ISG – Ergän­zung, Mel­de­pflicht kri­ti­scher Infra­struk­tu­ren: Bot­schaft und Ent­wurf (2.12.2022)

Der Bun­des­rat hat am 2. Dezem­ber 2022 die Bot­schaft zur Ände­rung des Infor­ma­ti­ons­si­cher­heits­ge­set­zes (ISG) ver­ab­schie­det (Medi­en­mit­tei­lung). Der Geset­zes­ent­wurf betrifft die Mel­de­pflicht für Betrei­ber kri­ti­scher Infra­struk­tu­ren an das Natio­na­le Zen­trum für Cyber­si­cher­heit (NCSC). Das NCSC löst damit MELANI ab. – Das ISG heisst danach nicht mehr “Bun­des­ge­setz über die Infor­ma­ti­ons­si­cher­heit beim Bund”, son­dern “Bun­des­ge­setz über die Infor­ma­ti­ons­si­cher­heit” (weil es nicht mehr nur um den Bund geht). Der Bun­des­rat wird noch eine kon­kre­ti­sie­ren­de Ver­ord­nung erlassen.

Vor­ent­wurf und Vernehmlassung

Vor­aus­ge­gan­gen waren ein Vor­ent­wurf vom 18. Dezem­ber 2020 und eine Ver­nehm­las­sung, die vom 12. Janu­ar bis zum 14. April 2022 dau­er­te (wir haben zum ISG hier, hier, hier und hier berich­tet). In der Ver­nehm­las­sung waren 99 Stel­lung­nah­men von Kan­to­nen, Betrei­bern kri­ti­scher Infra­struk­tu­ren und aus der For­schung und der Wirt­schaft ein­ge­gan­gen. Die Reak­tio­nen waren posi­tiv posi­tiv (Ver­nehm­las­sungs­be­richt). Anlie­gen waren aber vor allem, dass die Mel­de­pflicht mög­lichst unbü­ro­kra­tisch sein und kei­nen gro­ssen Zusatz­auf­wand mit sich brin­gen sol­le. Zudem sei­en vor allem Begrif­fe, die Liste der mel­de­pflich­ti­gen Berei­che und die Aus­nah­men von der Mel­de­pflicht zu prä­zi­sie­ren, eben­so wie die Defi­ni­ti­on der zu mel­den­den Cyber­an­grif­fe und die Moda­li­tä­ten für die Über­mitt­lung der Mel­dung. Gegen­stand von Kri­tik und Anre­gun­gen waren fer­ner die Stra­fen bei Ver­let­zung der Mel­de­pflicht und der Umgang mit Infor­ma­tio­nen aus Mel­dun­gen (hier geht das BGÖ übri­gens aus­drück­lich vor, und das NCSC ist vom BGÖ wie auch der EDÖB und anders als die SNB oder die FINMA nicht ausgenommen).

Ein Del­ta­view zwi­schen der Ver­nehm­las­sungs­vor­la­ge und dem Ent­wurf fin­det sich hier:

Mel­de­pflich­ten nach dem Entwurf

Die Liste der mel­de­pflich­ti­gen Berei­che wur­de im Wesent­li­chen wie folgt angepasst:

  • gestri­chen wur­de die Aus­nah­me für Betrei­ber von Kernanlagen;
  • statt von “Spi­tä­lern” spricht der Ent­wurf von “Ges- und­heits­ein­rich­tun­gen” (sofern sie auf der Spi­tal­li­ste stehen);
  • gestri­chen wur­de die Mel­de­pflicht von Her­stel­lern oder Ver­trei­bern von Medizinprodukten;
  • die Anknüp­fung bei Trans­port­un­ter­neh­men wur­de angepasst;
  • neu auf­ge­nom­men wur­den Flughafenbetreiber;
  • bei den Ver­sor­gungs­un­ter­neh­men des täg­li­chen Bedarfs ist eine Ein­schrän­kung auf­ge­nom­men worden;
  • bei Hard- und Soft­ware­her­stel­lern wur­den die Auf­greif­kri­te­ri­en ver­engt (nicht mehr aus­rei­chend ist der Ein­satz für den Betrieb von Medi­zin­pro­duk­ten oder Fern­mel­de­an­la­gen oder die IT-Sicher­heit oder Ver­schlüs­se­lung usw.; dafür wur­den die Anbie­ter von Sicher­heits- und Ver­trau­ens­dien­sten aufgenommen).

Damit umfasst die Liste nun ver­ein­facht – Details las­sen wir hier weg, sie sind aber wich­tig – fol­gen­de Unter­neh­men und Behörden:

  • Hoch­schu­len;
  • Bundes‑, Kan­tons- und Gemein­de­be­hör­den sowie inter­kan­to­na­le, kan­to­na­le und inter­kom­mu­na­le Organisationen;
  • Orga­ni­sa­tio­nen mit öffent­li­chen Auf­ga­ben in den Berei­chen Sicher­heit und Ret­tung, Trink­was­ser­ver­sor­gung, Abwas­ser­auf­be­rei­tung und Abfall­ent­sor­gung (soweit sie hoheit­lich handeln);
  • Ener­gie­ver­sor­ger und in den Ener­gie­ver­sor­gung Ener­gie­han­del, Ener­gie­mes­sung oder Ener­gie­steue­rung täti­ge Unternehmen;
  • Ban­ken, Pri­vat­ver­si­che­run­gen und Finanz­markt­in­fra­struk­tu­ren – dazu die Botschaft:

    Die Unter­neh­men des Finanz­sek­tors sind stark betrof­fen von Cyber­an­grif­fen, da sie auf Grund der beträcht­li­chen finan­zi­el­len Mit­tel, wel­che sie ver­wal­ten, ein attrak­ti­ves Ziel für Kri­mi­nel­le dar­stel­len. Für die Ver­läss­lich­keit des Finanz­plat­zes Schweiz ist es wich­tig, dass sol­che Angrif­fe gemel­det wer­den. Die bereits bestehen­de Mel­de­pflicht für Cyber­an­grif­fe gegen­über der Finanz­markt­auf­sicht FINMA bleibt par­al­lel zur neu­en Mel­de­pflicht ans NCSC bestehen. Die FINMA und das NCSC wer­den sich beim Mel­de­vor­gang abstim­men, damit der Auf­wand für die Mel­de­pflich­ti­gen so gering wie mög­lich ausfällt.

  • Gesund­heits­ein­rich­tun­gen auf der kan­to­na­len Spi­tal­li­ste (neben Spi­tä­lern auch Geburts­häu­ser undPflegeheime);
  • medi­zi­ni­sche Labo­ra­to­ri­en mit einer Bewil­li­gung nach dem Epidemiengesetz;
  • Unter­neh­men, die Arz­nei­mit­tel her­stel­len, Inver­kehr­brin­gen oder Einführen;
  • Sozi­al­ver­si­che­rer; dazu die Botschaft:

    Orga­ni­sa­tio­nen, die Lei­stun­gen zur Absi­che­rung gegen die Fol­gen von Krank­heit, Unfall, Arbeits- und Erwerbs­un­fä­hig­keit, Alter, Inva­li­di­tät und Hilf­lo­sig­keit erbrin­gen, sind eben­falls mel­de­pflich­tig. Der Begriff «Sozi­al­ver­si­che­run­gen» wird im Geset­zes­text nicht erwähnt, da er nicht gesetz­lich defi­niert wird.

    Die Mel­de­pflicht wird anhand der Lei­stun­gen für Risi­ken umschrie­ben, die in den All­ge­mei­nen Bestim­mun­gen des Bun­des­ge­set­zes vom 6. Okto­ber 200047F48 über den All­ge­mei­nen Teil des Sozi­al­ver­si­che­rungs­rechts (ATSG) erfasst sind, um mög­lichst alle Zwei­ge der Sozi­al­ver­si­che­run­gen abzu­decken. Die Mel­de­pflicht ist aber nicht auf Sozi­al­ver­si­che­run­gen beschränkt, die dem ATSG unter­stellt sind. Es wur­de auf die Auf­zäh­lung ein­zel­ner Geset­ze (z.B. Bun­des­ge­setz vom 19. Juni 195948F49 über die Inva­li­den­ver­si­che­rung, Bun­des­ge­setz vom 20. Dezem­ber 194649F50 über die Alters- und Hin­ter­las­se­nen­ver­si­che­rung) ver­zich­tet, um nicht nur gesetz­li­che, son­dern auch über­ob­li­ga­to­ri­sche Lei­stun­gen, bei­spiels­wei­se der beruf­li­chen Vor­sor­ge oder der Zusatz­ver­si­che­rung zur obli­ga­to­ri­schen Kran­ken­kas­se, abzudecken.

    Bei der beruf­li­chen Vor­sor­ge (im Sin­ne der 2. Säu­le) wer­den alle regi­strier­ten und nicht regi­strier­ten Vor­sor­ge­ein­rich­tun­gen (inkl. Auf­fang­ein­rich­tun­gen), die Frei­zü- gig­keits­ein­rich­tun­gen und der Sicher­heits­fond erfasst.

    Die frei­wil­li­ge Selbst­vor­sor­ge (Säu­le 3a und 3b) wird in aller Regel von Ban­ken und Ver­si­che­run­gen ange­bo­ten, die ihrer­seits der Mel­de­pflicht unterstehen.

    Auf Ver­ord­nungs­stu­fe kann der Bun­des­rat auch im Fal­le der Sozi­al­ver­si­che­run­gen Ein­schrän­kun­gen für den Kreis der Mel­de­pflich­ti­gen vor­neh­men und bei­spiels­wei­se den Adres­sa­ten­kreis der mel­de­pflich­ti­gen Vor­sor­geund Frei­zü­gig­keits­ein­rich­tun­gen durch geeig­ne­te Kri­te­ri­en ein­schrän­ken (vgl. Art. 74c sowie die Aus­füh­run­gen unter 4.3.3).

  • die SRG und Nach­rich­ten­agen­tu­ren von natio­na­ler Bedeu­tung (der­zeit nur noch Keystone-SDA);
  • Post­dienst­an­bie­ter;
  • Eisen­bahn­un­ter­neh­men und Seilbahn‑, Trolleybus‑, Auto­bus- und Schiff­fahrts­un­ter­neh­men;
  • Unter­neh­men der Zivil­luft­fahrt und Lan­des­flug­hä­fen gemäss Sach­plan Infrastruktur;
  • Schiffahrts­un­ter­neh­men, die Güter auf dem Rhein beför­dern, und Unter­neh­men, die die Regi­strie­rung, Ladung oder Löschung im Hafen Basel betreiben;
  • Unter­neh­men, wel­che die Bevöl­ke­rung mit unent­behr­li­chen Gütern des täg­li­chen Bedarfs ver­sor­gen und deren Aus­fall oder Beein­träch­ti­gung zu erheb­li­chen Ver­sor­gungs­eng­päs­sen füh­ren wür­de – dazu die Botschaft:

    In die Ver­sor­gung der Bevöl­ke­rung mit unent­behr­li­chen Gütern des täg­li­chen Bedarfs, ins­be­son­de­re Lebens­mit­tel, ist eine Viel­zahl von Akteu­rin­nen ein­ge­bun­den. Neben den Pro­du­zen­tin­nen und Impor­teu­rin­nen spie­len auch die Ver­ar­bei­te­rin­nen, die Ver­teil­zen­tren und die Detail­händ­le­rin­nen eine bedeu­ten­de Rol­le. Nicht alle die­ser Akteu­rin­nen sind gleich­be­deu­tend für die Ver­sor­gungs­si­cher­heit der Schweiz. Des­halb wur­de bereits auf Geset­zes­stu­fe eine Ein­schrän­kung auf Unter­neh­men vor­ge­nom­men, deren Aus­fall oder Beein­träch­ti­gung zu erheb­li­chen Ver­sor­gungs­eng­päs­sen füh­ren würde.

    Die Mel­de­pflicht für Cyber­an­grif­fe soll somit nur für jene Akteu­rin­nen gel­ten, wel­che in die­ser Hin­sicht eine wich­ti­ge Bedeu­tung haben. Der Bun­des­rat wird daher die Mel­de­pflicht im Bereich der Ver­sor­gung mit unent­behr­li­chen Gütern des täg­li­chen Bedarfs auf Ver­ord­nungs­ebe­ne gemäss den Kri­te­ri­en von Arti­kel 74c einschränken.

  • regi­strier­te Fern­mel­de­dienst­an­bie­te­rin­nen;
  • Regi­stra­re;
  • Anbie­ter und Betrei­ber von Dien­sten und Infra­struk­tu­ren, die der Aus­übung der poli­ti­schen Rech­te die­nen (E‑Voting, Syste­me zur Füh­rung von Stimm­re­gi­stern und zur Ermitt­lung und Über­mitt­lung der Ergeb­nis­se von Urnen­gän­gen, elek­tro­ni­sche Unter­schrif­ten­samm­lung, Druck des Stimmmaterials);
  • Anbie­ter und Betrei­ber von Cloud­com­pu­ting, Such­ma­schi­nen, digi­ta­len Sicher­heits- und Ver­trau­ens­dien­sten sowie Rechen­zen­tren mit Sitz in der Schweiz; dazu die Botschaft:

    Die Mel­de­pflicht gilt für Anbie­te­rin­nen und Betrei­be­rin­nen von Cloud­com­pu­ting (z.B. Soft­ware-as-a-Ser­vice, SaaS), von Such­ma­schi­nen, von digi­ta­len Sicher­heits- und Ver­trau­ens­dien­sten sowie von Rechen­zen­tren, sofern sie einen Sitz in der Schweiz haben.

    Der Begriff «Ver­trau­ens­dienst» umfasst ana­log zum EU-Rech­t62F 63 Dien­ste in den Berei­chen elek­tro­ni­sche Signa­tur, Sie­gel und Zeit­stem­pel, Zustel­lung elek­tro­ni­scher Ein­schrei­ben, Zer­ti­fi­ka­te für die Authen­ti­fi­zie­rung sowie (Auf-)Bewahrungsdienste für elek­tro­ni­sche Signa­tur, Sie­gel und Zer­ti­fi­ka­te. Als Ver­trau­ens­dienst gilt somit bei­spiels­wei­se auch die E‑ID.

    Mit Sicher­heits­dienst sind ins­be­son­de­re Lösun­gen für die Ver­schlüs­se­lung von Infor­ma­tio­nen gemeint oder den Infor­ma­tik­mit­teln zum Schutz vor Cyber­an­grif­fen die­nen (Spam­fil­ter, Anti­vi­ren-Pro­gram­me, Firewalls).

  • Her­stel­ler von Hard- oder Soft­ware, deren Pro­duk­te von kri­ti­schen Infra­struk­tu­ren genutzt wer­den und einen Fern­war­tungs­zu­gang haben oder ein­ge­setzt wer­den zur Steue­rung und Über­wa­chung von betriebs­tech­ni­schen Syste­men und Pro­zes­sen oder zur Gewähr­lei­stung der öffent­li­chen Sicher­heit. Dazu die Botschaft:

    Cyber­an­grif­fe auf kri­ti­sche Infra­struk­tu­ren, die über deren Lie­fer­ket­ten erfol­gen, sind zu einer rele­van­ten Bedro­hung gewor­den. Dabei ste­hen ins­be­son­de­re die Zulie­fe­rin­nen von Hard­und Soft­ware im Fokus. Die Angrei­fe­rin­nen und Angrei­fer mani­pu­lie­ren dabei die Infor­ma­tik­mit­tel bereits vor der Aus­lie­fe­rung an die End­kun­din­nen, damit sie spä­ter Zugriff auf die Syste­me erhal­ten. Für die Cyber­si­cher­heit sind des­halb Cyber­an­grif­fe auf die Her­stel­le­rin­nen der Hard­und Soft­ware kri­ti­scher Infra­struk­tu­ren von gro­sser Bedeutung.

    Beson­ders rele­vant sind Cyber­an­grif­fe auf Her­stel­le­rin­nen, wenn die­se über Fern­war­tungs­zu­gän­ge zu den Syste­men ver­fü­gen. Fern­war­tungs­zu­gän­ge erlau­ben Her­stel­le­rin­nen, die über ent­spre­chen­de Berech­ti­gun­gen ver­fü­gen, zum Zweck der War­tung oder zur Stö­rungs­be­sei­ti­gung von aussen – d. h. in der Regel über das Inter­net – auf IT- und OT-Kom­po­nen­ten im loka­len Netz zuzu­grei­fen. Angrei­fe­rin­nen und Angrei­fer kön­nen ver­su­chen, über sol­che legi­ti­men Zugän­ge direkt in die Syste­me der kri­ti­schen Infra­struk­tu­ren einzudringen.

    Neben dem Kri­te­ri­um des Fern­war­tungs­zu­gangs sind Her­stel­le­rin­nen von Hard­und Soft­ware auch dann mel­de­pflich­tig, wenn ihre Pro­duk­te in beson­ders heik­len Berei­chen zum Ein­satz kom­men. Dies betrifft Hard­und Soft­ware zur Steue­rung und Über­wa­chung von phy­si­schen Gerä­ten, Pro­zes­sen und Ereig­nis­sen (sog. Betriebs­tech­nik oder Ope­ra­tio­nal Tech­no­lo­gy). Dazu zäh­len ins­be­son­de­re indu­stri­el­le Steue­rungs­sy­ste­me (Indu­stri­al Con­trol Systems) und Auto­ma­ti­ons­lö­sun­gen, die Steue­rungs- und Regel­funk­tio­nen aller Art über­neh­men. Wei­te­re Bei­spie­le sind Labor­ge­rä­te, z.B. auto­ma­ti­sier­te Mikro­sko­pe oder Ana­ly­se­werk­zeu­ge, Logi­stik­sy­ste­me, wie Bar­code­scan­ner mit Klein­rech­ner, oder Gebäu­de­leit­tech­nik (Ziff. 1).

    Eben­falls im Fokus steht Hard­und Soft­ware, wel­che zur Gewähr­lei­stung der öffent­li­chen Sicher­heit ein­ge­setzt wird (Ziff. 2). Zu den­ken ist hier ins­be­son­de­re an die Kom­mu­ni­ka­ti­on von Blau­licht­or­ga­ni­sa­tio­nen oder die Syste­me für die poli­zei­li­che Ermittlung.

    Kei­ne Mel­de­pflicht ent­steht aber schon dadurch, dass ein Cyber­an­griff Infor­ma­tik­mit­tel von Kun­den der Unter­neh­men betref­fen. Anbie­te­rin von Inter­net­dienst­lei­stun­gen sind daher grund­sätz­lich nicht für Mel­dun­gen bei Vor­fäl­len ihrer Kun­den ver­ant­wort­lich, so die Botschaft.

Bei den Aus­nah­men von der Mel­de­pflicht wird der Bun­des­rat regeln, u.a. durch Schwel­len­wer­te; der Gegen­stand der Aus­nah­men im Gesetz wur­de aber prä­zi­siert (es geht um Fäl­le, wo Cyber­an­grif­fe nur gerin­ge Aus­wir­kun­gen haben).

Da eini­ge Unklar­hei­ten blei­ben, selbst bei einer Prä­zi­sie­rung auf Ver­ord­nungs­ebe­ne, soll das NCSC Aus­kunft ertei­len (z.B. durch FAQ), ob Grenz­fäl­le erfasst sind. Wird die­se Ein­ord­nung bestrit­ten oder bezwei­felt, hat das NCSC der Bot­schaft zufol­ge eine anfecht­ba­re Ver­fü­gung zu erlas­sen. Es dürf­te dabei nicht nur um Unterstellungs‑, son­dern auch um Nicht­un­ter­stel­lungs­ver­fü­gun­gen gehen.

Mel­de­pflicht von Cyberangriffen

Bei der Mel­de­pflicht im kon­kre­ten Fall wur­den die Vor­aus­set­zun­gen ver­schlankt. Zu mel­den sind Cyber­an­grif­fe auf die Infor­ma­tik­mit­tel der erfass­ten Unter­neh­men. “Cyber­an­grif­fe” sind dann zu mel­den, wenn sie

  • die Funk­ti­ons­fä­hig­keit der betrof­fe­nen kri­ti­schen Infra­struk­tur gefährdet;
  • zu einer Mani­pu­la­ti­on (z.B. eine Daten­ver­schlüs­se­lung bei einem Ran­som­an­griff) oder zu einem Abfluss von Infor­ma­tio­nen geführt hat;
  • über einen län­ge­ren Zeit­raum unent­deckt blieb, ins­be­son­de­re wenn Anzei­chen dafür bestehen, dass er zur Vor­be­rei­tung wei­te­rer Cyber­an­grif­fe aus­ge­führt wur­de; oder
  • mit Erpres­sung, Dro­hung oder Nöti­gung ver­bun­den ist, also bei straf­recht­lich rele­van­ten Begleit­um­stän­den. Dies setzt der Bot­schaft zufol­ge aber vor­aus, dass die Erpres­sung, Dro­hung oder Nöti­gung einen Bezug zum mel­de­pflich­ti­gen Unter­neh­men hat und sich auf des­sen Geschäfts­tä­tig­keit nega­tiv aus­wir­ken kann.

Inhalt­lich zu mel­den sind dabei Infor­ma­tio­nen zur mel­de­pflich­ti­gen Behör­de oder Orga­ni­sa­ti­on, zur Art und Aus­füh­rung des Cyber­an­griffs (z.B. IP-Adres­sen oder DNS-Records von bekann­ten Angriffs­in­fra­struk­tu­ren wie etwa Bot­net­ze oder von Com­mand and Con­trol-Ser­vern, URL zu ver­däch­ti­gen Sei­ten, hash-Wer­te von Mal­wa­re, Viren­si­gna­tu­ren, Anoma­lien im Netz­werk­ver­kehr oder ver­däch­ti­ges Ver­hal­ten von Soft­ware, gemäss der Bot­schaft), fer­ner zu sei­nen Aus­wir­kun­gen, zu ergrif­fe­nen Mass­nah­men und, soweit bekannt, zum geplan­ten wei­te­ren Vor­ge­hen. Eine Pflicht zur Mel­dung von Anga­ben machen, die zu einer straf­recht­li­chen Bela­stung des Mel­den­den füh­ren wür­den, ist aber aus­drück­lich aus­ge­schlos­sen. Das wird im Mel­de­for­mu­lar erwähnt werden.

Prä­zi­siert wur­de auch die Mel­de­frist: Die Mel­dung muss nicht mehr so rasch als mög­lich erfol­gen, son­dern – wie auch etwa nach der Auf­sichts­mit­tei­lung der FINMA zu Cyber­at­tacken oder dem neu­en Rund­schrei­ben Ope­ra­tio­nel­le Risi­ken und Resi­li­enz – inner­halb von 24 Stun­den nach der Ent­deckung des Cyber­an­griffs. Inner­halb die­ser Frist müs­sen aber nur die bis dahin bekann­ten Infor­ma­tio­nen gemel­det wer­den; die Mel­dung kann spä­ter ergänzt werden.

Das NCSC will dem Bun­des­rat zufol­ge ein elek­tro­ni­sches Mel­de­for­mu­lar zur Ver­fü­gung stel­len, mit dem Mel­dun­gen kön­nen erfasst und auf Wunsch an wei­te­re Stel­len über­mit­telt wer­den kön­nen. Dar­in wird auch beschrei­ben wer­den, was unter den ein­zel­nen Infor­ma­tio­nen zu ver­ste­hen ist. Die Bot­schaft dazu:

Das NCSC nutzt für die Ent­ge­gen­nah­me von frei­wil­li­gen Mel­dun­gen bereits ein elek­tro­ni­sches Mel­de­for­mu­lar. Das elek­tro­ni­sche Mel­de­sy­stem des NCSC lässt sich auch für die Ent­ge­gen­nah­me von Mel­dun­gen in Erfül­lung der Mel­de­pflicht ver­wen­den. Für die nöti­gen Abstim­mun­gen mit ande­ren Stel­len, wel­che eben­falls Mel­dun­gen ent­ge­gen­neh­men (z.B. EDÖB, Eid­ge­nös­si­sche Finanz­markt­auf­sicht [FINMA], Eid­ge­nös­si­sches Nukle­ar­si­cher­heits­in­spek­to­rat [ENSI]), und für die Kon­fi­gu­ra­ti­on des Mel­de­for­mu­lars fällt ein Initi­al­auf­wand an, der jedoch über die bestehen­den Res­sour­cen des NCSC auf­ge­fan­gen wer­den kann. Für die Umset­zung der Vor­la­ge muss das NCSC jedoch sicher­stel­len kön­nen, dass die in Erfül­lung der Mel­de­pflicht ein­ge­gan­ge­nen Mel­dun­gen kor­rekt erfasst, quit­tiert und doku­men­tiert wer­den und die sich dar­aus erge­ben­den Infor­ma­tio­nen zur Cyber­be­dro­hung zum Zweck der Früh­war­nung an die rich­ti­gen Stel­len wei­ter­ge­lei­tet wer­den. Die­ser zusätz­li­che Auf­wand muss beim wei­te­ren Aus­bau des NCSC berück­sich­tigt werden.

Zur Koor­di­na­ti­on wird das Mel­de­sy­stem so aus­ge­stal­tet, dass Mel­dun­gen ganz oder teil­wei­se an wei­te­re Behör­den über­mit­telt wer­den kann, und es kön­nen auch Zusatz­an­ga­ben für sol­che wei­te­ren Mel­dun­gen erfasst wer­den. Dabei bestim­men allei­ne die Mel­den­den über sol­che Weitermeldungen.

Straf­be­stim­mun­gen

Nicht inhalt­lich ange­passt wur­den dage­gen die Straf­be­stim­mun­gen. Straf­bar ist wei­ter­hin nur eine Wider­hand­lung gegen eine Ver­fü­gung des NCSC (also nach einer ersten weni­ger for­mel­len Kon­takt­auf­nah­me durch das NCSC), nicht die Unter­las­sung der Mel­dung, und wei­ter­hin mit Bus­se bis CHF 100’000. Straf­bar wäre ana­log zum nDSG die­je­ni­ge Per­son, “die inner­halb der kri­ti­schen Infra­struk­tur hät­te dafür sor­gen müs­sen, dass der Ver­fü­gung des NCSC Fol­ge gelei­stet wird”. Die Schwel­le für eine sub­si­diä­re Bela­stung des Unter­neh­mens bei unver­hält­nis­mä­ssi­gen Ermitt­lungs­auf­wand bleibt bei CHF 20’000 (also wie beim nDSG bei 20% des Bus­sen­rah­mens). Damit die Mel­dun­gen den­noch erfol­gen, schafft das Gesetz einen Anreiz: Mel­de­pflich­ti­ge haben nach einer geset­zes­kon­for­men Mel­dung Anspruch auf die Unter­stüt­zung des NCSC.

Ände­run­gen ande­rer Erlas­se (inkl. nDSG)

Anpas­sun­gen sol­len zugleich auch beim Gesetz über das öffent­li­che Beschaf­fungs­we­sen, beim Kern­ener­gie­ge­setz, beim Strom­ver­sor­gungs­ge­setz und beim Finanz­markt­auf­sichts­ge­setz, aber auch beim nDSG erfol­gen – ein­ge­fügt wür­de dort bei Art. 24 (Mel­dung von Ver­let­zun­gen der Daten­si­cher­heit) ein neu­er Abs. 5bis, der im Wesent­li­chen Art. 41 der DSV entspricht:

1 Der Ver­ant­wort­li­che mel­det dem EDÖB so rasch als mög­lich eine Ver­let­zung der Daten­si­cher­heit, die vor­aus­sicht­lich zu einem hohen Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son führt.
2 In der Mel­dung nennt er min­de­stens die Art der Ver­let­zung der Daten­si­cher­heit, deren Fol­gen und die ergrif­fe­nen oder vor­ge­se­he­nen Massnahmen.
3 Der Auf­trags­be­ar­bei­ter mel­det dem Ver­ant­wort­li­chen so rasch als mög­lich eine Ver­let­zung der Datensicherheit.
4 Der Ver­ant­wort­li­che infor­miert die betrof­fe­ne Per­son, wenn es zu ihrem Schutz erfor­der­lich ist oder der EDÖB es verlangt.
5 Er kann die Infor­ma­ti­on an die betrof­fe­ne Per­son ein­schrän­ken, auf­schie­ben oder dar­auf ver­zich­ten, wenn:
a. ein Grund nach Arti­kel 26 Absatz 1 Buch­sta­be b oder Absatz 2 Buch­sta­be b vor­liegt oder eine gesetz­li­che Geheim­hal­tungs­pflicht dies verbietet;
b. die Infor­ma­ti­on unmög­lich ist oder einen unver­hält­nis­mä­ssi­gen Auf­wand erfor­dert; oder
c. die Infor­ma­ti­on der betrof­fe­nen Per­son durch eine öffent­li­che Bekannt­ma­chung in ver­gleich­ba­rer Wei­se sicher­ge­stellt ist.
5bis Der EDÖB kann die Mel­dung mit dem Ein­ver­ständ­nis des Ver­ant­wort­li­chen zur Ana­ly­se des Vor­falls an das Natio­na­le Zen­trum für Cyber­si­cher­heit wei­ter­lei­ten. Die Mit­tei­lung kann Per­so­nen­da­ten ent­hal­ten, ein­schliess­lich beson­ders schüt­zens­wer­ter Per­so­nen­da­ten über ver­wal­tungs- und straf­recht­li­che Ver­fol­gun­gen oder Sank­tio­nen betref­fend den Verantwortlichen.
6 Eine Mel­dung, die auf­grund die­ses Arti­kels erfolgt, darf in einem Straf­ver­fah­ren gegen die mel­de­pflich­ti­ge Per­son nur mit deren Ein­ver­ständ­nis ver­wen­det werden.

Dazu die Botschaft:

Damit der EDÖB bei der Ana­ly­se einer ein­ge­tre­te­nen Ver­let­zung der Daten­si­cher­heit, die der Ver­ant­wort­li­che ihm gestützt auf Arti­kel 24 nDSG und Arti­kel 19 DSV gemel­det hat, die tech­ni­schen Fach­spe­zia­li­stin­nen und Fach­spe­zia­li­sten des NCSC mit­ein­be­zie­hen kann, wird in Arti­kel 24 Absatz 5bis nDSG vor­ge­se­hen, dass der EDÖB die Mel­dung einer Ver­let­zung der Daten­si­cher­heit an das NCSC wei­ter­lei­ten kann.

Die Wei­ter­lei­tung kann jeg­li­che Anga­ben gemäss Arti­kel 19 Absatz 1 DSV ent­hal­ten, muss sich aber gleich­zei­tig auf die für das NCSC für die Ana­ly­se des Vor­falls not­wen­di­gen Daten beschrän­ken. Dabei kann die Mit­tei­lung des EDÖB an das NCSC auch Per­so­nen­da­ten ent­hal­ten, ein­schliess­lich beson­ders schüt­zens­wer­ter Per­so­nen­da­ten über ver­wal­tungs­und straf­recht­li­che Ver­fol­gun­gen oder Sank­tio­nen des mel­de­pflich­ti­gen Ver­ant­wort­li­chen. Die für die Ana­ly­se eines Vor­falls not­wen­di­gen Infor­ma­tio­nen wer­den im Ein­zel­fall selek­tiert, jedoch kön­nen unter Umstän­den damit auch indi­rekt Infor­ma­tio­nen über ein lau­fen­des Ver­fah­ren an das NCSC gelan­gen. Daher ist eine gesetz­li­che Grund­la­ge für die Bekannt­ga­be von beson­ders schüt­zens­wer­ten Per­so­nen­da­ten zu schaffen.

Vor­aus­ge­setzt ist, dass der Ver­ant­wort­li­che, der zur Mel­dung an den EDÖB ver­pflich­tet ist, vor­gän­gig sein Ein­ver­ständ­nis zur Wei­ter­lei­tung gege­ben hat. Ausser­dem darf die Wei­ter­lei­tung nicht dazu füh­ren, dass Arti­kel 24 Absatz 6 nDSG umgan­gen wird, wonach die Mel­dung nur mit Ein­ver­ständ­nis der mel­de­pflich­ti­gen Per­son im Rah­men eines Straf­ver­fah­rens ver­wen­det wer­den darf. Dies bedeu­tet, dass sich ein Ver­ant­wort­li­cher auch im Fal­le einer Wei­ter­lei­tung sei­ner Mel­dung an das NCSC auf das daten­schutz­recht­li­che Ver­wer­tungs­ver­bot beru­fen kön­nen wird. Der neue Absatz 5bis in Arti­kel 24 nDSG ermög­licht dem EDÖB kei­ne syste­ma­ti­sche Wei­ter­lei­tung von Mel­dun­gen an das NCSC. Viel­mehr darf der EDÖB von die­ser Mög­lich­keit nur in Ein­zel­fäl­len Gebrauch machen, in denen das tech­ni­sche Fach­wis­sen des NCSC für die Abklä­rung eines Vor­falls erfor­der­lich ist.

Die­ses Wei­ter­lei­tungs­recht für Infor­ma­tio­nen des EDÖB an das NCSC beschränkt sich auf einen ein­sei­ti­gen Infor­ma­ti­ons­aus­tausch. Das NCSC sei­ner­seits lie­fert dem EDÖB kei­ne Infor­ma­tio­nen aus Mel­dun­gen, selbst wenn die­se Daten­schutz­ver­let­zun­gen beinhal­ten. Das NCSC stellt aber ein elek­tro­ni­sches System zur Ver­fü­gung, das den Mel­den­den die Wei­ter­lei­tung der Mel­dung oder Tei­len davon erlaubt. Die mel­den­de Per­son erhält somit die Mög­lich­keit, das For­mu­lar zur Mel­dung des Cyber­an­griffs auch zur Mel­dung einer Daten­si­cher­heits­ver­let­zung an den EDÖB zu nutzen.

Das revi­dier­te Daten­schutz­ge­setz wird vor­aus­sicht­lich im Sep­tem­ber 2023, d.h. kurz nach Inkraft­tre­ten des ISG (ohne die­se Vor­la­ge), in Kraft tre­ten. Ab die­sem Zeit­punkt bis zum Inkraft­tre­ten des revi­dier­ten 5. Kapi­tels ISG (die­se Vor­la­ge) frü­he­stens Ende 2023 wird die in Arti­kel 24 Absatz 5bis vor­ge­se­he­ne Rege­lung bereits auf Ver­ord­nungs­ebe­ne gel­ten (vgl. Art. 41 Abs. 1 der Daten­schutz­ver­ord­nung vom 31. August 2022). Mit Inkraft­set­zung die­ser Vor­la­ge wird der Bun­des­rat jene Ver­ord­nungs­be­stim­mung aufheben.