datenrecht.ch

Ver­nehm­las­sung zur Cyber­si­cher­heits­ver­ord­nung; Aus­nah­men von der Mel­de­pflicht kri­ti­scher Infra­struk­tu­ren nach E‑ISG

Der Bun­des­rat hat am 22. Mai 2024 die Ver­nehm­las­sung zur Ver­ord­nung über die Cyber­si­cher­heit (Cyber­si­cher­heits­ver­ord­nung, CSV) eröffnet:

Die CSV beruht auf dem ISG und ent­hält einer­seits Aus­füh­rungs­be­stim­mun­gen zum 5. Kapi­tel des revi­dier­ten ISG (Mel­de­pflicht für Cyber­an­grif­fe auf bestimm­te kri­ti­sche Infra­struk­tu­ren) und regelt ande­rer­seits orga­ni­sa­tio­na­le Aspek­te im Zusam­men­hang mit der Cyber­si­cher­heit (z.B. Auf­ga­ben des BACS).

Die Ver­ord­nung soll zusam­men mit der Mel­de­pflicht kri­ti­scher Infra­struk­tu­ren am 1. Janu­ar 2025 in Kraf treten.

Art. 16 E‑CSV regelt die Aus­nah­men von der Mel­de­pflicht kri­ti­scher Infra­struk­tu­ren nach Art. 74b E‑ISG:

1 Die fol­gen­den Behör­den und Orga­ni­sa­tio­nen sind unter den nach­ste­hen­den Vor­aus­set­zun­gen von der Mel­de­pflicht ausgenommen:

a. Stel­len nach Arti­kel 74b Absatz 1 Buch­sta­ben b [Bundes‑, Kan­tons- und Gemein­de­be­hör­den] und c ISG [öffent­lich-recht­li­che Auf­ga­ben in den Berei­chen Sicher­heit und Ret­tung, Trink­was­ser­ver­sor­gung, Abwas­ser­auf­be­rei­tung und Abfall­ent­sor­gung]: sofern sie für weni­ger als 1000 Ein­woh­ne­rin­nen und Ein­woh­ner zustän­dig sind; mass­geb­lich ist die stän­di­ge Wohnbevölkerung;

b. Unter­neh­men nach Arti­kel 74b Absatz 1 Buch­sta­be d ISG [Ener­gie­ver­sor­ger, Ener­gie­han­del, Ener­gie­mes­sung oder Ener­gie­steue­rung], sofern sie:

  1. als Netz­be­trei­ber, Elek­tri­zi­täts­er­zeu­ger, Elek­tri­zi­täts­spei­cher­be­trei­ber oder Dienst­lei­ster im Elek­tri­zi­täts­be­reich gemäss Arti­kel 5a Absatz 1 und Anhang 1a der Strom­ver­sor­gungs­ver­ord­nung vom 14. März 20084 weder das Schutz­ni­veau A noch das Schutz­ni­veau B ein­hal­ten müssen,
  2. als Betrei­ber von Gas­lei­tun­gen nach Arti­kel 2 Absatz 3 der Rohr­lei­tungs­si­cher­heits­ver­ord­nung vom 4. Juni 20215 im Durch­schnitt der letz­ten fünf Jah­re eine trans­por­tier­te Ener­gie von weni­ger als 400 GWh/Jahr aufweisen;

c. Unter­neh­men nach Art. 74b Absatz 1 Buch­sta­be n ISG [Unter­neh­men der Zivil­luft­fahrt und Lan­des­flug­hä­fen], sofern sie:

  1. kein Infor­ma­ti­on Secu­ri­ty Manage­ment System nach den Arti­keln 2 und 4 und dem Anhang II der Ver­ord­nung (EU) 2023/2036 oder nach Arti­kel 2 und dem Anhang II der Ver­ord­nung (EU) 2022/16457 ein­rich­ten müssen,
  2. die Vor­ga­ben nach Punkt 1.7 des Anhangs der Ver­ord­nung (EU) 2015/19988 in ihrem Secu­ri­ty-Pro­gramm nach Arti­kel 2, 12, 13 oder 14 der Ver­ord­nung (EG) 300/20089 nicht umset­zen müssen;

d. Eisen­bahn­un­ter­neh­men sowie Seilbahn‑, Trolleybus‑, Auto­bus- und Schiff­fahrts­un­ter­neh­men nach Arti­kel 74b Absatz 1 Buch­sta­be m ISG, sofern sie:

  1. nicht mit System­auf­ga­ben (Art. 37 des Eisen­bahn­ge­set­zes vom 20. Dezem­ber 195710 [EBG]) beauf­tragt sind,
  2. über eine Per­so­nen­be­för­de­rungs­kon­zes­si­on nach Arti­kel 6 des Per­so­nen­be­för­de­rungs­ge­set­zes vom 20. März 200911 (PBG) ver­fü­gen, aber kei­ne durch Bund und Kan­to­ne gemein­sam bestell­ten Ange­bo­te erbrin­gen (Art. 28 – 31c PBG),
  3. sie über eine Infra­struk­tur­kon­zes­si­on nach Arti­kel 5 EBG ver­fü­gen, die­se aber nicht erteilt wur­de, weil ein öffent­li­ches Inter­es­se am Bau und Betrieb der Infra­struk­tur besteht (Art. 6 Abs. 1 Bst. a EBG);

e. Anbie­te­rin­nen und Betrei­be­rin­nen nach Arti­kel 74b Absatz 1 Buch­sta­be t ISG [Anbie­te­rin und Betrei­be­rin von Cloud­com­pu­ting, Such­ma­schi­nen, digi­ta­len Sicher­heits- und Ver­trau­ens­dien­sten sowie Rechen­zen­tren mit Sitz in der Schweiz]: sofern sie einen Sitz in der Schweiz haben und ihre Lei­stun­gen weder teil­wei­se noch voll­um­fäng­lich gegen Ent­gelt für Drit­te erbringen.

2 Unter­neh­men nach Arti­kel 74b Absatz 1 Buch­sta­ben f [Spi­tä­ler], g [medi­zi­ni­sche Labo­ra­to­ri­en], h [Her­stel­ler, Inver­kehr­brin­ger und Impor­teu­re von Arz­nei­mit­teln], l [Post­dien­ste] und p [unent­behr­li­che Güter des täg­li­chen Bedarfs mit Gefahr erheb­li­cher Ver­sor­gungs­eng­päs­se] ISG, für die Absatz 1 nicht anwend­bar ist, sind von der Mel­de­pflicht aus­ge­nom­men, sofern sie im betrof­fe­nen Bereich weni­ger als 50 Per­so­nen beschäf­ti­gen und ihr Jah­res­um­satz bezie­hungs­wei­se ihre Jah­res­bi­lanz­sum­me im betrof­fe­nen Bereich 10 Mil­lio­nen Fran­ken nicht übersteigt.

Der Ent­wurf der CSV ent­hält wei­te­re, prak­tisch wich­ti­ge Kon­kre­ti­sie­run­gen der Meldepflicht.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter