Der Bundesrat hat das EFD am 11. Dezember 2020 beauftragt, eine Vernehmlassungsvorlage für die Einführung einer Meldepflicht der Betreiber von kritischen Infrastrukturen bei Cyberangriffen auszuarbeiten.
2012 hatte der Bundesrat erstmals eine Strategie zum Schutz kritischer Infrastrukturen (SKI) ausgearbeitet bzw. verabschiedet, die Ende 2017 durch die SKI 2017-2022 ersetzt wurde. Allerdings fehlte dabei eine Definition des Begriffs “Sicherheitsvorfall”, was auch im Postulat “Meldepflicht bei schwerwiegenden Sicherheitsvorfällen bei kritischen Infrastrukturen” von NR Graf-Litscher aufgegriffen worden war. Das Postulat wurde im Parlament beraten und am 14.9.2020 abgeschrieben. Der Bundesrat hatte dabei aber Verbesserungsbedarf eingeräumt und beschlossen, die Einführung einer Meldepflicht zu prüfen.
Auf dieser Basis hatte der Bundesrat einen Bericht in Auftrag gegeben, dessen Ergebnis der vorliegende Bericht des EFD vom 11. Dezember 2020 zu den rechtlichen Grundlagen einer Meldepflicht für schwerwiegende Sicherheitsvorfälle bei kritischen Infrastrukturen ist und im Anschluss daran der Entscheid des Bundesrats, eine Vernehmlassungsvorlage auszuarbeiten.
In seinem Entscheid hat der Bundesrat vorgegeben,
- eine zentrale Meldestelle zu bezeichnen und für alle Sektoren einheitlich zu bestimmen;
- Kriterien zu definieren, wer innerhalb welcher Frist welche Vorfälle melden soll;
- die konkreten Bestimmungen zur Ausgestaltung der Meldepflicht angepasst auf die sektorspezifischen Gegebenheiten in entsprechenden Erlassen zu definieren;
- die Meldepflicht auf bereits bestehende sektorielle und datenschutzrechtliche Meldepflichten abzustimmen.
Mit den Meldungen an die Meldestelle soll ein Frühwarnungsystem aufgebaut werden. Dabei steht nicht nur die Meldung von “Cybervorfälle” zur Diskussion, sondern auch eine Meldepflicht für erhebliche Sicherheitslücken bei kritischen Infrastrukturen (Bericht, S. 14). – Ebenfalls zu prüfen sei im Rahmen der Vernehmlassungsvorlage, wie de lege lata bereits bestehende Meldepflichten für Funktionsausfälle von kritischen Infrastrukturen (dazu S. 9 f. des Berichts) auf- oder ausgebaut werden können bzw. sollen.