Natio­nal Coun­cil: Man­da­to­ry report­ing of cyber attacks supported

Der Natio­nal­rat spricht sich dafür aus, dass Betrei­ber kri­ti­scher Infra­struk­tu­ren Cyber­an­grif­fe mit gro­ssem Scha­dens­po­ten­zi­al künf­tig inner­halb von 24 Stun­den an das NCSC mel­den müs­sen (Media release).

Durch eine ent­spre­chen­de Ände­rung des Infor­ma­ti­ons­si­cher­heits­ge­set­zes sol­len Betrei­ber kri­ti­scher Infra­struk­tu­ren künf­tig Cyber­an­grif­fe an das Natio­na­le Zen­trum für Cyber­si­cher­heit (NCSC) mel­den müs­sen. Der Mel­de­pflicht unter­ste­hen wür­den bspw. Bun­des­rat und Par­la­ment, die Bun­des­an­walt­schaft, die Armee, Hoch­schu­len, Ban­ken, Pri­vat­ver­si­che­run­gen und Finanz­markt­in­fra­struk­tu­ren, Gesund­heits­ein­rich­tun­gen, medi­zi­ni­sche Labo­ra­to­ri­en, Sozi­al­ver­si­che­rer, die SRG, Post­dienst­an­bie­ter, Anbie­ter von Rechen­zen­tren usw. Wir haben über die ent­spre­chen­de Bot­schaft und den Ent­wurf berich­tet.

Umstrit­ten waren im Natio­nal­rat die Frist von 24 Stun­den zwi­schen Vor­fall und Mel­dung sowie die Bus­se für eine Ver­let­zung der Mel­de­pflicht trotz Ver­fü­gung des NCSC. Die Mehr­heit im Natio­nal­rat belässt es in bei­den Fäl­len beim Ent­wurf des Bundesrats.

Die Vor­la­ge geht nun an den Stän­de­rat, der sich in der Som­mer­ses­si­on mit der Vor­la­ge aus­ein­an­der­set­zen wird.