Der Bundesrat hat am 22. Mai 2024 die Vernehmlassung zur Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV) eröffnet:
Die CSV beruht auf dem ISG und enthält einerseits Ausführungsbestimmungen zum 5. Kapitel des revidierten ISG (Meldepflicht für Cyberangriffe auf bestimmte kritische Infrastrukturen) und regelt andererseits organisationale Aspekte im Zusammenhang mit der Cybersicherheit (z.B. Aufgaben des BACS).
Die Verordnung soll zusammen mit der Meldepflicht kritischer Infrastrukturen am 1. Januar 2025 in Kraf treten.
Art. 16 E‑CSV regelt die Ausnahmen von der Meldepflicht kritischer Infrastrukturen nach Art. 74b E‑ISG:
1 Die folgenden Behörden und Organisationen sind unter den nachstehenden Voraussetzungen von der Meldepflicht ausgenommen:
a. Stellen nach Artikel 74b Absatz 1 Buchstaben b [Bundes‑, Kantons- und Gemeindebehörden] und c ISG [öffentlich-rechtliche Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung]: sofern sie für weniger als 1000 Einwohnerinnen und Einwohner zuständig sind; massgeblich ist die ständige Wohnbevölkerung;
b. Unternehmen nach Artikel 74b Absatz 1 Buchstabe d ISG [Energieversorger, Energiehandel, Energiemessung oder Energiesteuerung], sofern sie:
- als Netzbetreiber, Elektrizitätserzeuger, Elektrizitätsspeicherbetreiber oder Dienstleister im Elektrizitätsbereich gemäss Artikel 5a Absatz 1 und Anhang 1a der Stromversorgungsverordnung vom 14. März 20084 weder das Schutzniveau A noch das Schutzniveau B einhalten müssen,
- als Betreiber von Gasleitungen nach Artikel 2 Absatz 3 der Rohrleitungssicherheitsverordnung vom 4. Juni 20215 im Durchschnitt der letzten fünf Jahre eine transportierte Energie von weniger als 400 GWh/Jahr aufweisen;
c. Unternehmen nach Art. 74b Absatz 1 Buchstabe n ISG [Unternehmen der Zivilluftfahrt und Landesflughäfen], sofern sie:
- kein Information Security Management System nach den Artikeln 2 und 4 und dem Anhang II der Verordnung (EU) 2023/2036 oder nach Artikel 2 und dem Anhang II der Verordnung (EU) 2022/16457 einrichten müssen,
- die Vorgaben nach Punkt 1.7 des Anhangs der Verordnung (EU) 2015/19988 in ihrem Security-Programm nach Artikel 2, 12, 13 oder 14 der Verordnung (EG) 300/20089 nicht umsetzen müssen;
d. Eisenbahnunternehmen sowie Seilbahn‑, Trolleybus‑, Autobus- und Schifffahrtsunternehmen nach Artikel 74b Absatz 1 Buchstabe m ISG, sofern sie:
- nicht mit Systemaufgaben (Art. 37 des Eisenbahngesetzes vom 20. Dezember 195710 [EBG]) beauftragt sind,
- über eine Personenbeförderungskonzession nach Artikel 6 des Personenbeförderungsgesetzes vom 20. März 200911 (PBG) verfügen, aber keine durch Bund und Kantone gemeinsam bestellten Angebote erbringen (Art. 28 – 31c PBG),
- sie über eine Infrastrukturkonzession nach Artikel 5 EBG verfügen, diese aber nicht erteilt wurde, weil ein öffentliches Interesse am Bau und Betrieb der Infrastruktur besteht (Art. 6 Abs. 1 Bst. a EBG);
e. Anbieterinnen und Betreiberinnen nach Artikel 74b Absatz 1 Buchstabe t ISG [Anbieterin und Betreiberin von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren mit Sitz in der Schweiz]: sofern sie einen Sitz in der Schweiz haben und ihre Leistungen weder teilweise noch vollumfänglich gegen Entgelt für Dritte erbringen.
2 Unternehmen nach Artikel 74b Absatz 1 Buchstaben f [Spitäler], g [medizinische Laboratorien], h [Hersteller, Inverkehrbringer und Importeure von Arzneimitteln], l [Postdienste] und p [unentbehrliche Güter des täglichen Bedarfs mit Gefahr erheblicher Versorgungsengpässe] ISG, für die Absatz 1 nicht anwendbar ist, sind von der Meldepflicht ausgenommen, sofern sie im betroffenen Bereich weniger als 50 Personen beschäftigen und ihr Jahresumsatz beziehungsweise ihre Jahresbilanzsumme im betroffenen Bereich 10 Millionen Franken nicht übersteigt.
Der Entwurf der CSV enthält weitere, praktisch wichtige Konkretisierungen der Meldepflicht.