Erfolgreiche Cyberangriffe können weitreichende Folgen für die Verfügbarkeit und Sicherheit der Schweizer Wirtschaft haben. Die Bevölkerung, Behörden und Unternehmen sind täglich dem Risiko eines Cyberangriffs ausgesetzt. Heute fehlt eine Übersicht darüber, welche Angriffe wo stattgefunden haben, da Meldungen an das NCSC nur auf freiwilliger Basis erfolgen. Dank einer Meldepflicht erhält das NCSC künftig eine bessere Übersicht über die in der Schweiz erfolgten Cyberangriffe und die Vorgehensweisen der Angreifer. Dadurch wird eine bessere Einschätzung der Bedrohungslage möglich und Betreiberinnen und Betreiber kritischer Infrastrukturen können frühzeitig gewarnt werden. Der Bundesrat will durch die Meldepflicht sicherstellen, dass alle Betreiberinnen und Betreiber von kritischen Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen.
Vernehmlassung zeigte breite Unterstützung einer Meldepflicht
An seiner Sitzung vom 2. Dezember 2022 hat der Bundesrat zudem Kenntnis genommen vom Ergebnis des Vernehmlassungsverfahrens zum Gesetzesentwurf. Insgesamt gingen 99 Stellungnahmen von Kantonen, Betreiberinnen und Betreiber kritischer Infrastrukturen sowie Vertretenden aus Forschung und Wirtschaft ein. Die Vernehmlassung zeigte eine breite Zustimmung für die Vorlage. Die Einführung einer Meldepflicht und die Verankerung des NCSC als nationale Meldestelle werden als wichtige Schritte zu einer Verbesserung der Cybersicherheit in der Schweiz erachtet. Ein wichtiges in der Vernehmlassung genanntes Anliegen ist zudem, dass die Meldepflicht möglichst unbürokratisch umgesetzt wird und keinen grossen Zusatzaufwand mit sich bringt.
Unterstützung des NCSC bei Cyberangriffen
Um eine Meldung so einfach wie möglich zu gestalten, wird das NCSC ein elektronisches Meldeformular zur Verfügung stellen. Meldungen können dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden. Die Gesetzesvorlage verpflichtet zudem nicht nur die Unternehmen zur Mitwirkung beim Schutz vor Cyberangriffen, sondern auch das NCSC, den Meldenden subsidiäre Unterstützung bei der Reaktion auf Cyberangriffe anzubieten. Das Gesetz definiert ausserdem, wie das NCSC die Wirtschaft und Bevölkerung beim Schutz vor Cyberbedrohungen unterstützt. Es regelt dazu insbesondere die Funktion des NCSC als Anlaufstelle für Fragen zu Cyberbedrohungen und als Meldestelle für Schwachstellen.