12.12.2020

Bundesrat plant Pflicht zur Meldung von Cyberangriffen sowie entdeckten Sicherheitslücken für Betreiber kritischer Infrastrukturen

An seiner Sitzung vom 11. Dezember 2020 beauftragte der Bundesrat das Eidgenössische Finanzdepartement (EFD) mit der Erarbeitung einer Vernehmlassungsvorlage zur Meldung von Cyberangriffen sowie entdeckten Sicherheitslücken für Betreiber kritischer Infrastrukturen bis Ende 2021
 
Danach soll eine zentrale Meldestelle für sämtliche Sektoren für die Entgegennahme der 
genannten Meldungen bezeichnet werden. Die Ausgestaltung der Meldepflicht 
soll dagegen unterschiedlich ausfallen, auf "sektorspezifische Gegebenheiten" angepasst und in 
unterschiedlichen Erlassen verankert werden. Ferner soll die Meldepflicht auf bereits bestehende sektorielle und (künftige) 
datenschutzrechtliche Meldepflichten abgestimmt werden. Die zentrale Meldestelle soll die 
eingegangenen Meldungen auswerten und "Frühwarnungen" absetzen (vgl. auch den Bericht "Meldepflicht für schwerwiegende Sicherheitsvorfälle bei kritischen Infrastrukturen - Rechtliche Grundlagen" des GS-EFD).
 
Bereits heute existiert eine voraussichtlich ähnliche, sektorspezifische Aufsichtsmitteilung der FINMA (vgl. Aufsichtsmitteilung 05/2020 betreffend die Meldepflicht von Cyber-Attacken gemäss Art. 29 Abs. 2 FINMAG).
 
Im geltenden Datenschutzgesetz (DSG) findet sich dagegen keine vergleichbare Vorgabe. Anders im 
totalrevidierten Datenschutzgesetz: in Art. 24 rev. DSG ist die Meldung einer Verletzung der 
Datensicherheit im Zusammenhang mit Personendaten, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffenen Personen führt (sog. Data Breach), vorgesehen. Diese hat demnach ein anderes Aufgreifkriterium und kann, muss jedoch nicht, bspw. mit einem Cyberangriff zusammenhängen. Diesfalls erfolgt die Meldung gegenüber dem Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Das rev. DSG tritt voraussichtlich 2022 in Kraft.
 
Sofern künftige Cyberangriffe oder entdeckte Sicherheitslücken bei Betreibern kritischer Infrastrukturen auch mit anderen meldepflichtigen Sachverhalten zusammenfallen sollten, stellt sich die Frage, ob eine Meldung an die geplante zentrale Meldestelle ausreichen wird (sog. One-Stop-Shop) oder ob mehrere Behörden infolge unterschiedlicher Zuständigkeiten notifiziert werden müssen.
 
© LawBlogSwitzerland.ch
Maira Gall