Bundesrat startet Vernehmlassung zur Cybersicherheitsverordnung

Mai 22, 2024

Einführung und Hintergrund

Bundesrat startet Vernehmlassung zur Cybersicherheitsverordnung: Meldepflichtige Behörden und Organisationen müssen Cyberangriffe dem BACS melden.

Am 29. September 2023 hat das Parlament die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen im Rahmen der Revision des Informationssicherheitsgesetzes (ISG) verabschiedet. Das ISG legt fest, welche Behörden und Organisationen künftig die Pflicht zur Meldung von Cyberangriffen trifft, wobei diese Meldungen dem Bundesamt für Cybersicherheit (BACS) zu erstatten sind.

Der Bundesrat eröffnete am 22. Mai 2024 die Vernehmlassung zur Cybersicherheitsverordnung (CSV). Diese dauert bis zum 13. September 2024.

Die CSV regelt folgendes (Art. 12 Abs. 1 CSV):

  • die Nationale Cyberstrategie und deren Steuerungsausschuss;
  • die Aufgaben des Bundesamtes für Cybersicherheit (BACS);
  • den Informationsaustausch des BACS mit Behörden und Organisationen zum Schutz vor Cybervorfällen und Cyberbedrohungen;
  • die Meldepflicht für Cyberangriffe.

 

Meldepflicht für Elektrizitätsversorgungsunternehmen (EVU)

 

Grundsatz

Behörden und Organisationen, die nach Artikel 74b ISG meldepflichtig sind, müssen dem BACS Cyberangriffe auf ihre Informatikmittel melden. Dies betrifft auch Unternehmen in den Bereichen Energieversorgung, Energiehandel, Energiemessung oder Energiesteuerung. Die Meldepflicht zielt darauf ab, dass das BACS Angriffsmuster frühzeitig erkennt, Betroffene warnt und Präventions- und Abwehrmassnahmen empfiehlt (Art. 74a Abs. 4 ISG).

 

Ausnahmen von der Meldepflicht

In der CSV werden für verschiedene Sektoren wie die Energieversorgung und das Transportwesen spezifische Schwellenwerte für die Meldepflicht festgelegt. Behörden oder Organisationen, die diese Schwellenwerte unterschreiten, sind nicht meldepflichtig.

Von der Meldepflicht befreit sind demnach Netzbetreiber, Elektrizitätserzeuger, Elektrizitätsspeicherbetreiber oder Dienstleister im Elektrizitätsbereich, die weder das Schutzniveau A noch B einhalten müssen (Art. 16 Abs. 1 lit. b Ziff. 1 CSV). Die Schwellenwerte orientieren sich an Art. 5 a der Stromversorgungsverordnung (StromVV) zum Schutz vor Cyberbedrohungen, welche am 1. Juli 2024 in Kraft tritt und vorsieht, dass bestimmte Akteure der Elektrizitätsbranche bei der Umsetzung des Minimalstandards ein bestimmtes Schutzniveau erreichen müssen (Vernehmlassungstext UVEK):

  • Schutzniveau A: Für Netzbetreiber, die mindestens 450 GWh/Jahr transportieren;
  • Schutzniveau B: Für Netzbetreiber und Dienstleister bei 112 GWh/Jahr und Erzeuger und Speicherbetreiber bei 100 MW.

Dienstleister der Netzbetreiber, Elektrizitätserzeuger und Speicherbetreiber sind ebenfalls von der Ausnahmeregelung erfasst. Hersteller von Hard- oder Software sind von der Ausnahme ausgenommen.

Ausgenommen von der Meldepflicht sind ebenfalls die Betreiber von Gasleitungen, die im Durchschnitt der letzten fünf Jahre weniger als 400 GWh/Jahr transportierten (Art. 16 Abs. 1 lit. b Ziff. 2 CSV).

 

Zu meldende Cyberangriffe

Ein Cyberangriff muss gemeldet werden, wenn er nach Art. 74d ISG:

  • die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet;
  • zu einer Manipulation oder einem Abfluss von Informationen geführt hat;
  • über einen längeren Zeitraum unentdeckt blieb, besonders wenn er zur Vorbereitung weiterer Cyberangriffe diente;
  • mit Erpressung, Drohung oder Nötigung verbunden ist.

Die Kriterien zur Bestimmung der meldepflichtigen Angriffe wurden so gewählt, dass sie für die Behörden und Organisationen möglichst direkt erkennbar sind.

Die CSV enthält in Art. 18 hierzu weitere Präzisierungen:

Die Funktionsfähigkeit einer kritischen Infrastruktur gilt als gefährdet, wenn:

  • Mitarbeitende oder Dritte von Systemunterbrüchen betroffen sind; oder
  • die betroffene Organisation oder Behörde ihre Tätigkeiten nur noch mit Hilfe von Notfallplänen aufrechterhalten kann.

Eine Manipulation oder ein Abfluss von Informationen liegen vor, wenn:

  • geschäftsrelevante Informationen von Unbefugten verändert oder offengelegt werden; oder
  • eine Verletzung der Datensicherheit nach Artikel 24 des Datenschutzgesetzes vom 25. September 2020 vorliegt.

Ein Cyberangriff gilt als über einen längeren Zeitraum unentdeckt, wenn der Vorfall mehr als 90 Tage zurückliegt.

Ein Cyberangriff gilt als mit Erpressung, Drohung oder Nötigung verbunden, wenn sich diese Handlungen gegen die meldepflichtige Behörde oder Organisation oder gegen deren Verantwortliche oder Mitarbeitende, einschliesslich ehemaliger Verantwortlicher oder Mitarbeitender, oder gegen für die meldepflichtige Behörde oder Organisation tätige Personen richten.

 

Frist zur Erfassung der Meldung

Ein Cyberangriff muss nach dessen Entdeckung innerhalb von 24 Stunden dem BACS gemeldet werden (Art. 74e Abs. 1 revISG). Eine weitere Frist von 14 Tagen besteht, um die Meldung zu vervollständigen (Art. 21 CSV). Beide Fristen sind nicht verlängerbar.

 

Fazit

Die Revision des Informationssicherheitsgesetzes (ISG) und die Einführung der Cybersicherheitsverordnung (CSV) stellen einen bedeutenden Schritt zur Stärkung der Cybersicherheit in der Schweiz dar. Durch die Meldepflicht für Cyberangriffe und die klaren Regelungen zur Informationsweitergabe sollen kritische Infrastrukturen besser geschützt und potenzielle Bedrohungen frühzeitig erkannt werden.

Die neue Gesetzgebung, deren Inkrafttreten per 1. Januar 2025 geplant ist, schafft zudem klare Vorgaben und Ausnahmen, die den unterschiedlichen Bedürfnissen und Risiken der betroffenen Sektoren Rechnung tragen. Insgesamt wird damit die Resilienz der Schweizer Wirtschaft und die Sicherheit der Bevölkerung nachhaltig gestärkt.

 

Materialien

Weitere Informationen finden Sie unter den folgenden Links:

Medienmitteilung des Bundesrates:
Bundesrat eröffnet Vernehmlassung zur Cybersicherheitsverordnung (admin.ch)

Provisorische Fassung der Cybersicherheitsverordnung: https://www.newsd.admin.ch/newsd/message/attachments/87726.pdf

Erläuterungen zur Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV):
87727.pdf (admin.ch)

Entwurf des Meldeformulars: https://www.ncsc.admin.ch/dam/ncsc/de/dokumente/dokumentation/meldepflicht/Entwurf-Form_Meldepflicht_DE.pdf.download.pdf/Entwurf-Form_Meldepflicht_DE.pdf

Revision des ISG: BBl 2023 2296 – Bundesgesetz über die Informatio… | Fedlex (admin.ch)

 

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.