BR: Mel­de­pflicht für kri­ti­sche Infra­struk­tu­ren bei Cyberangriffen

Der Bun­des­rat hat das EFD am 11. Dezem­ber 2020 beauf­tragt, eine Ver­nehm­las­sungs­vor­la­ge für die Ein­füh­rung einer Mel­de­pflicht der Betrei­ber von kri­ti­schen Infra­struk­tu­ren bei Cyber­an­grif­fen auszuarbeiten.

2012 hat­te der Bun­des­rat erst­mals eine Stra­te­gie zum Schutz kri­ti­scher Infra­struk­tu­ren (SKI) aus­ge­ar­bei­tet bzw. ver­ab­schie­det, die Ende 2017 durch die SKI 2017-2022 ersetzt wur­de. Aller­dings fehl­te dabei eine Defi­ni­ti­on des Begriffs “Sicher­heits­vor­fall”, was auch im Postu­lat “Mel­de­pflicht bei schwer­wie­gen­den Sicher­heits­vor­fäl­len bei kri­ti­schen Infra­struk­tu­ren” von NR Graf-Lit­scher auf­ge­grif­fen wor­den war. Das Postu­lat wur­de im Par­la­ment bera­ten und am 14.9.2020 abge­schrie­ben. Der Bun­des­rat hat­te dabei aber Ver­bes­se­rungs­be­darf ein­ge­räumt und beschlos­sen, die Ein­füh­rung einer Mel­de­pflicht zu prüfen.

Auf die­ser Basis hat­te der Bun­des­rat einen Bericht in Auf­trag gege­ben, des­sen Ergeb­nis der vor­lie­gen­de Bericht des EFD vom 11. Dezem­ber 2020 zu den recht­li­chen Grund­la­gen einer Mel­de­pflicht für schwer­wie­gen­de Sicher­heits­vor­fäl­le bei kri­ti­schen Infra­struk­tu­ren ist und im Anschluss dar­an der Ent­scheid des Bun­des­rats, eine Ver­nehm­las­sungs­vor­la­ge auszuarbeiten.

In sei­nem Ent­scheid hat der Bun­des­rat vorgegeben,

  • eine zen­tra­le Mel­de­stel­le zu bezeich­nen und für alle Sek­to­ren ein­heit­lich zu bestimmen;
  • Kri­te­ri­en zu defi­nie­ren, wer inner­halb wel­cher Frist wel­che Vor­fäl­le mel­den soll;
  • die kon­kre­ten Bestim­mun­gen zur Aus­ge­stal­tung der Mel­de­pflicht ange­passt auf die sek­tor­spe­zi­fi­schen Gege­ben­hei­ten in ent­spre­chen­den Erlas­sen zu definieren;
  • die Mel­de­pflicht auf bereits bestehen­de sek­to­ri­el­le und daten­schutz­recht­li­che Mel­de­pflich­ten abzustimmen.

Mit den Mel­dun­gen an die Mel­de­stel­le soll ein Früh­war­nungs­y­stem auf­ge­baut wer­den. Dabei steht nicht nur die Mel­dung von “Cyber­vor­fäl­le” zur Dis­kus­si­on, son­dern auch eine Mel­de­pflicht für erheb­li­che Sicher­heits­lücken bei kri­ti­schen Infra­struk­tu­ren (Bericht, S. 14). – Eben­falls zu prü­fen sei im Rah­men der Ver­nehm­las­sungs­vor­la­ge, wie de lege lata bereits bestehen­de Mel­de­pflich­ten für Funk­ti­ons­aus­fäl­le von kri­ti­schen Infra­struk­tu­ren (dazu S. 9 f. des Berichts) auf- oder aus­ge­baut wer­den kön­nen bzw. sollen.