Update: Parlament verlangt verbindliche Cybersicherheitsprüfungen

Update von 13.12.2024: In der Schweiz müssen vernetzte Infrastrukturen, Geräte und Anwendungen auf Cybersicherheit geprüft werden. Das verlangt die Sicherheitspolitische Kommission des Ständerates (SIK-S) in ihrer Motion (siehe unten). Nach Absegnung durch den Ständerat sagte bei einer Abstimmung im Nationalrat das Parlament mit 122 zu 62 Stimmen Ja zum Vorstoss.

Zuvor hatte die SIK-S die Motion mit diversen Beispielen von Datendiebstählen und Betriebsunterbrüchen bei Behörden begründet. Laut der SIK-S ist der Mangel an Gesetzen, verbindlichen Standards und Mindestanforderungen und Produkthaftung für Software der Grund dafür, dass unsichere Produkte auf dem Markt landen und von Cyberkriminellen weltweit ausgenutzt werden.

Cyberangriffe seien allgemein als reale Bedrohung für das öffentliche und private Leben zu sehen, in Anbetracht der steigenden Zahl der Angriffe. Die Mehrheit im Nationalrat empfand, dass die Schäden durch Cybervorfälle immer grössere Ausmasse annähmen und der Bund deshalb einschreiten müsse. 

Die Minderheit, die gegen die Forderung stimmte, sieht zwar einen Bedarf an Vorbeugung gegen Cyberangriffe, allerdings soll das Eingreifen des Bundes nicht mit einem "nach oben offenen" Betrag erfolgen. Der Bundesrat ist gemäss Mitteilung mit dem Auftrag zwar einverstanden, dennoch bleibt die Finanzierung der Prüfungen Diskussionsthema. Die Kosten für gesetzlich geregelte Cybersicherheitsprüfungen sollten demnach die Bedarfsträger auf sich nehmen.
 

Originalmeldung von 19.09.2024:

Ständerat will Cybersicherheitsprüfungen für Geräte und Anwendungen

"In der Schweiz werden viele dringend notwendige Prüfungen der Cybersicherheit von vernetzten Infrastrukturen, Geräten und Anwendungen nicht durchgeführt." Dies schreibt die sicherheitspolitische Kommission des Ständerates (SR) in einer Motion, die der Ständerat unlängst stillschweigend annahm. In der Motion fordert die Kleine Kammer den Bundesrat auf, solche Sicherheitsprüfungen zu ermöglichen, denn solche Prüfungen "sind unabdingbar für den Schutz der Gesellschaft und die Funktionsfähigkeit von Wirtschaft und Behörden". Die Exekutive soll die notwendigen gesetzlichen Grundlagen schaffen sowie die finanziellen Mittel bereitstellen.

In der Begründung erinnert die Kommission an "die jüngsten Beispiele von schwerwiegenden Datendiebstählen und Betriebsunterbrüchen bei Behörden, öffentlichen Institutionen und bundesnahen Betrieben". Cyberangriffe stellten eine reale Bedrohung für alle Bereiche des öffentlichen Lebens dar und die Bedrohungslage nehme stetig zu.

In seiner Replik empfiehlt der Bundesrat die Motion zur Annahme. Er bemerkt einzig, dass deren Umsetzung noch eingehend analysiert werden muss, namentlich bezüglich Cybersicherheitsprüfungen usserhalb der Bundesverwaltung. "Die Finanzierung einer allfällig daraus resultierenden Bundesaufgabe soll vollständig durch die Bedarfsträger sichergestellt werden, z.B. über die Erhebung von Gebühren."

Mehr Bedenken hegt der Swico. In einer Stellungnahme (PDF via "Inside-IT") schreibt der Branchenverband, die Motion lase zentrale Fragen offen, eta zum Testumfang, der Bürokratie oder der Finanzierung. Der Swico empfahl, die Motion abzulehnen oder die Details in der zweiten Anhörung zu klären.

Das Geschäft geht nun in die sicherheitspolitische Kommission des Nationalrates.

Ab 2025 müssen Betreiber kritischer Infrastrukturen dem Bund Cyberangriffe melden. Die Details zu dieser Bestimmung schickte der Bundesrat in die Vernehmlassung. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.