22.073 Geschäft des Bundesrates.
Im Ständerat, am Donnerstag, 1. Juni 2023

Position der Kantonalbanken

Die Kantonalbanken begrüssen grundsätzlich die Änderung des Bundesgesetzes über die Informationssicherheit beim Bund, bemerken jedoch zwei wesentlich anzupassende Aspekte:

  • Die Kantonalbanken monieren, dass nicht nur eine Meldepflicht für Cyberangriffe eingeführt, sondern die Vorlage auf die Meldung von Schwachstellen ausgeweitet werden soll. Aus Sicht der Kantonalbanken bietet diese Ausweitung keinerlei Vorteile. Der Begriff «Schwachstellen» ist in der ganzen Vorlage zu streichen, ausser bei Art. 73b Abs. 3 E-ISG, da dort der Kontext («Kenntnis erhalten») Sinn macht. 
  • Die Kantonalbanken kritisieren ausserdem, dass die Vorlage zu viele Unternehmungen reguliert. Die tangierten Unternehmen bzw. die Anzahl sinnvollerweise meldepflichtiger Fälle könnten reduziert werden, wenn nur Cyberangriffe geregelt werden, welche erhebliche Auswirkungen auf die Funktionsfähigkeit von kritischen Infrastrukturen haben. Dieser Vorschlag entspricht der mit der Aufsichtsmitteilung 5/2020 geäusserten Haltung der FINMA, den Aufwand der Meldepflicht zielbasiert zu gestalten. Art. 73d E-ISG ist entsprechend anzupassen.

Das Informationssicherheitsgesetz soll um eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen ergänzt werden. Die Betreiberinnen von kritischen Infrastrukturen wären verpflichtet, Cybervorfälle dem Nationalen Zentrum für Cybersicherheit (NCSC) zu melden.

Der Bundesrat publizierte im Dezember 2022 die Botschaft, worauf die Sicherheitspolitische Kommission des Nationalrates (SiK-N) ihrem Rat empfahl, die Meldepflicht anzunehmen und diese auf Schwachstellen auszuweiten. Der Nationalrat folgte seiner vorberatenden Kommission und hiess die Ausweitung in der Frühjahrssession 2023 gut. Die Sicherheitspolitische Kommission des Ständerates empfiehlt ihrem Rat nun – mit Stichentscheid des Präsidenten – die Version des Nationalrates in allen Punkten anzunehmen.

Position als PDF

Zurück zum Sessionsradar