Einführung und Hintergrund
Bundesrat startet Vernehmlassung zur Cybersicherheitsverordnung: Meldepflichtige Behörden und Organisationen müssen Cyberangriffe dem BACS melden.
Am 29. September 2023 hat das Parlament die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen im Rahmen der Revision des Informationssicherheitsgesetzes (ISG) verabschiedet. Das ISG legt fest, welche Behörden und Organisationen künftig die Pflicht zur Meldung von Cyberangriffen trifft, wobei diese Meldungen dem Bundesamt für Cybersicherheit (BACS) zu erstatten sind.
Der Bundesrat eröffnete am 22. Mai 2024 die Vernehmlassung zur Cybersicherheitsverordnung (CSV). Diese dauert bis zum 13. September 2024.
Die CSV regelt folgendes (Art. 12 Abs. 1 CSV):
- die Nationale Cyberstrategie und deren Steuerungsausschuss;
- die Aufgaben des Bundesamtes für Cybersicherheit (BACS);
- den Informationsaustausch des BACS mit Behörden und Organisationen zum Schutz vor Cybervorfällen und Cyberbedrohungen;
- die Meldepflicht für Cyberangriffe.
Meldepflicht für Elektrizitätsversorgungsunternehmen (EVU)
Grundsatz
Behörden und Organisationen, die nach Artikel 74b ISG meldepflichtig sind, müssen dem BACS Cyberangriffe auf ihre Informatikmittel melden. Dies betrifft auch Unternehmen in den Bereichen Energieversorgung, Energiehandel, Energiemessung oder Energiesteuerung. Die Meldepflicht zielt darauf ab, dass das BACS Angriffsmuster frühzeitig erkennt, Betroffene warnt und Präventions- und Abwehrmassnahmen empfiehlt (Art. 74a Abs. 4 ISG).
Ausnahmen von der Meldepflicht
In der CSV werden für verschiedene Sektoren wie die Energieversorgung und das Transportwesen spezifische Schwellenwerte für die Meldepflicht festgelegt. Behörden oder Organisationen, die diese Schwellenwerte unterschreiten, sind nicht meldepflichtig.
Von der Meldepflicht befreit sind demnach Netzbetreiber, Elektrizitätserzeuger, Elektrizitätsspeicherbetreiber oder Dienstleister im Elektrizitätsbereich, die weder das Schutzniveau A noch B einhalten müssen (Art. 16 Abs. 1 lit. b Ziff. 1 CSV). Die Schwellenwerte orientieren sich an Art. 5 a der Stromversorgungsverordnung (StromVV) zum Schutz vor Cyberbedrohungen, welche am 1. Juli 2024 in Kraft tritt und vorsieht, dass bestimmte Akteure der Elektrizitätsbranche bei der Umsetzung des Minimalstandards ein bestimmtes Schutzniveau erreichen müssen (Vernehmlassungstext UVEK):
- Schutzniveau A: Für Netzbetreiber, die mindestens 450 GWh/Jahr transportieren;
- Schutzniveau B: Für Netzbetreiber und Dienstleister bei 112 GWh/Jahr und Erzeuger und Speicherbetreiber bei 100 MW.
Dienstleister der Netzbetreiber, Elektrizitätserzeuger und Speicherbetreiber sind ebenfalls von der Ausnahmeregelung erfasst. Hersteller von Hard- oder Software sind von der Ausnahme ausgenommen.
Ausgenommen von der Meldepflicht sind ebenfalls die Betreiber von Gasleitungen, die im Durchschnitt der letzten fünf Jahre weniger als 400 GWh/Jahr transportierten (Art. 16 Abs. 1 lit. b Ziff. 2 CSV).
Zu meldende Cyberangriffe
Ein Cyberangriff muss gemeldet werden, wenn er nach Art. 74d ISG:
- die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet;
- zu einer Manipulation oder einem Abfluss von Informationen geführt hat;
- über einen längeren Zeitraum unentdeckt blieb, besonders wenn er zur Vorbereitung weiterer Cyberangriffe diente;
- mit Erpressung, Drohung oder Nötigung verbunden ist.
Die Kriterien zur Bestimmung der meldepflichtigen Angriffe wurden so gewählt, dass sie für die Behörden und Organisationen möglichst direkt erkennbar sind.
Die CSV enthält in Art. 18 hierzu weitere Präzisierungen:
Die Funktionsfähigkeit einer kritischen Infrastruktur gilt als gefährdet, wenn:
- Mitarbeitende oder Dritte von Systemunterbrüchen betroffen sind; oder
- die betroffene Organisation oder Behörde ihre Tätigkeiten nur noch mit Hilfe von Notfallplänen aufrechterhalten kann.
Eine Manipulation oder ein Abfluss von Informationen liegen vor, wenn:
- geschäftsrelevante Informationen von Unbefugten verändert oder offengelegt werden; oder
- eine Verletzung der Datensicherheit nach Artikel 24 des Datenschutzgesetzes vom 25. September 2020 vorliegt.
Ein Cyberangriff gilt als über einen längeren Zeitraum unentdeckt, wenn der Vorfall mehr als 90 Tage zurückliegt.
Ein Cyberangriff gilt als mit Erpressung, Drohung oder Nötigung verbunden, wenn sich diese Handlungen gegen die meldepflichtige Behörde oder Organisation oder gegen deren Verantwortliche oder Mitarbeitende, einschliesslich ehemaliger Verantwortlicher oder Mitarbeitender, oder gegen für die meldepflichtige Behörde oder Organisation tätige Personen richten.
Frist zur Erfassung der Meldung
Ein Cyberangriff muss nach dessen Entdeckung innerhalb von 24 Stunden dem BACS gemeldet werden (Art. 74e Abs. 1 revISG). Eine weitere Frist von 14 Tagen besteht, um die Meldung zu vervollständigen (Art. 21 CSV). Beide Fristen sind nicht verlängerbar.
Fazit
Die Revision des Informationssicherheitsgesetzes (ISG) und die Einführung der Cybersicherheitsverordnung (CSV) stellen einen bedeutenden Schritt zur Stärkung der Cybersicherheit in der Schweiz dar. Durch die Meldepflicht für Cyberangriffe und die klaren Regelungen zur Informationsweitergabe sollen kritische Infrastrukturen besser geschützt und potenzielle Bedrohungen frühzeitig erkannt werden.
Die neue Gesetzgebung, deren Inkrafttreten per 1. Januar 2025 geplant ist, schafft zudem klare Vorgaben und Ausnahmen, die den unterschiedlichen Bedürfnissen und Risiken der betroffenen Sektoren Rechnung tragen. Insgesamt wird damit die Resilienz der Schweizer Wirtschaft und die Sicherheit der Bevölkerung nachhaltig gestärkt.
Materialien
Weitere Informationen finden Sie unter den folgenden Links:
Medienmitteilung des Bundesrates:
Bundesrat eröffnet Vernehmlassung zur Cybersicherheitsverordnung (admin.ch)
Provisorische Fassung der Cybersicherheitsverordnung: https://www.newsd.admin.ch/newsd/message/attachments/87726.pdf
Erläuterungen zur Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV):
87727.pdf (admin.ch)
Entwurf des Meldeformulars: https://www.ncsc.admin.ch/dam/ncsc/de/dokumente/dokumentation/meldepflicht/Entwurf-Form_Meldepflicht_DE.pdf.download.pdf/Entwurf-Form_Meldepflicht_DE.pdf
Revision des ISG: BBl 2023 2296 – Bundesgesetz über die Informatio… | Fedlex (admin.ch)