Home
•
Security & Resilience
•
ISG – Ergänzung, Meldepflicht kritischer Infrastrukturen: Botschaft und Entwurf (2.12.2022)

ISG – Ergänzung, Meldepflicht kritischer Infrastrukturen: Botschaft und Entwurf (2.12.2022)

David Vasella

16. Januar 2023

Behörde

Bundesrat

Themen

Breach Notification, ISG, kritische Infrastrukturen, nDSG-24

EDÖB: Leitfaden zu Data Breaches

Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS): Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen kommt wohl im Jahr 2025

Bundesrat: ISG und Verordnungsrecht per 1.1.2024 in Kraft gesetzt

EDSA: Version 2 der Leitlinien zur Breach Notification: keine Konzentration beim EU-Vertreter

Deutsch

Deutsch English Français

Der Bundesrat hat am 2. Dezember 2022 die Botschaft zur Änderung des Informationssicherheitsgesetzes (ISG) verabschiedet (Medienmitteilung). Der Gesetzesentwurf betrifft die Meldepflicht für Betreiber kritischer Infrastrukturen an das Nationale Zentrum für Cybersicherheit (NCSC). Das NCSC löst damit MELANI ab. – Das ISG heisst danach nicht mehr “Bundesgesetz über die Informationssicherheit beim Bund”, sondern “Bundesgesetz über die Informationssicherheit” (weil es nicht mehr nur um den Bund geht). Der Bundesrat wird noch eine konkretisierende Verordnung erlassen.

Vorentwurf und Vernehmlassung

Vorausgegangen waren ein Vorentwurf vom 18. Dezember 2020 und eine Vernehmlassung, die vom 12. Januar bis zum 14. April 2022 dauerte (wir haben zum ISG hier, hier, hier und hier berichtet). In der Vernehmlassung waren 99 Stellungnahmen von Kantonen, Betreibern kritischer Infrastrukturen und aus der Forschung und der Wirtschaft eingegangen. Die Reaktionen waren positiv positiv (Vernehmlassungsbericht). Anliegen waren aber vor allem, dass die Meldepflicht möglichst unbürokratisch sein und keinen grossen Zusatzaufwand mit sich bringen solle. Zudem seien vor allem Begriffe, die Liste der meldepflichtigen Bereiche und die Ausnahmen von der Meldepflicht zu präzisieren, ebenso wie die Definition der zu meldenden Cyberangriffe und die Modalitäten für die Übermittlung der Meldung. Gegenstand von Kritik und Anregungen waren ferner die Strafen bei Verletzung der Meldepflicht und der Umgang mit Informationen aus Meldungen (hier geht das BGÖ übrigens ausdrücklich vor, und das NCSC ist vom BGÖ wie auch der EDÖB und anders als die SNB oder die FINMA nicht ausgenommen).

Ein Deltaview zwischen der Vernehmlassungsvorlage und dem Entwurf findet sich hier:

Meldepflichten nach dem Entwurf

Die Liste der meldepflichtigen Bereiche wurde im Wesentlichen wie folgt angepasst:

gestrichen wurde die Ausnahme für Betreiber von Kernanlagen;
statt von “Spitälern” spricht der Entwurf von “Ges- undheitseinrichtungen” (sofern sie auf der Spitalliste stehen);
gestrichen wurde die Meldepflicht von Herstellern oder Vertreibern von Medizinprodukten;
die Anknüpfung bei Transportunternehmen wurde angepasst;
neu aufgenommen wurden Flughafenbetreiber;
bei den Versorgungsunternehmen des täglichen Bedarfs ist eine Einschränkung aufgenommen worden;
bei Hard- und Softwareherstellern wurden die Aufgreifkriterien verengt (nicht mehr ausreichend ist der Einsatz für den Betrieb von Medizinprodukten oder Fernmeldeanlagen oder die IT-Sicherheit oder Verschlüsselung usw.; dafür wurden die Anbieter von Sicherheits- und Vertrauensdiensten aufgenommen).

Damit umfasst die Liste nun vereinfacht – Details lassen wir hier weg, sie sind aber wichtig – folgende Unternehmen und Behörden:

Hochschulen;
Bundes‑, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen;
Organisationen mit öffentlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung (soweit sie hoheitlich handeln);
Energieversorger und in den Energieversorgung Energiehandel, Energiemessung oder Energiesteuerung tätige Unternehmen;
Banken, Privatversicherungen und Finanzmarktinfrastrukturen – dazu die Botschaft:

Die Unternehmen des Finanzsektors sind stark betroffen von Cyberangriffen, da sie auf Grund der beträchtlichen finanziellen Mittel, welche sie verwalten, ein attraktives Ziel für Kriminelle darstellen. Für die Verlässlichkeit des Finanzplatzes Schweiz ist es wichtig, dass solche Angriffe gemeldet werden. Die bereits bestehende Meldepflicht für Cyberangriffe gegenüber der Finanzmarktaufsicht FINMA bleibt parallel zur neuen Meldepflicht ans NCSC bestehen. Die FINMA und das NCSC werden sich beim Meldevorgang abstimmen, damit der Aufwand für die Meldepflichtigen so gering wie möglich ausfällt.
Gesundheitseinrichtungen auf der kantonalen Spitalliste (neben Spitälern auch Geburtshäuser undPflegeheime);
medizinische Laboratorien mit einer Bewilligung nach dem Epidemiengesetz;
Unternehmen, die Arzneimittel herstellen, Inverkehrbringen oder Einführen;
Sozialversicherer; dazu die Botschaft:

Organisationen, die Leistungen zur Absicherung gegen die Folgen von Krankheit, Unfall, Arbeits- und Erwerbsunfähigkeit, Alter, Invalidität und Hilflosigkeit erbringen, sind ebenfalls meldepflichtig. Der Begriff «Sozialversicherungen» wird im Gesetzestext nicht erwähnt, da er nicht gesetzlich definiert wird.

Die Meldepflicht wird anhand der Leistungen für Risiken umschrieben, die in den Allgemeinen Bestimmungen des Bundesgesetzes vom 6. Oktober 200047F48 über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG) erfasst sind, um möglichst alle Zweige der Sozialversicherungen abzudecken. Die Meldepflicht ist aber nicht auf Sozialversicherungen beschränkt, die dem ATSG unterstellt sind. Es wurde auf die Aufzählung einzelner Gesetze (z.B. Bundesgesetz vom 19. Juni 195948F49 über die Invalidenversicherung, Bundesgesetz vom 20. Dezember 194649F50 über die Alters- und Hinterlassenenversicherung) verzichtet, um nicht nur gesetzliche, sondern auch überobligatorische Leistungen, beispielsweise der beruflichen Vorsorge oder der Zusatzversicherung zur obligatorischen Krankenkasse, abzudecken.

Bei der beruflichen Vorsorge (im Sinne der 2. Säule) werden alle registrierten und nicht registrierten Vorsorgeeinrichtungen (inkl. Auffangeinrichtungen), die Freizü- gigkeitseinrichtungen und der Sicherheitsfond erfasst.

Die freiwillige Selbstvorsorge (Säule 3a und 3b) wird in aller Regel von Banken und Versicherungen angeboten, die ihrerseits der Meldepflicht unterstehen.

Auf Verordnungsstufe kann der Bundesrat auch im Falle der Sozialversicherungen Einschränkungen für den Kreis der Meldepflichtigen vornehmen und beispielsweise den Adressatenkreis der meldepflichtigen Vorsorgeund Freizügigkeitseinrichtungen durch geeignete Kriterien einschränken (vgl. Art. 74c sowie die Ausführungen unter 4.3.3).
die SRG und Nachrichtenagenturen von nationaler Bedeutung (derzeit nur noch Keystone-SDA);
Postdienstanbieter;
Eisenbahnunternehmen und Seilbahn‑, Trolleybus‑, Autobus- und Schifffahrtsunternehmen;
Unternehmen der Zivilluftfahrt und Landesflughäfen gemäss Sachplan Infrastruktur;
Schiffahrtsunternehmen, die Güter auf dem Rhein befördern, und Unternehmen, die die Registrierung, Ladung oder Löschung im Hafen Basel betreiben;
Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde – dazu die Botschaft:

In die Versorgung der Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs, insbesondere Lebensmittel, ist eine Vielzahl von Akteurinnen eingebunden. Neben den Produzentinnen und Importeurinnen spielen auch die Verarbeiterinnen, die Verteilzentren und die Detailhändlerinnen eine bedeutende Rolle. Nicht alle dieser Akteurinnen sind gleichbedeutend für die Versorgungssicherheit der Schweiz. Deshalb wurde bereits auf Gesetzesstufe eine Einschränkung auf Unternehmen vorgenommen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde.

Die Meldepflicht für Cyberangriffe soll somit nur für jene Akteurinnen gelten, welche in dieser Hinsicht eine wichtige Bedeutung haben. Der Bundesrat wird daher die Meldepflicht im Bereich der Versorgung mit unentbehrlichen Gütern des täglichen Bedarfs auf Verordnungsebene gemäss den Kriterien von Artikel 74c einschränken.
registrierte Fernmeldedienstanbieterinnen;
Registrare;
Anbieter und Betreiber von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen (E‑Voting, Systeme zur Führung von Stimmregistern und zur Ermittlung und Übermittlung der Ergebnisse von Urnengängen, elektronische Unterschriftensammlung, Druck des Stimmmaterials);
Anbieter und Betreiber von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren mit Sitz in der Schweiz; dazu die Botschaft:

Die Meldepflicht gilt für Anbieterinnen und Betreiberinnen von Cloudcomputing (z.B. Software-as-a-Service, SaaS), von Suchmaschinen, von digitalen Sicherheits- und Vertrauensdiensten sowie von Rechenzentren, sofern sie einen Sitz in der Schweiz haben.

Der Begriff «Vertrauensdienst» umfasst analog zum EU-Recht62F 63 Dienste in den Bereichen elektronische Signatur, Siegel und Zeitstempel, Zustellung elektronischer Einschreiben, Zertifikate für die Authentifizierung sowie (Auf-)Bewahrungsdienste für elektronische Signatur, Siegel und Zertifikate. Als Vertrauensdienst gilt somit beispielsweise auch die E‑ID.

Mit Sicherheitsdienst sind insbesondere Lösungen für die Verschlüsselung von Informationen gemeint oder den Informatikmitteln zum Schutz vor Cyberangriffen dienen (Spamfilter, Antiviren-Programme, Firewalls).
Hersteller von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden und einen Fernwartungszugang haben oder eingesetzt werden zur Steuerung und Überwachung von betriebstechnischen Systemen und Prozessen oder zur Gewährleistung der öffentlichen Sicherheit. Dazu die Botschaft:

Cyberangriffe auf kritische Infrastrukturen, die über deren Lieferketten erfolgen, sind zu einer relevanten Bedrohung geworden. Dabei stehen insbesondere die Zulieferinnen von Hardund Software im Fokus. Die Angreiferinnen und Angreifer manipulieren dabei die Informatikmittel bereits vor der Auslieferung an die Endkundinnen, damit sie später Zugriff auf die Systeme erhalten. Für die Cybersicherheit sind deshalb Cyberangriffe auf die Herstellerinnen der Hardund Software kritischer Infrastrukturen von grosser Bedeutung.

Besonders relevant sind Cyberangriffe auf Herstellerinnen, wenn diese über Fernwartungszugänge zu den Systemen verfügen. Fernwartungszugänge erlauben Herstellerinnen, die über entsprechende Berechtigungen verfügen, zum Zweck der Wartung oder zur Störungsbeseitigung von aussen – d. h. in der Regel über das Internet – auf IT- und OT-Komponenten im lokalen Netz zuzugreifen. Angreiferinnen und Angreifer können versuchen, über solche legitimen Zugänge direkt in die Systeme der kritischen Infrastrukturen einzudringen.

Neben dem Kriterium des Fernwartungszugangs sind Herstellerinnen von Hardund Software auch dann meldepflichtig, wenn ihre Produkte in besonders heiklen Bereichen zum Einsatz kommen. Dies betrifft Hardund Software zur Steuerung und Überwachung von physischen Geräten, Prozessen und Ereignissen (sog. Betriebstechnik oder Operational Technology). Dazu zählen insbesondere industrielle Steuerungssysteme (Industrial Control Systems) und Automationslösungen, die Steuerungs- und Regelfunktionen aller Art übernehmen. Weitere Beispiele sind Laborgeräte, z.B. automatisierte Mikroskope oder Analysewerkzeuge, Logistiksysteme, wie Barcodescanner mit Kleinrechner, oder Gebäudeleittechnik (Ziff. 1).

Ebenfalls im Fokus steht Hardund Software, welche zur Gewährleistung der öffentlichen Sicherheit eingesetzt wird (Ziff. 2). Zu denken ist hier insbesondere an die Kommunikation von Blaulichtorganisationen oder die Systeme für die polizeiliche Ermittlung.

Keine Meldepflicht entsteht aber schon dadurch, dass ein Cyberangriff Informatikmittel von Kunden der Unternehmen betreffen. Anbieterin von Internetdienstleistungen sind daher grundsätzlich nicht für Meldungen bei Vorfällen ihrer Kunden verantwortlich, so die Botschaft.

Bei den Ausnahmen von der Meldepflicht wird der Bundesrat regeln, u.a. durch Schwellenwerte; der Gegenstand der Ausnahmen im Gesetz wurde aber präzisiert (es geht um Fälle, wo Cyberangriffe nur geringe Auswirkungen haben).

Da einige Unklarheiten bleiben, selbst bei einer Präzisierung auf Verordnungsebene, soll das NCSC Auskunft erteilen (z.B. durch FAQ), ob Grenzfälle erfasst sind. Wird diese Einordnung bestritten oder bezweifelt, hat das NCSC der Botschaft zufolge eine anfechtbare Verfügung zu erlassen. Es dürfte dabei nicht nur um Unterstellungs‑, sondern auch um Nichtunterstellungsverfügungen gehen.

Meldepflicht von Cyberangriffen

Bei der Meldepflicht im konkreten Fall wurden die Voraussetzungen verschlankt. Zu melden sind Cyberangriffe auf die Informatikmittel der erfassten Unternehmen. “Cyberangriffe” sind dann zu melden, wenn sie

die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet;
zu einer Manipulation (z.B. eine Datenverschlüsselung bei einem Ransomangriff) oder zu einem Abfluss von Informationen geführt hat;
über einen längeren Zeitraum unentdeckt blieb, insbesondere wenn Anzeichen dafür bestehen, dass er zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde; oder
mit Erpressung, Drohung oder Nötigung verbunden ist, also bei strafrechtlich relevanten Begleitumständen. Dies setzt der Botschaft zufolge aber voraus, dass die Erpressung, Drohung oder Nötigung einen Bezug zum meldepflichtigen Unternehmen hat und sich auf dessen Geschäftstätigkeit negativ auswirken kann.

Inhaltlich zu melden sind dabei Informationen zur meldepflichtigen Behörde oder Organisation, zur Art und Ausführung des Cyberangriffs (z.B. IP-Adressen oder DNS-Records von bekannten Angriffsinfrastrukturen wie etwa Botnetze oder von Command and Control-Servern, URL zu verdächtigen Seiten, hash-Werte von Malware, Virensignaturen, Anomalien im Netzwerkverkehr oder verdächtiges Verhalten von Software, gemäss der Botschaft), ferner zu seinen Auswirkungen, zu ergriffenen Massnahmen und, soweit bekannt, zum geplanten weiteren Vorgehen. Eine Pflicht zur Meldung von Angaben machen, die zu einer strafrechtlichen Belastung des Meldenden führen würden, ist aber ausdrücklich ausgeschlossen. Das wird im Meldeformular erwähnt werden.

Präzisiert wurde auch die Meldefrist: Die Meldung muss nicht mehr so rasch als möglich erfolgen, sondern – wie auch etwa nach der Aufsichtsmitteilung der FINMA zu Cyberattacken oder dem neuen Rundschreiben Operationelle Risiken und Resilienz – innerhalb von 24 Stunden nach der Entdeckung des Cyberangriffs. Innerhalb dieser Frist müssen aber nur die bis dahin bekannten Informationen gemeldet werden; die Meldung kann später ergänzt werden.

Das NCSC will dem Bundesrat zufolge ein elektronisches Meldeformular zur Verfügung stellen, mit dem Meldungen können erfasst und auf Wunsch an weitere Stellen übermittelt werden können. Darin wird auch beschreiben werden, was unter den einzelnen Informationen zu verstehen ist. Die Botschaft dazu:

Das NCSC nutzt für die Entgegennahme von freiwilligen Meldungen bereits ein elektronisches Meldeformular. Das elektronische Meldesystem des NCSC lässt sich auch für die Entgegennahme von Meldungen in Erfüllung der Meldepflicht verwenden. Für die nötigen Abstimmungen mit anderen Stellen, welche ebenfalls Meldungen entgegennehmen (z.B. EDÖB, Eidgenössische Finanzmarktaufsicht [FINMA], Eidgenössisches Nuklearsicherheitsinspektorat [ENSI]), und für die Konfiguration des Meldeformulars fällt ein Initialaufwand an, der jedoch über die bestehenden Ressourcen des NCSC aufgefangen werden kann. Für die Umsetzung der Vorlage muss das NCSC jedoch sicherstellen können, dass die in Erfüllung der Meldepflicht eingegangenen Meldungen korrekt erfasst, quittiert und dokumentiert werden und die sich daraus ergebenden Informationen zur Cyberbedrohung zum Zweck der Frühwarnung an die richtigen Stellen weitergeleitet werden. Dieser zusätzliche Aufwand muss beim weiteren Ausbau des NCSC berücksichtigt werden.

Zur Koordination wird das Meldesystem so ausgestaltet, dass Meldungen ganz oder teilweise an weitere Behörden übermittelt werden kann, und es können auch Zusatzangaben für solche weiteren Meldungen erfasst werden. Dabei bestimmen alleine die Meldenden über solche Weitermeldungen.

Strafbestimmungen

Nicht inhaltlich angepasst wurden dagegen die Strafbestimmungen. Strafbar ist weiterhin nur eine Widerhandlung gegen eine Verfügung des NCSC (also nach einer ersten weniger formellen Kontaktaufnahme durch das NCSC), nicht die Unterlassung der Meldung, und weiterhin mit Busse bis CHF 100’000. Strafbar wäre analog zum nDSG diejenige Person, “die innerhalb der kritischen Infrastruktur hätte dafür sorgen müssen, dass der Verfügung des NCSC Folge geleistet wird”. Die Schwelle für eine subsidiäre Belastung des Unternehmens bei unverhältnismässigen Ermittlungsaufwand bleibt bei CHF 20’000 (also wie beim nDSG bei 20% des Bussenrahmens). Damit die Meldungen dennoch erfolgen, schafft das Gesetz einen Anreiz: Meldepflichtige haben nach einer gesetzeskonformen Meldung Anspruch auf die Unterstützung des NCSC.

Änderungen anderer Erlasse (inkl. nDSG)

Anpassungen sollen zugleich auch beim Gesetz über das öffentliche Beschaffungswesen, beim Kernenergiegesetz, beim Stromversorgungsgesetz und beim Finanzmarktaufsichtsgesetz, aber auch beim nDSG erfolgen – eingefügt würde dort bei Art. 24 (Meldung von Verletzungen der Datensicherheit) ein neuer Abs. 5bis, der im Wesentlichen Art. 41 der DSV entspricht:

1 Der Verantwortliche meldet dem EDÖB so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.
2 In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.
3 Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.
4 Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt.
5 Er kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn:
a. ein Grund nach Artikel 26 Absatz 1 Buchstabe b oder Absatz 2 Buchstabe b vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet;
b. die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert; oder
c. die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.
5bis Der EDÖB kann die Meldung mit dem Einverständnis des Verantwortlichen zur Analyse des Vorfalls an das Nationale Zentrum für Cybersicherheit weiterleiten. Die Mitteilung kann Personendaten enthalten, einschliesslich besonders schützenswerter Personendaten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen betreffend den Verantwortlichen.
6 Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen die meldepflichtige Person nur mit deren Einverständnis verwendet werden.

Dazu die Botschaft:

Damit der EDÖB bei der Analyse einer eingetretenen Verletzung der Datensicherheit, die der Verantwortliche ihm gestützt auf Artikel 24 nDSG und Artikel 19 DSV gemeldet hat, die technischen Fachspezialistinnen und Fachspezialisten des NCSC miteinbeziehen kann, wird in Artikel 24 Absatz 5bis nDSG vorgesehen, dass der EDÖB die Meldung einer Verletzung der Datensicherheit an das NCSC weiterleiten kann.

Die Weiterleitung kann jegliche Angaben gemäss Artikel 19 Absatz 1 DSV enthalten, muss sich aber gleichzeitig auf die für das NCSC für die Analyse des Vorfalls notwendigen Daten beschränken. Dabei kann die Mitteilung des EDÖB an das NCSC auch Personendaten enthalten, einschliesslich besonders schützenswerter Personendaten über verwaltungsund strafrechtliche Verfolgungen oder Sanktionen des meldepflichtigen Verantwortlichen. Die für die Analyse eines Vorfalls notwendigen Informationen werden im Einzelfall selektiert, jedoch können unter Umständen damit auch indirekt Informationen über ein laufendes Verfahren an das NCSC gelangen. Daher ist eine gesetzliche Grundlage für die Bekanntgabe von besonders schützenswerten Personendaten zu schaffen.

Vorausgesetzt ist, dass der Verantwortliche, der zur Meldung an den EDÖB verpflichtet ist, vorgängig sein Einverständnis zur Weiterleitung gegeben hat. Ausserdem darf die Weiterleitung nicht dazu führen, dass Artikel 24 Absatz 6 nDSG umgangen wird, wonach die Meldung nur mit Einverständnis der meldepflichtigen Person im Rahmen eines Strafverfahrens verwendet werden darf. Dies bedeutet, dass sich ein Verantwortlicher auch im Falle einer Weiterleitung seiner Meldung an das NCSC auf das datenschutzrechtliche Verwertungsverbot berufen können wird. Der neue Absatz 5bis in Artikel 24 nDSG ermöglicht dem EDÖB keine systematische Weiterleitung von Meldungen an das NCSC. Vielmehr darf der EDÖB von dieser Möglichkeit nur in Einzelfällen Gebrauch machen, in denen das technische Fachwissen des NCSC für die Abklärung eines Vorfalls erforderlich ist.

Dieses Weiterleitungsrecht für Informationen des EDÖB an das NCSC beschränkt sich auf einen einseitigen Informationsaustausch. Das NCSC seinerseits liefert dem EDÖB keine Informationen aus Meldungen, selbst wenn diese Datenschutzverletzungen beinhalten. Das NCSC stellt aber ein elektronisches System zur Verfügung, das den Meldenden die Weiterleitung der Meldung oder Teilen davon erlaubt. Die meldende Person erhält somit die Möglichkeit, das Formular zur Meldung des Cyberangriffs auch zur Meldung einer Datensicherheitsverletzung an den EDÖB zu nutzen.

Das revidierte Datenschutzgesetz wird voraussichtlich im September 2023, d.h. kurz nach Inkrafttreten des ISG (ohne diese Vorlage), in Kraft treten. Ab diesem Zeitpunkt bis zum Inkrafttreten des revidierten 5. Kapitels ISG (diese Vorlage) frühestens Ende 2023 wird die in Artikel 24 Absatz 5bis vorgesehene Regelung bereits auf Verordnungsebene gelten (vgl. Art. 41 Abs. 1 der Datenschutzverordnung vom 31. August 2022). Mit Inkraftsetzung dieser Vorlage wird der Bundesrat jene Verordnungsbestimmung aufheben.

datenrecht.ch

News abonnieren:

ISG – Ergän­zung, Mel­de­pflicht kri­ti­scher Infra­struk­tu­ren: Bot­schaft und Ent­wurf (2.12.2022)

EDÖB: Leit­fa­den zu Data Breaches

Eid­ge­nös­si­sches Depar­te­ment für Ver­tei­di­gung, Bevöl­ke­rungs­schutz und Sport (VBS): Mel­de­pflicht für Cyber­an­grif­fe bei kri­ti­schen Infra­struk­tu­ren kommt wohl im Jahr 2025

Bun­des­rat: ISG und Ver­ord­nungs­recht per 1.1.2024 in Kraft gesetzt

EDSA: Ver­si­on 2 der Leit­li­ni­en zur Breach Noti­fi­ca­ti­on: kei­ne Kon­zen­tra­ti­on beim EU-Vertreter

Vor­ent­wurf und Vernehmlassung

Mel­de­pflich­ten nach dem Entwurf

Mel­de­pflicht von Cyberangriffen

Straf­be­stim­mun­gen

Ände­run­gen ande­rer Erlas­se (inkl. nDSG)