Meldepflicht von Betreiberinnen kritischer Infrastrukturen für Cyberangriffe

Sehr geehrter Herr Bundesrat Maurer, sehr geehrte Damen und Herren

Mit Schreiben vom 12. Januar 2022 hat das Eidgenössische Finanzdepartement (EFD) das Vernehmlassungsverfahren eröffnet und die Kantonsregierungen zur Einreichung einer Stellungnahme bis am 14. April 2022 eingeladen. 

Wir stellen folgende Anträge:

nArt. 73b Abs. 2 sei dahingehend zu ergänzen, dass mit gemeldeten Sicherheitsvorfällen nicht vertrauliche interne Informationen wie interner Netzaufbau mit IP-​Adressen oder Anmeldeinformationen an Dritte weitergeleitet werden dürfen. Ausserdem sei explizit festzuhalten, dass das NCSC aufgrund von gemeldeten Sicherheitsvorfällen kein Be-​wertungs-Dashboard im Sinne einer qualitativen Informationssicherheitsbewertung pro Unternehmen oder Behörden erstellt.

nArt. 73c Abs. 2 sei dahingehend zu ändern, dass durch eine nähere Definition der Schwere der Straftat der Ermessensspielraum der Leiterin oder des Leiters der NCSC bei der Weitergabe von Informationen an die Strafverfolgungsbehörden eingegrenzt wird.

Die Geltungsbereiche und die Menge der meldepflichtigen Betreiberinnen kritischer Infrastrukturen gemäss nArt. 74b sei zu überprüfen und zu reduzieren.

Der Adressatenkreis der Auswertungen und technischen Analysen gemäss nArt. 76a Abs. 1 sei auf die Strafverfolgungsbehörden auszuweiten.

Begründung siehe Download.