Informationssicherheitsgesetz. Änderung (Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen)
Details
- ID
- 20220073
- Title
- Informationssicherheitsgesetz. Änderung (Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen)
- Description
- Botschaft vom 2. Dezember 2022 zur Änderung des Bundesgesetzes über die Informationssicherheit (Informationssicherheitsgesetz, ISG) vom 18. Dezember 2020 (Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen)
- InitialSituation
- <h2 class="Titel_d"><strong>Medienmitteilung des Bundesrates vom 02.12.2022</strong></h2><p class="Standard_d"><strong>Bundesrat überweist Botschaft zur Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen</strong></p><p class="Standard_d"><strong>Der Bundesrat will eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen einführen. Zu diesem Zweck hat er an seiner Sitzung vom 2. Dezember 2022 die Botschaft zur Änderung des Bundesgesetzes über die Informationssicherheit beim Bund gutgeheissen und zuhanden des Parlaments verabschiedet. Die Vorlage schafft die gesetzlichen Grundlagen zur Meldepflicht für Betreiberinnen und Betreiber kritischer Infrastrukturen und definiert die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC), welches als zentrale Meldestelle für Cyberangriffe vorgesehen ist.</strong></p><p class="Standard_d">Erfolgreiche Cyberangriffe können weitreichende Folgen für die Verfügbarkeit und Sicherheit der Schweizer Wirtschaft haben. Die Bevölkerung, Behörden und Unternehmen sind täglich dem Risiko eines Cyberangriffs ausgesetzt. Heute fehlt eine Übersicht darüber, welche Angriffe wo stattgefunden haben, da Meldungen an das NCSC nur auf freiwilliger Basis erfolgen. Dank einer Meldepflicht erhält das NCSC künftig eine bessere Übersicht über die in der Schweiz erfolgten Cyberangriffe und die Vorgehensweisen der Angreifer. Dadurch wird eine bessere Einschätzung der Bedrohungslage möglich und Betreiberinnen und Betreiber kritischer Infrastrukturen können frühzeitig gewarnt werden. Der Bundesrat will durch die Meldepflicht sicherstellen, dass alle Betreiberinnen und Betreiber von kritischen Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen.</p><p class="Standard_d"> </p><p class="Standard_d">Vernehmlassung zeigte breite Unterstützung einer Meldepflicht</p><p class="Standard_d">An seiner Sitzung vom 2. Dezember 2022 hat der Bundesrat zudem Kenntnis genommen vom Ergebnis des Vernehmlassungsverfahrens zum Gesetzesentwurf. Insgesamt gingen 99 Stellungnahmen von Kantonen, Betreiberinnen und Betreiber kritischer Infrastrukturen sowie Vertretenden aus Forschung und Wirtschaft ein. Die Vernehmlassung zeigte eine breite Zustimmung für die Vorlage. Die Einführung einer Meldepflicht und die Verankerung des NCSC als nationale Meldestelle werden als wichtige Schritte zu einer Verbesserung der Cybersicherheit in der Schweiz erachtet. Ein wichtiges in der Vernehmlassung genanntes Anliegen ist zudem, dass die Meldepflicht möglichst unbürokratisch umgesetzt wird und keinen grossen Zusatzaufwand mit sich bringt.</p><p class="Standard_d"> </p><p class="Standard_d">Unterstützung des NCSC bei Cyberangriffen</p><p class="Standard_d">Um eine Meldung so einfach wie möglich zu gestalten, wird das NCSC ein elektronisches Meldeformular zur Verfügung stellen. Meldungen können dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden. Die Gesetzesvorlage verpflichtet zudem nicht nur die Unternehmen zur Mitwirkung beim Schutz vor Cyberangriffen, sondern auch das NCSC, den Meldenden subsidiäre Unterstützung bei der Reaktion auf Cyberangriffe anzubieten. Das Gesetz definiert ausserdem, wie das NCSC die Wirtschaft und Bevölkerung beim Schutz vor Cyberbedrohungen unterstützt. Es regelt dazu insbesondere die Funktion des NCSC als Anlaufstelle für Fragen zu Cyberbedrohungen und als Meldestelle für Schwachstellen.</p>
- Objectives
-
-
- Number
- 0
- Text
- Botschaft vom 2. Dezember 2022 zur Änderung des Bundesgesetzes über die Informationssicherheit (Informationssicherheitsgesetz, ISG) vom 18. Dezember 2020 (Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen)
- Resolutions
-
Date Council Text
-
- Number
- 1
- Text
- Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG)
- Resolutions
-
Date Council Text 16.03.2023 1 Beschluss abweichend vom Entwurf 01.06.2023 2 Abweichung 11.09.2023 1 Abweichung 19.09.2023 2 Abweichung 21.09.2023 1 Zustimmung 29.09.2023 1 Annahme in der Schlussabstimmung 29.09.2023 2 Annahme in der Schlussabstimmung
-
- Proceedings
- <h4 class="SDA_Meldung_d">SDA-Meldung</h4><h3 class="Debatte_sda_linksbündig_d"><strong>Debatte im Nationalrat, 16.03.2023</strong></h3><p class="Standard_d"><strong>Nationalrat will eine Meldepflicht für Cyberangriffe einführen</strong></p><p class="Standard_d"><strong>Betreiber kritischer Infrastrukturen sollen Cyberangriffe mit grossem Schadenspotenzial künftig melden müssen, innerhalb von 24 Stunden. Das hat der Nationalrat entschieden. Wer der Meldepflicht vorsätzlich nicht nachkommt, riskiert eine Busse.</strong></p><p class="Standard_d">Die grosser Kammer hiess die nötigen Änderungen im Bundesgesetz über die Informationssicherheit beim Bund am Donnerstag mit 132 zu 55 Stimmen gut. Die Nein-Stimmen kamen von der SVP. Die Vorlage geht nun an den Ständerat.</p><p class="Standard_d"> </p><p class="Standard_d">Auch schwerwiegende Schwachstellen</p><p class="Standard_d">Auf Antrag seiner Sicherheitspolitischen Kommission (SIK-N) beschloss der Nationalrat eine Ausweitung der Meldepflicht. Diese soll neben Cyberangriffen mit grossen Schadenspotenzial auch schwerwiegende Schwachstellen in Computersystemen umfassen. Die Kommission versprach sich davon eine präventive Wirkung.</p><p class="Standard_d">Zentrale Meldestelle für Cyberangriffe soll das Nationale Zentrum für Cybersicherheit (NCSC) sein. Dieses soll ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden, schrieb der Bundesrat.</p><p class="Standard_d">Sprecher mehrerer Fraktionen sahen die Schweiz im internationalen Vergleich im Rückstand. "Gerade bei digitalen Kompetenzen sind wir relativ schlecht", stellte Melanie Mettler (GLP/BE) fest.</p><p class="Standard_d">Umstritten waren im Nationalrat die Frist zwischen Vorfall und Meldung sowie die Bussen für eine Verletzung der Meldepflicht. Auf Antrag der Mehrheit und des Bundesrates schrieb der Rat ins Gesetz, dass die Meldung innert 24 Stunden nach dem Vorfall beim NCSC gemacht werden muss.</p><p class="Standard_d">Es gehe darum, rasch handeln zu können, sagte Ida Glanzmann (Mitte/LU). Es brauche keine kritische Analyse, sondern nur eine Anzeige, dass etwas passiert sei, doppelte Edith Graf-Litscher (SP/TG) nach. International habe sich eine Frist von 24 Stunden durchgesetzt, sagte Verteidigungsministerin Viola Amherd.</p><p class="Standard_d"> </p><p class="Standard_d">Busse für vorsätzlich unterlassene Meldung</p><p class="Standard_d">Die SVP hätte die Limite bei 72 Stunden setzen wollen, unterlag aber klar. Angegriffene seien zunächst mit der Abwehr beschäftigt, sagte David Zuberbühler (SVP/AR). Sie sollten zunächst selbst Massnahmen ergreifen können und darum mehr Zeit für die Meldung erhalten.</p><p class="Standard_d">Die SVP wollte auch auf Bussen von bis zu 100'000 Franken für die Verletzung der Meldepflicht verzichten. Statt staatlichen Zwang mit Bussenandrohung brauche es positive Anreize, Vorfälle zu melden und einen möglichst guten Informationsaustausch, sagte Zuberbühler. Von Angegriffenen gehe ja keine kriminelle Energie aus.</p><p class="Standard_d">Der Nationalrat folgte aber auch hier mit 130 zu 55 Stimmen dem Bundesrat. Demnach riskiert eine Busse von bis zu 100'000 Franken, wer die Meldepflicht vorsätzlich nicht erfüllt, trotz Aufforderung.</p><p class="Standard_d">Die Meldepflicht gilt zum Beispiel für Bundesrat und Parlament, die Bundesanwaltschaft, Armee, Hochschulen, Banken, Gesundheits- und Energieversorger, die SRG und Bahnunternehmen. Das NCSC steht Angegriffenen, die Meldung machen, unterstützend zur Seite.</p><p class="Standard_d">Verteidigungsministerin Amherd sah die Freiwilligkeit beim Melden an Grenzen gekommen. Einige Unternehmen meldeten Vorfälle. Andere hingegen verzichteten darauf, profitierten aber dennoch davon. Eine Meldepflicht gebe es in vielen Ländern, in der EU seit 2018.</p><p class="Standard_d"> </p><p class="Standard_d">Rund 22'000 Meldungen</p><p class="Standard_d">Heute fehle eine Übersicht darüber, welche Angriffe wo stattgefunden haben, da Meldungen an das NCSC freiwillig seien, schrieb der Bundesrat. Durch die Meldepflicht sollen künftig alle Betreiberinnen und Betreiber kritischer Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen.</p><p class="Standard_d">2021 wurden dem NCSC rund 22'000 Fälle von Cyberkriminalität gemeldet - rund doppelt so viele wie 2020. Bei vielen der gemeldeten Vorfälle handelt es sich allerdings um erkannte Angriffsversuche und nicht um erfolgreiche Angriffe. Der Bundesrat hatte das NCSC 2019 geschaffen.</p><p> </p><h4 class="SDA_Meldung_d">SDA-Meldung</h4><h3 class="Debatte_sda_linksbündig_d"><strong>Debatte im Ständerat, 01.06.2023</strong></h3><p class="Standard_d"><strong>Parlament will eine Meldepflicht bei Cyberangriffen einführen</strong></p><p class="Standard_d"><strong>Betreiber kritischer Infrastrukturen sollen Cyberangriffe mit grossem Schadenspotenzial künftig melden müssen, innerhalb von 24 Stunden. Das hat nach dem Nationalrat auch der Ständerat entschieden. Wer der Meldepflicht vorsätzlich nicht nachkommt, riskiert eine Busse.</strong></p><p class="Standard_d">Die kleine Kammer hiess am Donnerstag die nötigen Änderungen im Informationssicherheitsgesetz als Zweitrat mit 42 zu 0 Stimmen gut. Die Vorlage geht zur Differenzbereinigung zurück an den Nationalrat.</p><p class="Standard_d">Dieser hatte im März auf Antrag seiner Sicherheitspolitischen Kommission (SIK-N) eine Ausweitung der Meldepflicht beschlossen. Diese soll nicht nur Cyberangriffe mit grossem Schadenspotenzial umfassen, sondern auch schwerwiegende Schwachstellen in Computersystemen. Die Mehrheit im Nationalrat versprach sich davon präventive Wirkung.</p><p class="Standard_d"> </p><p class="Standard_d">Keine Ausweitung der Meldepflicht</p><p class="Standard_d">Im Ständerat lehnte diese Ausweitung mit 31 zu 13 Stimmen ab. Die Mehrheit erachtete die Meldepflicht als nicht zielführend, da nicht genügend Klarheit über die Anzahl betroffener Unternehmen sowie die Art der zu meldenden Schwachstellen bestehe.</p><p class="Standard_d">"Die Ausweitung hätte einen unbestimmten Mehraufwand für die Betriebe und die Meldestelle zur Folge", sagte Hans Wicki (FDP/NW). Zudem könne der Begriff "Schwachstelle" unterschiedlich ausgelegt werden. Es bestehe Rechtsunsicherheit.</p><p class="Standard_d">Kommissionssprecherin Andrea Gmür-Schönenberger (Mitte/LU) hielt entgegen, dass es sinnvoll wäre, Schwachstellen zu melden, damit andere Unternehmen, die mit derselben Software arbeiten, vorgewarnt würden. Mathias Zopfi (Grüne/GL) versuchte die Kritiker der Ausweitung der Meldepflicht zu beruhigen. "Wenn Sie eine Cyberschwachstelle haben, sollte es drin liegen, ein Onlineformular auszufüllen."</p><p class="Standard_d"> </p><p class="Standard_d">Bussen bis zu 100'000 Franken</p><p class="Standard_d">Verteidigungsministerin Viola Amherd sagte im Ständerat, dass der Bundesrat mit beiden Lösungen leben könne - mit oder ohne erweiterte Meldepflicht von Schwachstellen. Zentral sei aber, die Meldepflicht von Cyberangriffen rasch einzuführen. Diese seien "eine zentrale Bedrohung für Gesellschaft, Staat und Wirtschaft".</p><p class="Standard_d">Zentrale Meldestelle für Cyberangriffe soll das Nationale Zentrum für Cybersicherheit (NCSC) sein. Dieses soll ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden, schrieb der Bundesrat in der Botschaft zur Vorlage.</p><p class="Standard_d">Wer der Meldepflicht vorsätzlich nicht nachkommt, soll mit bis zu 100'000 Franken gebüsst werden können. Die Meldepflicht gilt zum Beispiel für Bundesrat und Parlament, die Bundesanwaltschaft, die Armee, Hochschulen, Banken, Gesundheits- und Energieversorger, die SRG und Bahnunternehmen. Das NCSC steht Angegriffenen, die Meldung machen, unterstützend zur Seite.</p><p class="Standard_d"> </p><p class="Standard_d">Fälle von Cyberangriffen nehmen zu</p><p class="Standard_d">Heute fehle eine Übersicht darüber, welche Angriffe wo stattgefunden hätten, da Meldungen an das NCSC freiwillig seien, schrieb der Bundesrat in der Botschaft. Durch die Meldepflicht sollen künftig alle Betreiberinnen und Betreiber kritischer Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen.</p><p class="Standard_d">Verteidigungsministerin Amherd sah die Freiwilligkeit beim Melden an Grenzen gekommen. Einige Unternehmen meldeten Vorfälle. Andere hingegen verzichteten darauf, profitierten aber von Meldungen anderer. Eine Meldepflicht gebe es in vielen Ländern, in der EU seit 2018.</p><p> </p><h4 class="SDA_Meldung_d">SDA-Meldung</h4><h3 class="Debatte_sda_linksbündig_d"><strong>Debatte im Nationalrat, 11.09.2023</strong></h3><p class="Standard_d"><strong>Nationalrat für Kompromiss bei Meldepflicht von Cybervorfällen</strong></p><p><strong>Betreiber kritischer Infrastrukturen sollen Cyberangriffe mit grossem Schadenspotenzial künftig melden müssen. Darauf haben sich die Räte bereits geeinigt. Noch umstritten ist aber, wie weit die Meldepflicht gehen soll.</strong></p><p>Die grosse Kammer befasste sich am Montag zum zweiten Mal mit dem Informationssicherheitsgesetz. Der Nationalrat hatte in der ersten Beratungsrunde die vom Bundesrat vorgeschlagene Meldepflicht ausweiten und auch schwerwiegende Schwachstellen in Systemen meldepflichtig machen wollen. Der Ständerat wollte das bisher nicht.</p><p>Die Mehrheit der Sicherheitspolitischen Kommission beantragte nun einen Kompromiss. Den Antrag, eigene Entwicklungen der Unternehmen von der Meldepflicht auszunehmen, nahm der Rat mit 102 zu 80 Stimmen an. Spezifische Eigenentwicklungen würden von anderen Betreibern nicht eingesetzt, sagte Sprecher Gerhard Andrey (Grüne/FR) dazu.</p><p>SVP und FDP lehnten die Meldepflicht für Schwachstellen ab und wollten dem Ständerat folgen. Es bestehe das Risiko, dass gemeldete Schwachstellen von Hackern angegriffen und Daten in die Hände von Kriminellen gelangen würden, bevor die Sicherheitslücken behoben seien, gab David Zuberbühler (SVP/AR) zu bedenken.</p><p>Bundesrätin Viola Amherd fügte an, dass eine Ausweitung der Meldepflicht eine Vielzahl von Meldungen auslösen würde, weil nicht klar definiert sei, was eine Schwachstelle sei. Auch den Kompromissvorschlag beurteile die Wirtschaft kritisch.</p><p> </p><h3 class="Debatte_sda_linksbündig_d"><strong>Debatte im Ständerat, 19.09.2023</strong></h3><p class="Standard_d">Abweichung</p><p> </p><h4 class="SDA_Meldung_d">SDA-Meldung</h4><h3 class="Debatte_sda_linksbündig_d"><span style="color:#221E1F;"><strong>Debatte im Nationalrat, 21.09.2023</strong></span></h3><p class="Standard_d"><strong>Parlament versenkt Meldepflicht für gravierende Schwachstellen</strong><br><strong>Betreiber von kritischen Infrastrukturen wie etwa Gesundheits- und Energieversorger und Bahnunternehmen werden künftig Cyberangriffe mit grossem Schadenspotenzial dem Bund melden müssen. Wenn sie aber schwerwiegende Schwachstellen in ihren Informatiksystemen feststellen, müssen sie das nicht tun.</strong></p><p class="Standard_d">Darauf haben sich die Eidgenössischen Räte geeinigt und damit die Beratung von Änderungen am Informationssicherheitsgesetz abgeschlossen. Der Nationalrat beschloss am Donnerstagmorgen, sich der Position des Ständerats anzuschliessen und auf eine Meldepflicht für schwerwiegende Schwachstellen zu verzichten.</p><p class="Standard_d">Im Rat hiess es, es sei besser, jetzt die letzte Differenz zur kleinen Kammer auszuräumen, als noch mit dem Geschäft in die Einigungskonferenz zu gehen. Die Änderung des Informationssicherheitsgesetzes ist nun bereit für die Schlussabstimmungen am Ende der Herbstession in den beiden Räten.</p><p class="Standard_d">Die Gegner der Meldepflicht auch für schwerwiegende Schwachstellen argumentierten im Ständerat, eine solche Bestimmung wäre nicht zielführend. Es fehlte an genügend Klarheit über die Anzahl betroffener Unternehmen sowie die Art der zu meldenden Schwachstellen. Eine Ausweitung der Meldepflicht würde eine Vielzahl von Meldungen auslösen, weil nicht klar definiert sei, was eine Schwachstelle sei.</p><p class="Standard_d">Vergeblich versuchte der Nationalrat zu Beginn der Herbstsession, eine Brücke zum Ständerat zu schlagen. Dies, indem er vorschlug, gravierende Schwachstellen in Eigenentwicklungen der kritischen Infrastrukturbetreiber müssten nicht gemeldet werden. Denn spezifische Eigenentwicklungen würden von anderen Betreibern nicht eingesetzt. Auf diesen Kompromissvorschlag ging der Ständerat am Dienstag nicht ein.</p><p class="Standard_d"> </p><p class="Standard_d">Wer nicht meldet, wird gebüsst</p><p class="Standard_d">Laut der nun bereinigten Vorlage wird das Nationale Zentrum für Cybersicherheit (NCSC) die zentrale Meldestelle für Cybervorfälle sein. Dieses soll ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden, schrieb der Bundesrat in der Botschaft zur Vorlage.</p><p class="Standard_d">Wer der Meldepflicht vorsätzlich nicht nachkommt, soll mit bis zu 100'000 Franken gebüsst werden können. Die Meldepflicht gilt zum Beispiel für Bundesrat und Parlament, die Bundesanwaltschaft, die Armee, Hochschulen, Banken, Gesundheits- und Energieversorger, die SRG und Bahnunternehmen. Das NCSC steht Angegriffenen, die Meldung machen, unterstützend zur Seite.</p><p class="Standard_d">2021 wurden dem NCSC rund 22'000 Fälle von Cyberkriminalität gemeldet - rund doppelt so viele wie 2020. Bei vielen der gemeldeten Vorfälle handelt es sich allerdings um erkannte Angriffsversuche und nicht um erfolgreiche Angriffe. Der Bundesrat hatte das NCSC 2019 geschaffen.<br> </p>
- Updated
- 15.10.2024 12:07