Meldepflicht für Cybervorfälle
Das Eidgenössische Finanzdepartement (EFD) wurde im Dezember 2020 vom Bundesrat beauftragt, bis Ende des Jahres 2021 eine Vernehmlassungsvorlage zur Einführung einer Meldepflicht bei Cyberangriffen auszuarbeiten, welche Betreiber von kritischen Infrastrukturen betreffen soll. Die Schweiz kannte bisher lediglich eine Meldepflicht für Funktionsausfälle in einzelnen Sektoren, jedoch keine generelle Meldepflicht bei Cyberangriffen. Als kritische Infrastrukturen gelten beispielsweise Energieversorgung, Telekommunikation, aber auch Finanz- und Versicherungswesen.
Zur Einführung der neuen Meldepflicht soll das Informationssicherheitsgesetz (ISG) angepasst werden. Auf Gesetzesstufe soll eine zentrale Meldestelle definiert werden. Zudem ist geplant, die bei der Meldestelle eingegangenen Meldungen bzw. Daten zu nutzen, um Frühwarnungen abzusetzen, was die Sicherheit der Schweiz insgesamt stärken soll.
Das EFD hat bisher einen Bericht veröffentlicht (Bericht des EFD vom 11. Dezember 2020, Meldepflicht für schwerwiegende Sicherheitsvorfälle bei kritischen Infrastrukturen. Rechtliche Grundlagen), in dem die Eckwerte der neuen Meldepflicht skizziert werden. Die Vernehmlassungsvorlage dürfte bald folgen. Geplant ist, dass die Vernehmlassung voraussichtlich im Dezember 2021 eröffnet wird und bis April 2022 dauert.
