Infrastruktur-Verbände begrüssen Meldepflicht für Cyberangriffe
Der Bundesrat schlägt eine Revision bezüglich der Meldepflicht für Cyberangriffe vor. Die meisten Parteien unterstützen dies – jedoch nicht die SVP.
Das Wichtigste in Kürze
- Betreiber von Infrastrukturen bejahen die vorgeschlagene Meldepflicht für Cyberangriffe.
- Einzig die SVP-Partei hält das revidierte Informationssicherheitsgesetz für überflüssig.
- Schweizer Atomkraftwerke als kritische Infrastrukturen stehen bereits unter Meldepflicht.
Die Betreiber kritischer Infrastrukturen in der Schweiz begrüssen die vom Bundesrat vorgeschlagene Meldepflicht für Cyberangriffe bei ihnen. Von den Parteien hält einzig die SVP das entsprechend revidierte Informationssicherheitsgesetz für überflüssig. Die Vernehmlassungsfrist für Stellungnahmen zu der Revision lief am Donnerstag ab.
Der Verband Schweizerischer Elektrizitätsunternehmen (VSE) unterstützt für die direkt betroffene Strombranche die Vorlage. Insbesondere der Stärkung des nationalen Zentrums für Cybersicherheit (National Cyber Security Centre - NCSC) als Anlaufstelle stimmt er zu. Grundsätzlich erwartet der VSE von dem Zentrum als Computersicherheits-Reaktionsteam eine schnelle Abwehr und Bewältigung.
Schweizer Atomkraftwerke stehen bereits unter bestehender Meldepflicht
Die Schweizer Atomkraftwerke als kritische Infrastrukturen verweisen auf ihre bereits bestehende Meldepflicht. Cyberangriffe und andere Ereignisse müssen sie dem Eidgenössischen Nuklearsicherheitsinspektorat (Ensi) melden.
Der Stromkonzern Axpo ortet Ausführungsprobleme in gewissen Punkten. So sei bei einem Angriff durch einen fremden Staat die Urheberschaft nicht immer dingfest zu machen. Angriffe hingegen sollten schnell gemeldet werden. Darum müssten die Angegriffenen Informationen nachliefern können, die erst durch zeitintensive Suchen zu ermitteln sind.
Die bisherige freiwillige Meldepraxis sei unzulänglich
Die Stromnetzbetreiberin Swissgrid bezeichnet die bisherige freiwillige Meldepraxis als ungenügend. Zum Schutz der Infrastrukturen müssten die zuständigen Bundesstellen über Herkunft, Methoden und Ausmass von Angriffen Bescheid wissen. Mit der Stossrichtung zwar einverstanden, wünscht Swissgrid noch diverse Abstimmungen unter anderem mit dem Datenschutzgesetz.
Asut, der Schweizerische Verband der Telekommunikation, stellt sich hinter die Stossrichtung. Er regt aber an, eine zentrale Meldestelle für sämtliche Cybervorfälle einzurichten. Zu präzisieren ist für ihn zudem die Meldepflicht, die lediglich für einige kritische Infrastrukturen gelten soll. Strafbestimmungen, die zur persönlichen Strafbarkeit Verantwortlicher führen, lehnt er ab.
Der Wirtschaftsdachverband Economiesuisse spricht sich gegen Strafbestimmungen aus. Ferner verlangt er eine abschliessende und klar eingegrenzte Liste der Meldepflichtigen. Zudem fordert sie eine auf die Schädlichkeit ausgerichtete Definition der zu meldenden Ereignisse.
Meldepflicht auch für Patientendossier-Plattformen?
Die Konferenz der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD) heisst alle Punkte der Vorlage gut. Sie stärkt in ihren Augen die Widerstandskraft gegen Cyberbedrohungen. Dass möglichst viele kritische Infrastrukturen den neuen Gesetzesbestimmungen unterstehen, findet die KKJPD wesentlich. Zielführend sei aber auch, kleine Organisationen mit geringem volkswirtschaftlichem Schadenspotenzial von der Meldepflicht auszunehmen.
Die Konferenz der kantonalen Gesundheitsdirektorinnen und -direktoren (GDK) hält die Meldepflicht für sinnvoll. Sie fragt aber, ob alle Listenspitäler vom kleinsten Regionalspital bis zur Universitätsklinik der Meldepflicht unterstehen sollen. Geprüft haben will sie zudem, ob die Meldepflicht nicht auch für Patientendossier-Plattformen gelten sollte.
Die SVP lehnt die Revision ab
Die SVP lehnt das Revision ab. Sie führt als Grund erhebliche Mehrkosten für die Wirtschaft ohne erkennbaren Sicherheitsgewinn an. Der aktuell freiwillige Informationsaustausch funktioniere. Zwischen den Unternehmen und den Behörden bestehe ein Vertrauensverhältnis, somit sei die Meldepflicht für Cyberangriffe mithin überflüssig.
SP und FDP befürworten die Meldepflicht
Anders die SP: Sie ist für die Meldepflicht, fordert aber zusätzlich, dass das Sicherheitszentrum auch eine Warnfunktion übernimmt. Die Liste der schützenswerten Infrastrukturen bedarf in ihren Augen der laufenden Überprüfung. Die Strafbestimmungen sollten zudem nach fünf Jahren noch einmal angeschaut werden.
Bei der FDP rennt die Vorlage offene Türen ein. Das revidierte Gesetz schliesse eine Lücke, denn bisher fehlte dem NCSC die rechtliche Grundlage, um seine Aufgaben wahrzunehmen. Die Meldepflicht ermögliche ein vollständiges Lagebild.
Die Mitte begrüsst im Weiteren, dass das nationale Zentrum für Cybersicherheit die Meldungen entgegennimmt. Das beschleunigt ihrer Ansicht nach die Abläufe. Die Meldestelle sollte in bestehende Strukturen eingefügt werden.
Aus Sicht der Grünen sollte die Cybersicherheit von einem eigenen Bundesamt oder sogar einem Staatssekretariat überwacht werden. Bis dahin müsste das NCSC mehr Kompetenzen, gerade bei der Sensibilisierung, erhalten.
Die Grünliberalen wollen anonyme Meldungen ausdrücklich ins Gesetz schreiben. Wie die Grünen stört sie, dass eine Meldepflicht nur für Angriffe vorgesehen ist, nicht aber für Schwachstellen. Das würde dem NCSC präventive Aktionen ermöglichen.