Bund prüft Meldepflicht für Cybervorfälle

Der Bund prüft, ob Betreiber von kritischen Infrastrukturen wie Gesundheit, Wasserversorgung, Ernährung, Energie, Telekommunikation sowie Sicherheitstechnik künftig Cyberangriffe auf ihre Systeme melden müssen. Bis Ende 2020 will er einen Grundsatzentscheid treffen.

Den Prüfauftrag zur Einführung einer Meldepflicht für Cybervorfälle hatte der Bundesrat vor zwei Jahren vom Nationalrat erhalten. Konkret sollte die Regierung prüfen, wie und aufgrund welcher Kriterien die Betreiber von kritischen Infrastrukturen einer allgemeinen Meldepflicht bei potenziell schwerwiegenden Sicherheitsvorfällen unterstellt werden könnten.

Edith Graf-Litscher (SP/TG) begründete ihren Vorstoss damit, dass Meldungen systematisch ausgewertet und gestützt darauf Frühwarn-, Beratungs- und Abwehrsysteme aufgebaut werden könnten. Nun hiess der Bundesrat einen Bericht gut, der verschiedene Varianten für Meldepflichten aufzeigt. Entschieden ist noch nichts. Aber der Bericht soll die Basis bilden für mögliche weitere Schritte.

Heute erfolgt der Austausch zu Cybervorfällen auf freiwilliger Basis über die Melde- und Analysestelle Informationssicherung (Melani). «Angesichts der raschen Entwicklung der Cyberrisiken stellt sich die Frage, ob dieser freiwillige Austausch genügt, um Bedrohungen frühzeitig und sektorenübergreifend zu erkennen», schreibt der Bundesrat.

Geklärt werden müsse auch die Frage, ob Cybervorfälle einer separaten Stelle gemeldet werden müssen oder ob die in den Sektoren teilweise schon bestehenden Meldestellen für Sicherheitsvorfälle ergänzt werden sollen, schreibt der Bundesrat.