Botschaft zur Änderung des ISG

Dez. 19, 2022

Der Bundesrat hat am 2. Dezember 2022 die Botschaft zur Änderung des Informationssicherheitsgesetzes (ISG) verabschiedet. Der Gesetzesentwurf betrifft die Meldepflicht für Betreiber kritischer Infrastrukturen an das Nationale Zentrum für Cybersicherheit (NCSC).

An seiner Sitzung vom 12. Januar 2022 hat der Bundesrat die Vernehmlassung zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen eröffnet. Die Vorlage schafft die gesetzlichen Grundlagen für die Meldepflicht und definiert die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC). Diese ist  als zentrale Meldestelle für Cyberangriffe vorgesehen. Mit der Verankerung der Meldepflicht im Informationssicherheitsgesetz (ISG) sollen nun auch die Aufgaben des NCSC, insbesondere auch dessen Zuständigkeit als Meldestelle, im ISG festgelegt werden. Die Vernehmlassung zur Vorlage dauert bis zum 14. April 2022.

 

Meldepflicht für kritische Infrastrukturen

Betreiber von kritischen Infrastrukturen in der Schweiz, das heisst Trinkwasser- und Energieversorgung, Informations-, Kommunikations- und Transportinfrastrukturen sowie weitere Prozesse, Systeme und Einrichtungen, die essenziell für das Funktionieren der Wirtschaft beziehungsweise das Wohlergehen der Bevölkerung, sind derzeit nicht verpflichtet, einen möglichen Cyberangriff offenzulegen. Die Meldung erfolgt auf freiwilliger Basis. Zukünftig sollen Betreiberinnen von kritischen Infrastrukturen dem NCSC Cyberangriffe nach deren Entdeckung so rasch als möglich melden. Somit kann das NCSC Angriffsmuster frühzeitig erkennen, mögliche Betroffene warnen und ihnen geeignete Präventions- und Abwehrmassnahmen empfehlen kann. Um eine Meldung so einfach wie möglich vorzunehmen, wird das NCSC ein elektronisches Meldeformular zur Verfügung stellen. Dies erlaubt, Meldungen einfach zu erfassen und die Meldungen auf Wunsch direkt weiteren Stellen zu übermitteln.

 

Pflicht des Bundes zur Unterstützung bei Cyberangriffen

Die Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen sieht ebenfalls vor, das NCSC zu beauftragen, die Öffentlichkeit vor Cyberbedrohungen zu warnen und sie für Cyberrisiken zu sensibilisieren. Das NCSC soll ferner Meldungen zu Vorfällen und Schwachstellen entgegennehmen und technische Analysen durchführen. Darüber hinaus soll es den Meldenden Empfehlungen zum weiteren Vorgehen abgeben. Betreiberinnen und Betreiber kritischer Infrastrukturen, zu denen auch kantonale und kommunale Behörden gehören, sollen das NCSC zudem bei der Bewältigung von Cybervorfällen unterstützen.

 

Verhältnis zu anderen Meldepflichten und Informationsaustausch unter den Behörden

Die Einführung einer Meldepflicht für Cyberangriffe tangiert bereits bestehende Meldepflichten, wie etwa die Meldepflicht nach Artikel 24 des revidierten Datenschutzgesetzes (revDSG). In der Praxis ist es denn auch häufig der Fall, dass Cyberangriffe zu Datenverlusten führen. Hier gilt, dass die Meldepflicht für Cyberangriffe die bestehenden Meldepflichten nicht ersetzt, sondern nur ergänzt. Dennoch ist der Aufwand für die Erfüllung der verschiedenen Meldepflichten möglichst gering zu halten. Es soll deshalb den Meldenden offenstehen, die Meldung des Cyberangriffs gleichzeitig mit der Übermittlung an das NCSC anderen Meldestellen weiterzuleiten, um damit anderweitige Meldepflichten zu erfüllen. Umgekehrt wird das NCSC auch Meldungen zu Cyberangriffen entgegennehmen, welche in Erfüllung einer anderweitigen Meldepflicht abgegeben wurden.  Damit ist zu verhindern, dass Betroffene den gleichen Vorfall unterschiedlichen Stellen über unterschiedliche Verfahren melden müssen.

 

Änderung des revidierten Datenschutzgesetzes

Damit der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) bei der Analyse einer eingetretenen Verletzung der Datensicherheit, die ihm der Verantwortliche gestützt auf Artikel 24 revDSG und Artikel 19 des Entwurfs der Verordnung zum revDSG gemeldet hat, die technischen Fachspezialistinnen und Fachspezialisten des NCSC miteinbeziehen kann, wird in Artikel 24 Absatz 5bis revDSG vorgesehen, dass der EDÖB die Meldung einer Verletzung der Datensicherheit an das NCSC weiterleiten kann. Vorausgesetzt ist, dass der Verantwortliche, der zur Meldung an den EDÖB verpflichtet ist, vorgängig sein Einverständnis zur Weiterleitung gegeben hat. Ausserdem darf die Weiterleitung nicht dazu führen, dass Artikel 24 Absatz 6 revDSG umgangen wird. Demzufolge darf die Meldung nur mit Einverständnis der meldepflichtigen Person im Rahmen eines Strafverfahrens verwendet werden.

 

Durchsetzung der Meldepflicht mittels Sanktionen

Wenn es trotz Rücksprache mit der kritischen Infrastruktur zu einer Verletzung der Melde- oder Auskunftspflicht kommen sollte, besteht die Möglichkeit, dass das NCSC als ultima ratio eine Verfügung mit Bussandrohung erlässt. Die Obergrenze der Busse liegt bei 100’000 Franken (im Gegensatz zu den 250’000 Franken nach revDSG). Strafbar macht sich diejenige natürliche Person, die innerhalb der kritischen Infrastruktur hätte dafür sorgen müssen, dass der Verfügung des NCSC Folge geleistet wird (vgl. Artikel 29 StGB). Zeitgleich wird eine strafrechtliche Verantwortung an die Leitungsebene von Unternehmen, also an Führungspersonen, die Entscheidungs- und Weisungsbefugnisse haben, adressiert. Wie beim revDSG wurde eine Bussauferlegung an Geschäftsbetriebe aufgenommen. Bis zu einem Betrag von 20’000 Franken kann die Busse direkt der kritischen Infrastruktur anstelle der verantwortlichen natürlichen Person auferlegt werden. Dies, um aufwändige Ermittlungen zu vermeiden.

Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.  

Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.