Den Prüfauftrag zur Einführung einer Meldepflicht für Cybervorfälle hatte der Bundesrat vor zwei Jahren vom Nationalrat erhalten. Konkret sollte die Regierung prüfen, wie und aufgrund welcher
Kriterien die Betreiber von kritischen Infrastrukturen einer allgemeinen Meldepflicht bei potenziell schwerwiegenden Sicherheitsvorfällen unterstellt werden könnten.
Edith Graf-Litscher (SP/TG) begründete ihren Vorstoss damit, dass Meldungen systematisch ausgewertet und gestützt darauf Frühwarn-, Beratungs- und Abwehrsysteme aufgebaut werden könnten. Nun hiess der Bundesrat einen Bericht gut, der verschiedene Varianten für Meldepflichten aufzeigt. Entschieden ist noch nichts. Aber der Bericht soll die Basis bilden für mögliche weitere Schritte.
Heute erfolgt der Austausch zu Cybervorfällen auf freiwilliger Basis über die Melde- und Analysestelle Informationssicherung (Melani). «Angesichts der raschen Entwicklung der Cyberrisiken
stellt sich die Frage, ob dieser freiwillige Austausch genügt, um Bedrohungen frühzeitig und sektorenübergreifend zu erkennen», schreibt der Bundesrat.
Geklärt werden müsse auch die Frage, ob Cybervorfälle einer separaten Stelle gemeldet werden müssen oder ob die in den Sektoren teilweise schon bestehenden Meldestellen für Sicherheitsvorfälle ergänzt werden sollen, erklärt der Bundesrat.
Abhängig von dieser Organisationsstruktur sei zu beurteilen, ab welchem Ausmass Vorfälle meldepflichtig sind, welche Fristen für die Meldung gelten, ob Meldungen anonym abgegeben werden können und ob Sanktionen für den Unterlassungsfall definiert werden.
Vier Varianten stehen zur Wahl: die Einführung einer zentralen Meldestelle für sicherheitsrelevante Vorfälle; der Auf- und Ausbau der bisherigen dezentralen Meldestellen in den Sektoren; dezentrale
Meldestellen mit zentraler Meldestelle für Cybervorfälle oder keine Meldepflicht.
Diese Grundmodelle werden nun mit Vertretern der Wirtschaft, der Kantone, den zuständigen Regulatoren und der Politik weiter vertieft. Dazu gehört es auch, im Detail abzuklären, welche
gesetzgeberischen Schritte für welches Modell nötig wären.
Die Diskussionen werden im ersten Halbjahr 2020 unter der Leitung des Delegierten des Bundes für Cybersicherheit geführt. Ziel der Diskussionen ist es, sich darauf zu einigen, welches Modell von
Meldepflichten für die Schweiz umgesetzt werden soll, sodass ab Sommer 2020 mit der Erarbeitung der entsprechenden gesetzlichen Grundlagen begonnen werden kann.
«AQUA & GAS» gibt es auch als E-Paper. Abonnenten, SVGW- und/oder VSA-Mitglieder haben Zugang zu allen Ausgaben von A&G.
Den «Wasserspiegel» gibt es auch als E-Paper. Im SVGW-Shop sind sämtliche bisher erschienenen Ausgaben frei zugänglich.
Kommentare (0)