Cyber-Angriff

Meldepflicht für Cyberangriffe braucht klare Leitplanken

Die Wirtschaft unterstützt die geplante Meldepflicht für Betreiberinnen kritischer Infrastrukturen bei Cyberangriffen im Grundsatz. Die Meldepflicht muss jedoch auf einer starken Kooperation des Bundes mit den Unternehmen basieren sowie abschliessende und klare Bezeichnungen enthalten. Schädliche Strafbestimmungen sollen dringend vermieden werden.

Morgen Donnerstag endet die Vernehmlassung zur Einführung einer Meldepflicht für Betreiberinnen kritischer Infrastrukturen bei Cyberangriffen. Die Zahl der Cyberangriffe auf Schweizer Unternehmen und Institutionen steigt rasant. economiesuisse teilt daher die Einschätzung, dass in passende Schutzmassnahmen investiert werden muss. Dies gilt im Speziellen für sogenannte kritische Infrastrukturen, welche aus systemischer Sicht eine erhöhte Resilienz aufweisen müssen. Auch im Falle eines Cyberangriffs müssen sie ihre wichtige Funktion für Wirtschaft und Gesellschaft erfüllen können. Folglich bestehen gegen eine Meldepflicht für die Betreiberinnen kritischer Infrastrukturen grundsätzlich keine Einwände. Dennoch fordert economiesuisse Änderungen und Präzisierungen am Gesetzesentwurf.

Abschliessende und klare Bezeichnungen erwünscht

Für die Wirtschaft ist die Rechtssicherheit zentral. Es braucht klare Aussagen darüber, welche Unternehmen in welchen Bereichen und in welchem Ausmass konkret von der neuen Meldepflicht betroffen sind. Meldepflichten führen zu einer zusätzlichen administrativen Belastung und sollten somit nur gezielt eingesetzt werden. Eine Meldepflicht ist auf diejenigen Bereiche zu beschränken, deren Ausfall oder Beeinträchtigung zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen würden.

Auch bei den betroffenen Sachverhalten geht der Entwurf zu weit. Es gibt keine klare Differenzierung zwischen Vorfällen, welche keinen oder nur einen unwesentlichen Einfluss auf die Geschäftsprozesse haben, und solchen, die den Betrieb kritischer Infrastrukturen grundsätzlich beeinträchtigen oder sonst ein hohes Risiko bergen. Zu weit gefasste Kriterien sind für die Unternehmen kaum greif- oder umsetzbar.

Kooperation als Lösung und Ziel

Das Ziel einer Meldepflicht soll es sein, dass ein Unternehmen in bestimmten und klar definierten Fällen mit den Behörden in den Dialog tritt. Die Aufnahme dieses Dialogs sollte möglichst einfach gemacht und konstruktiv gestaltet werden. Mehrwerte wie technische Einschätzungen und andere Unterstützungsleistungen des Nationalen Zentrums für Cybersicherheit (NCSC) sind dabei wichtig. Auch ein «Frühwarnsystem» und eine verlässliche Einschätzung der Bedrohungslage wären ganz im Sinne der Wirtschaft. Eine Meldepflicht muss generell einem Servicegedanken folgen und darf nicht als Kontrollinstrument gegenüber den betroffenen Firmen eingesetzt werden. Nur so kann das Vertrauen der Unternehmen in den Nutzen der Institution gestärkt werden.

Damit die Meldepflicht akzeptiert wird, muss noch deutlicher aufgezeigt werden, wie Unterstützungsleistungen ganz konkret den betroffenen Unternehmen zugutekommen sollen. Ebenso muss klar dargelegt werden, wie weit die neuen Pflichten in einem sinnvollen Verhältnis zum Ertrag stehen. Dies insbesondere bei KMU und kleineren Betreiberinnen kritischer Infrastrukturen, bei denen der Zusatzaufwand stärker ins Gewicht fällt. Es braucht einen klaren Gegenwert, der sich aktuell aus der Vorlage noch zu wenig erschliesst.

Strafbestimmungen sind nicht zielführend

Die Strafbestimmungen im Gesetzesentwurf werden von economiesuisse gänzlich abgelehnt. Solche Bestimmungen, die zur persönlichen Strafbarkeit der Verantwortlichen führen, sind für die Compliance von Unternehmen eher schädlich als förderlich. Personen, die in einem fehleranfälligen Bereich wie der Cybersicherheit mit Sanktionen rechnen müssen, obwohl sie alle zumutbaren Vorkehrungen getroffen haben, werden klar weniger zur Übernahme dieser Verantwortung bereit sein. Dadurch wird ein Stellenmarkt, der bereits heute ausgetrocknet ist und nicht ausreichend Experten und Fachkräfte anbietet, noch weiter unter Druck gesetzt.

Zur Stellungnahme