Der Bundesrat hat am 2. Dezember 2022 die Botschaft zur Änderung des Informationssicherheitsgesetzes (ISG) verabschiedet. Der Gesetzesentwurf betrifft die Meldepflicht für Betreiber kritischer Infrastrukturen an das Nationale Zentrum für Cybersicherheit (NCSC).
An seiner Sitzung vom 12. Januar 2022 hat der Bundesrat die Vernehmlassung zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen eröffnet. Die Vorlage schafft die gesetzlichen Grundlagen für die Meldepflicht und definiert die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC). Diese ist als zentrale Meldestelle für Cyberangriffe vorgesehen. Mit der Verankerung der Meldepflicht im Informationssicherheitsgesetz (ISG) sollen nun auch die Aufgaben des NCSC, insbesondere auch dessen Zuständigkeit als Meldestelle, im ISG festgelegt werden. Die Vernehmlassung zur Vorlage dauert bis zum 14. April 2022.
Meldepflicht für kritische Infrastrukturen
Betreiber von kritischen Infrastrukturen in der Schweiz, das heisst Trinkwasser- und Energieversorgung, Informations-, Kommunikations- und Transportinfrastrukturen sowie weitere Prozesse, Systeme und Einrichtungen, die essenziell für das Funktionieren der Wirtschaft beziehungsweise das Wohlergehen der Bevölkerung, sind derzeit nicht verpflichtet, einen möglichen Cyberangriff offenzulegen. Die Meldung erfolgt auf freiwilliger Basis. Zukünftig sollen Betreiberinnen von kritischen Infrastrukturen dem NCSC Cyberangriffe nach deren Entdeckung so rasch als möglich melden. Somit kann das NCSC Angriffsmuster frühzeitig erkennen, mögliche Betroffene warnen und ihnen geeignete Präventions- und Abwehrmassnahmen empfehlen kann. Um eine Meldung so einfach wie möglich vorzunehmen, wird das NCSC ein elektronisches Meldeformular zur Verfügung stellen. Dies erlaubt, Meldungen einfach zu erfassen und die Meldungen auf Wunsch direkt weiteren Stellen zu übermitteln.
Pflicht des Bundes zur Unterstützung bei Cyberangriffen
Die Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen sieht ebenfalls vor, das NCSC zu beauftragen, die Öffentlichkeit vor Cyberbedrohungen zu warnen und sie für Cyberrisiken zu sensibilisieren. Das NCSC soll ferner Meldungen zu Vorfällen und Schwachstellen entgegennehmen und technische Analysen durchführen. Darüber hinaus soll es den Meldenden Empfehlungen zum weiteren Vorgehen abgeben. Betreiberinnen und Betreiber kritischer Infrastrukturen, zu denen auch kantonale und kommunale Behörden gehören, sollen das NCSC zudem bei der Bewältigung von Cybervorfällen unterstützen.
Verhältnis zu anderen Meldepflichten und Informationsaustausch unter den Behörden
Die Einführung einer Meldepflicht für Cyberangriffe tangiert bereits bestehende Meldepflichten, wie etwa die Meldepflicht nach Artikel 24 des revidierten Datenschutzgesetzes (revDSG). In der Praxis ist es denn auch häufig der Fall, dass Cyberangriffe zu Datenverlusten führen. Hier gilt, dass die Meldepflicht für Cyberangriffe die bestehenden Meldepflichten nicht ersetzt, sondern nur ergänzt. Dennoch ist der Aufwand für die Erfüllung der verschiedenen Meldepflichten möglichst gering zu halten. Es soll deshalb den Meldenden offenstehen, die Meldung des Cyberangriffs gleichzeitig mit der Übermittlung an das NCSC anderen Meldestellen weiterzuleiten, um damit anderweitige Meldepflichten zu erfüllen. Umgekehrt wird das NCSC auch Meldungen zu Cyberangriffen entgegennehmen, welche in Erfüllung einer anderweitigen Meldepflicht abgegeben wurden. Damit ist zu verhindern, dass Betroffene den gleichen Vorfall unterschiedlichen Stellen über unterschiedliche Verfahren melden müssen.
Änderung des revidierten Datenschutzgesetzes
Damit der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) bei der Analyse einer eingetretenen Verletzung der Datensicherheit, die ihm der Verantwortliche gestützt auf Artikel 24 revDSG und Artikel 19 des Entwurfs der Verordnung zum revDSG gemeldet hat, die technischen Fachspezialistinnen und Fachspezialisten des NCSC miteinbeziehen kann, wird in Artikel 24 Absatz 5bis revDSG vorgesehen, dass der EDÖB die Meldung einer Verletzung der Datensicherheit an das NCSC weiterleiten kann. Vorausgesetzt ist, dass der Verantwortliche, der zur Meldung an den EDÖB verpflichtet ist, vorgängig sein Einverständnis zur Weiterleitung gegeben hat. Ausserdem darf die Weiterleitung nicht dazu führen, dass Artikel 24 Absatz 6 revDSG umgangen wird. Demzufolge darf die Meldung nur mit Einverständnis der meldepflichtigen Person im Rahmen eines Strafverfahrens verwendet werden.
Durchsetzung der Meldepflicht mittels Sanktionen
Wenn es trotz Rücksprache mit der kritischen Infrastruktur zu einer Verletzung der Melde- oder Auskunftspflicht kommen sollte, besteht die Möglichkeit, dass das NCSC als ultima ratio eine Verfügung mit Bussandrohung erlässt. Die Obergrenze der Busse liegt bei 100’000 Franken (im Gegensatz zu den 250’000 Franken nach revDSG). Strafbar macht sich diejenige natürliche Person, die innerhalb der kritischen Infrastruktur hätte dafür sorgen müssen, dass der Verfügung des NCSC Folge geleistet wird (vgl. Artikel 29 StGB). Zeitgleich wird eine strafrechtliche Verantwortung an die Leitungsebene von Unternehmen, also an Führungspersonen, die Entscheidungs- und Weisungsbefugnisse haben, adressiert. Wie beim revDSG wurde eine Bussauferlegung an Geschäftsbetriebe aufgenommen. Bis zu einem Betrag von 20’000 Franken kann die Busse direkt der kritischen Infrastruktur anstelle der verantwortlichen natürlichen Person auferlegt werden. Dies, um aufwändige Ermittlungen zu vermeiden.
Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.
