Am 1. Januar 2024 trat das Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz (ISG)) mit drei neuen Verordnungen sowie einer revidierten Verordnung in Kraft. Mit dem ISG werden die wichtigsten Rechtsgrundlagen für die Sicherheit von Informationen und Informatikmitteln des Bundes in einem einzigen Erlass zusammengeführt (siehe Medienmitteilung). Das ISG soll die sichere Bearbeitung der Informationen, für welche der Bund zuständig ist, sowie den sicheren Einsatz der Informatikmittel des Bundes gewährleisten (Art. 1 Abs. 1 ISG).
In Zusammenhang mit dem ISG (und den damit zusammenhängenden Erlassen) hat das Parlament zudem bereits eine Revision verabschiedet. Die Referendumsfrist bezüglich dieser Revision des ISG (und den damit zusammenhängenden Erlassen) ist am 18. Januar 2024 abgelaufen. Das Inkrafttreten dieser Revision wurde vom Bundesrat allerdings noch nicht bestimmt.
Die Revision schafft die gesetzlichen Grundlagen zur Meldepflicht für Betreiber kritischer Infrastrukturen und definiert die Aufgaben des Nationalen Zentrums für Cybersicherheit (National Cyber Security Centre – NCSC), welches als zentrale Meldestelle für Cyberangriffe vorgesehen war. Da das NCSC per 1. Januar 2024 in das Bundesamt für Cybersicherheit (BACS) überführt worden ist (siehe Medienmitteilung), wird nachfolgend anstelle des in der Revision erwähnten NCSC nur auf das BACS Bezug genommen.
Das BACS dient insbesondere der Unterstützung der Betreiber kritischer Infrastrukturen beim Schutz vor Cyberbedrohungen (Art. 74 Abs. 1 revDSG).
Die Meldepflicht ist noch nicht in Kraft, da zu deren Umsetzung Ausführungsbestimmungen erlassen werden müssen. Der Bundesrat wird voraussichtlich im 1. Halbjahr 2024 dazu eine Vernehmlassung durchführen, so dass die Meldepflicht voraussichtlich ab dem 1. Januar 2025 in Kraft treten kann.
Zukünftige Meldepflicht der EVU bei Cyberangriffen
Das Gesetz gilt für die verpflichteten Behörden (unter anderem die Bundesversammlung, den Bundesrat, die eidgenössischen Gerichte, die Bundesanwaltschaft und deren Aufsichtsbehörde sowie die Schweizerische Nationalbank) sowie die verpflichteten Organisationen (unter anderem die Parlamentsdienste und die Bundesverwaltung). Einige Bestimmungen gelten auch für Kantone.
Elektrizitätsversorgungsunternehmen (EVU) fallen gemäss Art. 2 Abs. 5 ISG grundsätzlich nicht in den – allgemeinen – Anwendungsbereich des ISG im Sinne von Art. 1 bis 73 ISG, könnten allerdings unter Umständen zukünftig vertraglich gewisse der darin genannten Pflichten (wie z.B. die Identifizierung und Klassifizierung von Informationen) auferlegt erhalten, da, falls die verpflichteten Behörden und Organisationen mit einem EVU zusammenarbeiten, diese nach Art. 9 Abs. 1 ISG verpflichtet sind, dafür zu sorgen, dass die Anforderungen und Massnahmen gemäss dem ISG in den entsprechenden Verträgen und Vereinbarungen festgehalten werden.
Allerdings fallen EVU in den Anwendungsbereich der zukünftigen (nach Inkrafttreten der Revision anwendbaren) Meldepflicht betreffend Cyberangriffe, da gemäss Art. 74b Abs. 1 lit. d des revidierten ISG die Meldepflicht ausdrücklich für Unternehmen, die in den Bereichen Energieversorgung nach Art. 6 Abs. 1 des Energiegesetzes, Energiehandel, Energiemessung oder Energiesteuerung tätig sind, mit Ausnahme der Bewilligungsinhaber gemäss Kernenergiegesetz, sofern ein Cyberangriff auf eine Kernanlage erfolgt, gilt. EVU sind entsprechend verpflichtet, dem BACS Cyberangriffe auf ihre Informatikmittel zu melden. Die Meldepflicht dient ausschliesslich dazu, dass das BACS Angriffsmuster auf kritische Infrastrukturen frühzeitig erkennen und dadurch mögliche Betroffene warnen und ihnen geeignete Präventions- und Abwehrmassnahmen empfehlen kann (Art. 74a Abs. 4 revISG).
Voraussetzung der Meldepflicht
Ein Cyberangriff muss gemeldet werden, wenn er:
- die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet;
- zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat;
- über einen längeren Zeitraum unentdeckt blieb, insbesondere wenn Anzeichen dafür bestehen, dass er zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde; oder
- mit Erpressung, Drohung oder Nötigung verbunden ist (Art. 74d revISG).
Sofern ein meldepflichtiger Cyberangriff bei einem EVU vorliegt, muss durch das betroffene EVU eine Meldung innerhalb von 24 Stunden seit der Entdeckung des Cyberangriffs an das BACS erfolgen (Art. 74e Abs. 1 revISG). Die Meldung muss Informationen zum EVU, zur Art und Ausführung des Cyberangriffs, zu seinen Auswirkungen, zu ergriffenen Massnahmen und, soweit bekannt, zum geplanten weiteren Vorgehen enthalten (Art. 74e Abs. 2 revISG). Sind zum Zeitpunkt der Meldung nicht alle erforderlichen Informationen bekannt, so ergänzt das EVU die Meldung, sobald es über neue Informationen verfügt (Art. 74e Abs. 3 revISG). Das BACS informiert das EVU, sobald alle Angaben zur Erfüllung der Meldepflicht vorliegen (Art. 74e Abs. 5 revISG).
Wer die Meldepflicht für ein EVU zu erfüllen hat, muss im Rahmen der Meldung keine Angaben machen, die sie oder ihn strafrechtlich belasten (Art. 74e Abs. 4 revISG).
Für die elektronische Meldung von Cyberangriffen wird das BACS ein sicheres System zur Übermittlung der Meldung zur Verfügung stellen (Art. 74f Abs. 1 revISG).
Bestehen Anzeichen für eine Verletzung der Meldepflicht, so wird das BACS das meldepflichtige EVU darüber informieren und setzt ihm eine angemessene Frist, um der Meldepflicht nachzukommen (Art. 74g Abs. 1 revISG). Kommt das meldepflichtige EVU seiner Pflicht innert dieser Frist nicht nach, so erlässt das BACS eine Verfügung, setzt darin eine neue Frist und verweist auf die Strafdrohung nach Art. 74h revISG.
Mit Busse bis zu 100’000 Franken wird bestraft, wer einer vom BACS (unter Hinweis auf die Strafdrohung) erlassenen rechtskräftigen Verfügung oder dem Entscheid einer Rechtsmittelinstanz vorsätzlich nicht Folge leistet (Art. 74h Abs. 1 revISG).
Exkurs: Revision des StromVG: Pflicht zum Schutz der Anlagen vor Cyberdrohungen
Im Rahmen der vorgenannten Revision wird auch das Stromversorgungsgesetz im Abschnitt «Sicherstellung der Versorgung» betreffend den «Schutz vor Cyberdrohungen» ergänzt werden. Gemäss dem zukünftigen Art. 8a Abs. 1 StromVG sind Netzbetreiber, die Erzeuger und die Speicherbetreiber verpflichtet, angemessene Massnahmen zum Schutz ihrer Anlagen vor Cyberdrohungen zu treffen.
Sodann wird im zukünftigen Art. 8a Abs. 2 StromVG statuiert, dass der Bundesrat Ausnahmen vorsehen und, sofern zur Sicherstellung der Versorgung notwendig, die vorgenannte Pflicht auf andere Dienstleister im Bereich der Elektrizitätsversorgung ausdehnen kann.
Mehr zur Vernehmlassung für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen finden Sie hier.
Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.