Neues Informationssicherheitsgesetz

Digitalswitzerland schlägt abgestufte Meldepflicht für Cybervorfälle vor

Uhr
von René Jaun und skk

Mit dem neuen Informationssicherheitsgesetz will der Bundesrat Betreiber kritischer Infrastrukturen zum Melden von Cybervorfällen verpflichten. Digitalswitzerland begrüsst die Idee, fordert aber eine klarere Definition der Meldepflichtigen.

(Source: Conny Schneider / unsplash)
(Source: Conny Schneider / unsplash)

Die Vernehmlassung zum revidierten Informationssicherheitsgesetz (ISG) ist vorbei. Mit dem Gesetzesentwurf will der Bundesrat eine Meldepflicht für Cybervorfälle einführen. Gelten soll diese für Betreiber kritischer Infrastrukturen. Das Gesetzt schafft die nötigen Grundlagen und regelt auch die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC).

In seiner Stellungnahme begrüsst Digitalswitzerland die vorgeschlagene Meldepflicht grundsätzlich. Sie sei ein wichtiger und richtiger Schritt. Der Verband merkt aber an, die Vorlage des Bundesrates bedürfe in einigen Punkten noch der Präzisierung, um Unklarheiten zu vermeiden.

Klarere Definitionen

In ihrer jetzigen Form lässt die Gesetzesvorlage gemäss Digitalswitzerland einen grossen Interpretationsspielraum, welche Unternehmen nun genau die Meldepflicht erfüllen müssen. Damit nicht Unternehmen verpflichtet werden, die irrelevant für die Cybersicherheit von Betreiberinnen kritischer Infrastrukturen sind, fordert der Verband eine klarere Definition der Meldepflichtigen. Weiter schlägt Digitalswitzerland eine abgestufte Meldepflicht vor, die sich an der Kritikalität der Unternehmen orientiert. Dies soll den Kreis der betroffenen Unternehmen reduzieren.

Schliesslich schlägt der Verband vor, den Meldegegenstand präziser zu beschreiben, damit keine Missverständnisse entstehen. Aktuell spreche der Gesetzestext wahlweise von Cybervorfällen, Cyberangriffen oder Schwachstellen.

"Beim ganzen Gesetzesentwurf darf nicht vergessen werden, dass die Meldepflicht zwar ein wichtiger Beitrag zur schweizweiten Cybersicherheit leisten kann, für betroffenen Unternehmen in erster Linie jedoch eine administrative Belastung ist. Es braucht daher klare Vorgaben dazu wer wem was unter welchen Bedingungen liefern muss", lässt sich Andreas Kaelin, Senior Advisor Cyber Security von Digitalswitzerland, zitieren.

Gegen Doppelspurigkeiten und gegen Strafmassnahmen

Ausserdem merkt Digitalswitzerland an, dass Unternehmen bereits heute Cybervorfälle an gewisse staatliche Stellen melden. Der Verband schlägt darum einen "One-Stop-Shop" für solche Meldungen vor. Diese dienstleistungsorientierte Massnahme würde den Nutzen der Gesetzesvorlage für die betroffenen Unternehmen nochmals deutlich steigern, argumentiert Digitalswitzerland.

Gar nichts hält die Organisation von den im Gesetz enthaltenen Strafbestimmungen. Mit der Meldepflicht werde eine Behördendienstleistung angeboten, die auf einer partnerschaftlichen Zusammenarbeit mit der Wirtschaft beruhe, und dafür brauche es gegenseitiges Vertrauen. Strafbestimmungen würden den kooperativen Geist widerlaufen zu Misstrauen unter den Beteiligten führen.

Bereits im März endete die Vernehmlassung für eine angepasste Fernmeldeverordnung. Auch hier stellte sich Digitalswitzerland grundsätzlich den Bund, machte aber dennoch ein paar Verbesserungsvorschläge. Mehr dazu lesen Sie hier.

Webcode
DPF8_253433