Der Bundesrat hat die neue Cybersicherheitsverordnung CSV bis zum 13. September 2024 in die Vernehmlassung geschickt. Die Verordnung gibt vor, wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen vonstattengehen soll und bestimmt die Organisation zur Umsetzung der Nationalen Cyberstrategie NCS. Zudem werden in der Verordnung die Aufgaben des von Direktor Florian Schütz geleiteten Bundesamts für Cybersicherheit BACS geregelt.

Grundlage ist das Informationssicherheitsgesetz ISG

Am 29. September 2023 hat das Parlament die Änderungen des Informationssicherheitsgesetzes ISG zur Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen verabschiedet. Das Informationssicherheitsgesetz legt fest, welche Behörden und Organisationen künftig verpflichtet sind, Cybervorfälle zu melden. Zudem legt das Gesetz das Bundesamt für Cybersicherheit BACS als Meldestelle fest.

Mit der auf dem Informationssicherheitsgesetz beruhenden neuen Cybersicherheitsverordnung CSV legt der Bundesrat dar, wie er die Meldepflicht künftig umsetzen will und welche Stellen davon ausgenommen werden. So regelt die Verordnung den Geltungsbereich der Meldepflicht für Behörden und Organisationen, definiert die meldepflichtigen Cyberangriffe und legt fest, welche Inhalte gemeldet werden müssen. Die Verordnung schreibt auch die Verfahren für die Erfüllung der Meldepflicht vor und legt die Frist und den Abschluss der Meldungen fest.

Steuerung der Cybersicherheit

Die Umsetzung der Nationalen Cyberstrategie NCS wird durch einen Steuerungsausschuss begleitet. Die neue Cybersicherheitsverordnung CSV bestimmt die Aufgaben sowie das Mandat und die Zusammensetzung des Steuerungsausschusses der Nationalen Cyberstrategie StA NCS.

Aufgaben des Bundesamt für Cybersicherheit BACS

Zudem konkretisiert die neue Cybersicherheitsverordnung CSV die Aufgaben und Kompetenzen des Bundesamts für Cybersicherheit BACS. Zu diesen Aufgaben und Kompetenzen zählen laut der Verordnung namentlich:

• Warnung der Öffentlichkeit: Das BACS hat die Befugnis, Kontaktangaben von Haltern von Domain-Namen abzufragen. Das ermöglicht es dem BACS, beispielsweise im Falle von akuten Cyberbedrohungen oder Cyberangriffen schnell und gezielt potenziell betroffene Parteien zu warnen und sie gegebenenfalls bei der Umsetzung von Gegenmassnahmen zu unterstützen. Diese Befugnis ist ein wichtiges Instrument zur Bekämpfung von Cyberbedrohungen sowie Cyberangriffen und zur Stärkung der Cybersicherheit in der Schweiz.
   
• Technische Analyse von Cybervorfällen und Cyberbedrohungen: Das BACS betreibt das nationale Computer Emergency Response Team CERT, das eine zentrale Rolle bei der Bewältigung von Cybervorfällen und Cyberbedrohungen in der Schweiz spielt. Das CERT ist spezialisiert auf die technische Vorfallbewältigung, die Analyse von technischen Fragestellungen sowie Identifikation und der Einschätzung von Cyberbedrohungen aus technischer Sicht.
   
• Priorisierung der Beratung und Unterstützung bei Cyberangriffen: Das BACS berät und unterstützt die Betreiberinnen von kritischen Infrastrukturen bei der Bewältigung von Cybervorfällen und Cyberbedrohungen sowie bei der Behebung von Schwachstellen beraten. Dies unter der Voraussetzung, dass die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet und, sofern es sich um private Betreiberinnen handelt, die Beschaffung gleichwertiger Unterstützung auf dem Markt nicht rechtzeitig möglich ist. Das BACS unterstützt im Falle einer Vielzahl von zeitgleichen Cybervorfällen und Cyberbedrohungen vorrangig die meldepflichtigen Organisationen und Behörden, bei denen das Ereignis die grössten Auswirkungen auf die Sicherheit, die öffentliche Ordnung, das Wohlergehen der Bevölkerung oder das Funktionieren der Wirtschaft hat. Das bedeutet, dass das BACS seine Ressourcen und Unterstützung gezielt dort einsetzt, wo die Auswirkungen eines Ereignisses besonders gravierend sind.
   
• Koordinierte Offenlegung von Schwachstellen: Die Regeln für die koordinierte Offenlegung von Schwachstellen sind in der ISO/IEC Norm 29147:2018-10 festgelegt. Das BACS ist verpflichtet, gemeldete Schwachstellen gemäss den in dieser Norm festgelegten Regeln offenzulegen. Dies bedeutet, dass das BACS keine Schwachstellen geheim behält oder anderen Behörden weiterleitet, ohne die Hersteller zu informieren. Das BACS ist vielmehr verpflichtet, über den Prozess der koordinierten Offenlegung Massnahmen umzusetzen, die dazu führen, dass eine Schwachstelle nicht mehr ausgenutzt werden kann. Durch die Zusammenarbeit mit ausländischen und internationalen Fachstellen kann das BACS sicherstellen, dass Schwachstellen auf internationaler Ebene erkannt und behoben werden.
   
• Unterstützung der Behörden: Das BACS unterstützt als Kompetenzzentrum des Bundes für Cybersicherheit die zuständigen Behörden des Bundes und der Kantone bei der Entwicklung, Umsetzung und Prüfung von Standards und Regulierungen in Bezug auf die Cybersicherheit.
   
• Informationsaustausch: Angreifer verwenden oftmals die gleichen Methoden und Mittel, um bei möglichst vielen Opfern erfolgreiche Attacken durchzuführen. Wenn die Betroffenen anderen Organisationen und Behörden rasch ihre Erkenntnisse aus Cybervorfällen und Cyberbedrohungen mitteilen, kann deren Zahl deutlich verringert werden. Aus diesem Grund betreibt das BACS ein Kommunikationssystem für den sicheren Informationsaustausch zu Cybervorfällen und Cyberbedrohungen. Dabei ist die Zurverfügungstellung von Informationssystemen seitens des BACS für den automatischen Austausch von technischen Informationen ein sehr wichtiges Mittel zum Schutz der kritischen Infrastrukturen vor Cybervorfällen sowie Cyberbedrohungen und ermöglicht es den Betreiberinnen von kritischen Infrastrukturen, stets über den aktuellsen Wissensstand zu verfügen.