikatoren zur Beurteilung sind die Umsetzung von Schutzmassnahmen, die Reaktionszeiten bei der Schliessung von Schwachstellen und die Anzahl erfolgreicher Cyberangriffe sowie deren Auswirkungen. Die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen, die per 1. April 2025 in Kraft getreten ist, wird dem BACS ermöglichen, eine verbesserte Übersicht zum letzten Indikator zu erhalten.</span></p><p><span>Die Herausforderung durch Cyberbedrohungen bleibt für alle Akteure hoch. Es gibt aber keine Hinweise dafür, dass Schweizer Unternehmen sich im internationalen Vergleich schlechter schützen. Der Bundesrat wird die Umsetzung von Standards der Cybersicherheit im Rahmen seiner Zuständigkeit weiter fördern. Er prüft deshalb laufend die Notwendigkeit von zusätzlichen rechtlichen Vorgaben und eines Ausbaus der Mittel der zuständigen Stellen und des BACS. Mindestens genauso wichtig wie die Einführung und Überprüfung von Standards bleibt aber die enge und vertrauensvolle Zusammenarbeit zwischen Behörden und Unternehmen zur Umsetzung von Schutzmassnahmen gegen Cyberbedrohungen. </span></p></span>
  • <ul style="list-style-type:disc;"><li>Warum gibt es in der Schweiz bislang keinen verbindlichen IKT-Minimalstandard für kritische Infrastrukturen, während andere Länder (z.B. EU: NIS2 / DORA) solche Standards einführen und wie beurteilt der Bundesrat die Risiken die durch das Fehlen eines solchen entstehen?</li><li>Welche regulatorischen Möglichkeiten sieht der Bundesrat, um einheitliche Mindestanforderungen für Cybersicherheit in kritischen Infrastrukturen festzulegen?&nbsp;</li><li>Das Bundesamt für Cybersicherheit (BACS) ist seit März 2024 verantwortlich für die IKT-Minimalstandards, hat aber aktuell nur die Kompetenz, Empfehlungen abzugeben. Auf freiwilliger Basis können Branchenverbände diesen oder eigene IKT-Minimalstandrads für verpflichtend erklären. Ist dieser dezentrale und nicht allgemein verpflichtende Ansatz nach Ansicht des Bundesrates zielführend und zeitgemäss?</li><li>Wie beurteilt der Bundesrat die derzeitige Resilienz der kritischen Infrastrukturen (KRITIS) gegenüber Cyberangriffen? Auf welcher Basis kann er das beurteilen und in welcher Regelmässigkeit wird eine Neubeurteilung vorgenommen?</li><li>Gibt es eine systematische Erfassung der Cyberrisiken in verschiedenen KRITIS-Sektoren? Inwiefern soll die Erhebung der Cybervorfälle (Einführung Meldepflicht) dazu beitragen, konkrete Massnahmen bez. Minimalanforderungen festzulegen?</li><li>Wie stellt der Bundesrat sicher, dass die Schweiz nicht zum „Schwachpunkt“ in internationalen digitalen Netzwerken wird?</li><li>Welche Massnahmen sind geplant, um die Schweizer Cybersicherheitsstrategie mit internationalen Standards (z. B. EU NIS2, ISO 27001, NIST Cybersecurity Framework) in Einklang zu bringen?</li><li>Ist nach Meinung des Bundesrates die Nationale Anlaufstelle für Cybersicherheit (BACS, NCSC) personell und finanziell ausreichend ausgestattet, um Cyberbedrohungen effektiv zu begegnen?</li><li>Hat nach Meinung des Bundesrates die Nationale Anlaufstelle für Cybersicherheit (BACS, NCSC) bzw. das Staatssekretariat für Sicherheitspolitik (SEPOS) sowie die FINMA die notwendigen Befugnisse/Kompetenzen, um Cyberbedrohungen effektiv zu begegnen, bzw. die notwendigen Massnahmen einzufordern und zu überprüfen?</li></ul>
  • Verbindlicher IKT-Minimalstandard zur Steigerung der Resilienz gegen Cyberbedrohungen in der Schweiz

Back to List