26 Sep 2023
Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen - Update zum Thema
Quelle: Marcel Suter, Leiter Geschäftsstelle NCSC, 28.08.2023
Ziele der Meldepflicht
Frühwarnung und Übersicht zur Bedrohungslage
Mehr Informationen über Cyberangriffe ermöglichen es dem NCSC andere Organisationen schneller und präziser zu warnen und eine gute Übersicht zur Bedrohungslage zu erhalten.
Rechtssicherheit und Rechtsgleichheit
Der freiwillige Informationsaustausch war lange sehr effizient. Er führt allerdings zum Problem des «Freeriding». Alle profitieren von den geteilten Informationen aber nicht alle sind bereit dazu, Informationen über Cyberangriffe zu teilen.
Internationaler Kontext
Mit der NIS-Direktive hat die EU 2018 eine Meldepflicht für Cyberangriffe für alle Mitgliedsstaaten eingeführt.
Mehr Informationen über Cyberangriffe ermöglichen es dem NCSC andere Organisationen schneller und präziser zu warnen und eine gute Übersicht zur Bedrohungslage zu erhalten.
Rechtssicherheit und Rechtsgleichheit
Der freiwillige Informationsaustausch war lange sehr effizient. Er führt allerdings zum Problem des «Freeriding». Alle profitieren von den geteilten Informationen aber nicht alle sind bereit dazu, Informationen über Cyberangriffe zu teilen.
Internationaler Kontext
Mit der NIS-Direktive hat die EU 2018 eine Meldepflicht für Cyberangriffe für alle Mitgliedsstaaten eingeführt.
Die Meldepflicht im Informationssicherheitsgesetz (ISG)
- Das ISG ist ein neues Gesetz (Beschluss 18. Dezember 2020), welches bisher ausschliesslich die Informationssicherheit des Bundes und teilweise der Kantone regelt.
- Das ISG tritt per 1. Januar 2024 in Kraft.
- Die Einführung der Meldepflicht wird als Revision des ISG umgesetzt. Das ISG wird so erweitert zu einem Informationssicherheitsgesetz mit Auswirkungen auf kritische Infrastrukturen.
-> Die Meldepflicht tritt noch nicht am 1. Januar 2024 in Kraft. Sie wird separat als Revision des Gesetzes beschlossen.
Stand der Debatten im Parlament
Der Nationalrat hat der Vorlage am 16.3.2023 zugestimmt. Er hat dabei eine Erweiterung der Meldepflicht auf Schwachstellen beschlossen
Der Ständerat hat der Vorlage am 1.6.2023 zugestimmt, die Erweiterung des Nationalrats allerdings abgelehnt.
-> Herbstsession 2023: Differenzbereinigungsverfahren zwischen National- und Ständerat. Anschliessend Schlussabstimmung.
Der Ständerat hat der Vorlage am 1.6.2023 zugestimmt, die Erweiterung des Nationalrats allerdings abgelehnt.
-> Herbstsession 2023: Differenzbereinigungsverfahren zwischen National- und Ständerat. Anschliessend Schlussabstimmung.
Nächste Schritte und Zeitplan der Einführung
Nach Beschluss durch Parlament: Ausarbeitung einer Verordnung mit konkreten Vorgaben zur Meldepflicht.
- Q1 2024: Vernehmlassung der Verordnung.
- Q3 2024: Beschluss der Verordnung.
- Geplant ist, die Meldepflicht ab 1. Januar 2025 in Kraft treten zu lassen. Der Bundesrat wird das Datum beim Beschluss der Verordnung festlegen.
WER muss melden (Art. 74b) – Betreiberinnen kritischer Infrastrukturen
Grundgedanke: aufgeführt werden jene in der Strategie zum Schutz kritischer Infrastrukturen aufgelisteten Teilsektoren, welche gegenüber Cyberangriffen verwundbar sind.
Betroffen sind insgesamt 19 Bereiche
Für die Definition der Adressaten wird auf bestehende Gesetze verwiesen.
Betroffen sind insgesamt 19 Bereiche
Für die Definition der Adressaten wird auf bestehende Gesetze verwiesen.
Einschränkungen der Meldepflicht (Art 74c)
Der Bundesrat kann die Meldepflicht durch geeignete Kriterien in den jeweiligen Sektoren einschränken, wenn:
- geringen Abhängigkeit von Informatikmitteln besteht
- Ausfälle oder Funktionsstörungen der Infrastruktur nur geringe Auswirkungen hätten (Anzahl Personen, Substituierbarkeit, geringe volkswirtschaftliche Bedeutung)
Welche Angriffe müssen gemeldet werden (Art. 74d)?
Ein Cyberangriff muss gemeldet werden, wenn er:
- die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet;
- zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat;
- über einen längeren Zeitraum unentdeckt blieb, insbesondere wenn Anzeichen dafür bestehen, dass er zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde; oder
- mit Erpressung, Drohung oder Nötigung verbunden ist.
Inhalt und Frist der Meldung (Art. 74e)
- Die Meldung muss innert 24 Stunden nach der Entdeckung des Cyberangriffs erfolgen.
- Sie muss Informationen zur meldepflichtigen Behörde oder Organisation, zur Art und Ausführung des Cyberangriffs, zu seinen Auswirkungen, zu ergriffenen Massnahmen und, soweit bekannt, zum geplanten weiteren Vorgehen enthalten.
- Sind zum Zeitpunkt der Meldung nicht alle erforderlichen Informationen bekannt, so ergänzt die meldepflichtige Behörde oder Organisation die Meldung, sobald sie über neue Informationen verfügt.
Sanktionen
Mehrstufiges Verfahren:
- Das NCSC muss die kritische Infrastruktur auf die Unterlassung aufmerksam machen.
- Kommt die Betreiberin trotz dieser Information ihrer Pflicht nicht nach, so erlässt das NCSC eine Verfügung über die umzusetzenden Pflichten.
- Wird die Verfügung ignoriert, erstattet das NCSC Strafanzeige. Möglich sind Bussen bis CHF 100’000.
Unterstützung der kritischen Infrastrukturen durch das NCSC
Prävention
Informationsaustausch: Das NCSC teilt Informationen zu Cyberangriffen und Bedrohungen direkt mit kritischen Infrastrukturen. Es empfliehlt Gegenmassnahmen und kann auch technische Instrumente zur Verfügung stellen.
Das NCSC fördert und ermöglicht den sichereren Informationsaustausch zwischen Betreibern kritischer Infrastrukturen.
Informationsaustausch: Das NCSC teilt Informationen zu Cyberangriffen und Bedrohungen direkt mit kritischen Infrastrukturen. Es empfliehlt Gegenmassnahmen und kann auch technische Instrumente zur Verfügung stellen.
Das NCSC fördert und ermöglicht den sichereren Informationsaustausch zwischen Betreibern kritischer Infrastrukturen.
Vorfallbewältigung
Das NCSC unterstützt Betroffene subsidiär bei der Bewältigung eines Cybervorfalls im Sinne einer ersten Hilfe zur Wiedererlangung der Funktionsfähigkeit.
Das NCSC unterstützt Betroffene subsidiär bei der Bewältigung eines Cybervorfalls im Sinne einer ersten Hilfe zur Wiedererlangung der Funktionsfähigkeit.