Bund regelt Meldepflicht für Cyberangriffe
Ab 2025 müssen Betreiber kritischer Infrastrukturen dem Bund Cyberangriffe melden. Die Details zu dieser Bestimmung schickte der Bundesrat nun in die Vernehmlassung. In der Verordnung regelt er auch die nationale Cyberstrategie und die Aufgaben des BACS.
Anfang 2024 ist das neue Informationssicherheitsgesetz (ISG) in Kraft getreten. Aussen vor blieb dabei jedoch die vom Parlament beschlossene Meldepflicht von Cyberangriffen auf kritische Infrastrukturen. Sie soll 2025 eingeführt werden. Die dazu gehörende Cybersicherheitsverordnung (CSV) schickte der Bundesrat am 22. Mai 2024 in die Vernehmlassung.
Keine Meldepflicht für kleine Behörden
In der Verordnung gibt der Bund vor, wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen umgesetzt werden soll. Ein Kernelement der CSV sind aber auch die Bestimmungen zu den Ausnahmen von der Meldepflicht. Explizit von der Meldepflicht ausgenommen sind gemäss Mitteilung Behörden und Unternehmen, bei denen ein Cyberangriff keine unmittelbaren Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat. Der entsprechende Artikel 16 enthält eine ganze Reihe von Schwellenwerten für bestimmte Unternehmen etwa aus der Energie- oder der ÖV-Branche.
Beispielsweise seien Anbieter und Betreiber von Cloud Computing und Suchmaschinen sowie Rechenzentren, die einen Sitz in der Schweiz haben, nur dann meldepflichtig, wenn sie ihre Leistungen teilweise oder vollumfänglich für Dritte und gegen Entgelt erbringen, schreibt der Bund in den Erläuterungen zur CSV. Rechenzentren, die ihre Leistung ausschliesslich für den Eigenbedarf erbringen, fallen nicht unter die Pflicht.
Wo keine konkreten Schwellenwerte definiert sind, gilt: Die Unternehmen sind von der Meldepflicht ausgeschlossen, "sofern sie im betroffenen Bereich weniger als 50 Personen beschäftigen und ihr Jahresumsatz beziehungsweise ihre Jahresbilanzsumme im betroffenen Bereich 10 Millionen Franken nicht übersteigt". Auch für kleine Behörden, die - gemessen an der ständigen Bevölkerung - für weniger als 1000 Personen zuständig sind, gelte die Meldepflicht nicht. "Die in der Regel kleinen bis sehr kleinen Verwaltungen dieser Gemeinden sollen durch eine Meldepflicht nicht zusätzlich belastet werden", schreibt der Bund in den Erläuterungen. Er fügt an, dass mit diesem Schwellenwert fast 40 Prozent der Gemeinden entbunden seien. "Davon wären gesamthaft rund 430'000 Einwohnerinnen und Einwohner betroffen." Die Ausnahme zu dieser Ausnahme sind "Anbieterinnen und Betreiberinnen von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen. Diese sind auch dann meldepflichtig, wenn sie ihre Dienste und Infrastrukturen für weniger als 1000 Einwohnerinnen und Einwohner anbieten."
Wer nicht sicher ist, kann nachfragen
Laut einer unlängst durchgeführten Befragung gibt es viele Unternehmen, die nicht sicher sind, ob sie Cyberangriffe künftig melden sollen oder nicht. Unsicherheit sei zu erwarten, räumt der Bund im Bericht zur CSV (PDF) ein. In einem Artikel schafft er deswegen die Möglichkeit für interessierte Behörden und Organisationen, beim Bundesamt für Cybersicherheit (BACS) vorstellig zu werden und bezüglich einer Meldepflicht – oder einer Befreiung davon – nachzufragen. Dafür müssten die Nachfragenden dem Bundesamt "alle erforderlichen Unterlagen zur Verfügung stellen". Die Auskunft des BACS sei ausserdem eine Momentaufnahme, fügt der Bund hinzu. Bei einer wesentlichen Änderung der relevanten Tatsachen oder Umstände sei die betroffene Organisation dafür verantwortlich, unverzüglich der Meldepflicht nachzukommen oder bei Unsicherheit erneut beim BACS anzuklopfen.
Die Verordnung enthält auch genauere Definitionen, welche Angriffe konkret gemeldet werden müssen, unterteilt in die Abschnitte "Gefährdung der Funktionsfähigkeit der kritischen Infrastruktur", "Manipulation oder Abfluss von Informationen", "Über einen längeren Zeitraum unentdeckter Cyberangriff" und "Mit Erpressung, Drohung oder Nötigung verbundener Cyberangriff".
Insgesamt ist die CSV in 6 Hauptabschnitte gegliedert, von denen sich nur einer mit den Bestimmungen zur Meldepflicht befasst. In einem weiteren Abschnitt regelt der Bund die Nationale Cyberstrategie (NCS) und den dafür einberufenen Steuerungsausschuss. Auch ein Abschnitt zu den Aufgaben des BACS sowie einer über ein vom BACS betriebenes Kommunikationssystem sind enthalten. Das System diene dem sicheren und vertraulichen Informationsaustausch zwischen dem Bundesamt und Organisationen und Behörden mit Sitz in der Schweiz. Zudem können die Betreiber kritischer Infrastrukturen dem BACS Dienstleister melden, die ebenfalls Zugang zum System erhalten sollen.
Die Vernehmlassung der CSV dauert bis zum 13. September 2024.
Anfang 2024 ist aus dem Nationalen Zentrum für Cybersicherheit ein Bundesamt geworden. Das neue Staatssekretariat für Sicherheitspolitik ist indes für die Sicherheitspolitik und die Informationssicherheit verantwortlich. Details dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.