Dienstag, 12. April 2022

Änderung des Informationssicherheitsgesetzes (Meldepflicht von Betreiberinnen kritischer Infrastrukturen für Cyberangriffe)

Die Stärkung des Schutzes vor Cyberrisiken ist für die Grünliberalen ein zentrales Thema. Die Grünliberalen begrüssen daher, dass eine Meldepflicht für Betreiberinnen kritischer Infrastrukturen eingeführt werden soll.

Soweit es um freiwillige Meldungen geht, ist wichtig, dass diese auch anonym erfolgen können. Gemäss dem erläuternden Bericht (S. 5) erfolgt eine Weiterleitung von Meldungen oder Teilen davon nur mit Einverständnis der Betreiberin der betroffenen kritischen Infrastruktur oder anonymisiert. Die Weitergabe von Informationen, die Rückschlüsse auf die Meldenden oder Betroffenen erlauben, soll dem Nationalen Zentrum für Cybersicherheit (NCSC) nur in zwei Fällen auch ohne deren Einverständnis erlaubt sein: (i) In Form einer Strafanzeige, wenn die Schwere der möglichen Straftaten das geboten erscheinen lässt (Interessenabwägung durch den oder die Leiter:in des NCSC) und (ii) in bestimmten Fällen an den Nachrichtendienst des Bundes (NDB). Für eine möglichst grosse Rechtssicherheit und Rechtsklarheit sollte die Möglichkeit anonymer Meldungen an das NCSC im Gesetzestext ausdrücklich vorgesehen werden (z.B. in Art. 73b Abs. 1 VE-ISG).

 

Im Unterschied zu den freiwilligen Meldungen soll die Meldepflicht gemäss Vorentwurf nicht für Schwachstellen gelten, sondern nur für erfolgte Cyberangriffe. Im erläuternden Bericht (S. 9) wird dazu lapidar ausgeführt, man habe davon «abgesehen, die Meldepflicht auf Schwachstellen in Informatikmitteln auszudehnen». Eine Begründung dafür fehlt, und es überzeugt auch nicht. Die Meldepflicht sollte richtigerweise auch für Schwachstellen gelten – zumindest Schwachstellen in der Lieferkette. Das würde es der NCSC ermöglichen, Angriffsmuster frühzeitig zu erkennen, mögliche Betroffene zu warnen und ihnen geeignete Präventions- und Abwehrmassnahmen zu empfehlen.

 

Kritisch beurteilen die Grünliberalen den Umfang der Personendaten, welche der NCSC bearbeiten gemäss Vorentwurf bearbeiten darf. Gemäss Art. 75 Abs. 1 Bst. a VE-ISG darf er u.a. besonders schützenswerte Personendaten bearbeiten, die Informationen «über religiöse, weltanschauliche oder politische Ansichten enthalten.» Es ist zwar einschränkend vorgesehen, dass die Bearbeitung nur zulässig ist, wenn sie für die Bewertung von konkreten Bedrohungen und Gefahren im Bereich der Cybersicherheit erforderlich ist. Da es hier um sehr sensible Daten geht, sollte eindeutig geklärt sein, weshalb der NCSC diese Daten benötigt. Das ist nicht der Fall. Im Gegenteil: Die Aufgabenteilung insbesondere gegenüber NDB und fedpol, welche diese Daten zum gleichen Zweck bearbeiten, ist unklar. Hinzu kommt, dass vorliegend keine besondere Aufsicht vorgesehen ist. Damit ist nicht sichergestellt, dass es zu keiner missbräuchlichen Verwendung dieser Daten kommt. Diese Fragen sind mit Blick auf die Botschaft zu klären und Lösungen vorzuschlagen.

 

Neben der Meldepflicht nach ISG gibt es weitere Meldepflichten bei Cybervorfällen, so etwa nach dem neuen Datenschutzgesetz (Art. 24: Meldung von Verletzungen der Datensicherheit). Im erläuternden Bericht (S. 11) werden weiter Beispiele genannt. Um im Fall eines Cyberangriffs rasch reagieren zu können und die administrative Belastung der betroffenen Unternehmen so gering wie möglich zu halten, ist eine gemeinsame Meldeplattform der verschiedenen Behörden vorzusehen. Diese soll es erlauben, mit einer Meldung alle relevanten Meldepflichten zu erfüllen. Der Entwurf ist entsprechend zu ergänzen.