Cybersicherheit
14.04.2022, 12:00 Uhr
Infrastruktur-Verbände begrüssen Meldepflicht für Cyberangriffe
Die Betreiber kritischer Infrastrukturen in der Schweiz begrüssen die vom Bundesrat vorgeschlagene Meldepflicht für Cyberangriffe bei ihnen. Von den Parteien hält einzig die SVP das entsprechend revidierte Informationssicherheitsgesetz für überflüssig.
Die Betreiber kritischer Infrastrukturen begrüssen grundlegend die Revision des Informationssicherheitsgesetzes
(Quelle: Axpo)
Die Vernehmlassungsfrist für Stellungnahmen zu der Revision des Informationssicherheitsgesetz lief am Donnerstag ab. Diese sieht unter anderem eine Meldepflicht für Cyberangriffe auf Betreiber kritischer Infrastrukturen vor. Deren Vertreter begrüssen die Überarbeitung.
So unterstützt der Verband Schweizerischer Elektrizitätsunternehmen (VSE) für die direkt betroffene Strombranche die Vorlage. Insbesondere der Stärkung des nationalen Zentrums für Cybersicherheit (National Cyber Security Centre - NCSC) als Anlaufstelle stimmt er zu. Grundsätzlich erwartet der VSE von dem Zentrum als Computersicherheits-Reaktionsteam eine schnelle Abwehr und Bewältigung.
Die Schweizer Atomkraftwerke als kritische Infrastrukturen verweisen auf ihre bereits bestehende Meldepflicht. Cyberangriffe und andere Ereignisse müssen sie dem Eidgenössischen Nuklearsicherheitsinspektorat (Ensi) melden.
Der Stromkonzern Axpo ortet Ausführungsprobleme in gewissen Punkten. So sei bei einem Angriff durch einen fremden Staat die Urheberschaft nicht immer dingfest zu machen. Angriffe hingegen sollten schnell gemeldet werden. Darum müssten die Angegriffenen Informationen nachliefern können, die erst durch zeitintensive Suchen zu ermitteln sind.
Änderungswünsche bei Details
Die Stromnetzbetreiberin Swissgrid bezeichnet die bisherige freiwillige Meldepraxis als ungenügend. Zum Schutz der Infrastrukturen müssten die zuständigen Bundesstellen über Herkunft, Methoden und Ausmass von Angriffen Bescheid wissen. Mit der Stossrichtung zwar einverstanden, wünscht Swissgrid noch diverse Abstimmungen unter anderem mit dem Datenschutzgesetz.
Asut, der Schweizerische Verband der Telekommunikation, stellt sich hinter die Stossrichtung. Er regt aber an, eine zentrale Meldestelle für sämtliche Cybervorfälle einzurichten. Zu präzisieren ist für ihn zudem die Meldepflicht, die lediglich für einige kritische Infrastrukturen gelten soll. Strafbestimmungen, die zur persönlichen Strafbarkeit Verantwortlicher führen, lehnt er ab.
Der Wirtschaftsdachverband Economiesuisse spricht sich gegen Strafbestimmungen aus. Ferner verlangt er eine abschliessende und klar eingegrenzte Liste der Meldepflichtigen sowie eine auf die Schädlichkeit ausgerichtete Definition der zu meldenden Ereignisse.
Grössere Widerstandskraft
Die Konferenz der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD) heisst alle Punkte der Vorlage gut. Sie stärkt in ihren Augen die Widerstandskraft gegen Cyberbedrohungen. Dass möglichst viele kritische Infrastrukturen den neuen Gesetzesbestimmungen unterstehen, findet die KKJPD wesentlich. Zielführend sei aber auch, kleine Organisationen mit geringem volkswirtschaftlichem Schadenspotenzial von der Meldepflicht auszunehmen.
Die Konferenz der kantonalen Gesundheitsdirektorinnen und -direktoren (GDK) hält die Meldepflicht für sinnvoll. Sie fragt aber, ob alle Listenspitäler vom kleinsten Regionalspital bis zur Universitätsklinik der Meldepflicht unterstehen sollen. Geprüft haben will sie zudem, ob die Meldepflicht nicht auch für Patientendossier-Plattformen gelten sollte.
SVP hält Änderung für überflüssig
Die SVP lehnt das Revision ab. Sie führt als Grund erhebliche Mehrkosten für die Wirtschaft ohne erkennbaren Sicherheitsgewinn an. Der aktuell freiwillige Informationsaustausch funktioniere. Zwischen den Unternehmen und den Behörden bestehe ein Vertrauensverhältnis. Die Meldepflicht für Cyberangriffe sei mithin überflüssig.
Anders die SP: Sie ist für die Meldepflicht, fordert aber zusätzlich, dass das Sicherheitszentrum auch eine Warnfunktion übernimmt. Die Liste der schützenswerten Infrastrukturen bedarf in ihren Augen der laufenden Überprüfung. Die Strafbestimmungen sollten zudem nach fünf Jahren noch einmal angeschaut werden. Bei der FDP rennt die Vorlage offene Türen ein. Das revidierte Gesetz schliesse eine Lücke, denn bisher fehlte dem NCSC die rechtliche Grundlage, um seine Aufgaben wahrzunehmen. Die Meldepflicht ermögliche ein vollständiges Lagebild.
Die Mitte begrüsst im weiteren, dass das nationale Zentrum für Cybersicherheit die Meldungen entgegennimmt. Das beschleunigt ihrer Ansicht nach die Abläufe. Die Meldestelle sollte in bestehende Strukturen eingefügt werden.
Aus Sicht der Grünen sollte die Cybersicherheit von einem eigenen Bundesamt oder sogar einem Staatssekretariat überwacht werden. Bis dahin müsste das NCSC mehr Kompetenzen gerade bei der Sensibilisierung erhalten.
Die Grünliberalen wollen anonyme Meldungen ausdrücklich ins Gesetz schreiben. Wie die Grünen stört sie, dass eine Meldepflicht nur für Angriffe vorgesehen ist, nicht aber für Schwachstellen. Das würde dem NCSC präventive Aktionen ermöglichen.