Beteiligung des Bundes beim Aufbau und Betrieb des Nationalen Testinstitut für Cybersicherheit NTC
Dieser Antrag wurde eingereicht von:
Franz Grüter
Nationalrat
Eingereicht am: 15.12.2020
17.12.2020 - 20.4495
Stufe: Nationale Vorstösse
Stand der Beratung: Im Rat noch nicht behandelt
Kritische Infrastrukturen, Behörden und Wirtschaft sind in hohem Masse von internationalen Hard- und
Softwareanbietern abhängig. Bei Produkten dieser Anbieter wurden in der Vergangenheit vermehrt gravierende Sicherheitslücken festgestellt.
In Anbetracht der gesellschaftlichen, wirtschaftlichen und geopolitischen Stabilität der Schweiz ist es inakzeptabel, dass Einkäufer und Betreiber von kritischen Komponenten keine hinreichende Möglichkeit haben, die Qualität hinsichtlich der Cybersicherheit der einzusetzenden Produkte durch eine unabhängige, vertrauenswürdige nationale Organisation prüfen zu lassen.
Unter der Schirmherrschaft des Kantons Zug ist eine Initiative entstanden, die diese Lücke durch die Schaffung eines Nationalen Testinstituts für Cybersicherheit NTC schliessen will.
Die Initiative wird bereits fachlich durch das Nationale Zentrum für Cybersicherheit (NCSC) unterstützt. Um das Testinstitut auf nationaler Ebene zu etablieren, ist zusätzlich ein verbindliches, langfristiges und rechtlich abgestütztes Engagement des Bundes nötig.
Der Bundesrat wird beauftragt, die notwendigen rechtlichen Grundlagen für die Beteiligung des Bundes am Aufbau und Betrieb des Nationalen Testinstituts für Cybersicherheit NTC zu schaffen und festzulegen mit welchen Mitteln er sich beteiligt.
Begründung:
Die voranschreitende Digitalisierung in der Industrie, den Behörden, bei der Polizei und der Armee führt zu einem stetig wachsenden Risiko, welches unter anderem auf den Einsatz nicht vertrauenswürdiger digitaler Produkte zurückzuführen ist. Insbesondere beim Betrieb von vernetzen Komponenten in kritischen Infrastrukturen entsteht eine reale Bedrohung mit erheblichem Schadenspotenzial für Wirtschaft und Gesellschaft.
Die unzureichende Möglichkeit, die Sicherheit von IT-Produkten zu prüfen, wurde in verschiedenen Vorstössen thematisiert (Ip. 18.4197 Wasserfallen, Ip. 19.3602 Vonlanthen, Po. 19.3136 Dobler). In seiner Antwort auf die Ip. 19.3602 Vonlanthen hat der Bundesart die Schaffung einer nationalen Prüfstelle für IT-Produkte im Grundsatz begrüsst. Um die Prüfkapazität aufzubauen, hat der Kanton Zug das Projekt zur Schaffung eines Nationalen Testinstituts für Cybersicherheit NTC mit Anschubfinanzierung initiiert. Dieses soll im Auftrag von Unternehmen sowie Organisationen der öffentlichen Hand vernetzte Komponenten auf ihre Cybersicherheit prüfen. Dies umfasst Hardund Softwarekomponenten unabhängig von Hersteller und geografischer Herkunft.
Die Projektarbeiten sind fortgeschritten. Durch eine im Oktober 2020 durchgeführte Umfrage bei Betreibern kritischer Infrastrukturen, wurde der Bedarf für ein Nationales Testinstitut für Cybersicherheit bestätigt. Es besteht bei 85 Prozent der teilnehmenden Organisationen sowohl Prüfbedarf, als auch die Bereitschaft diesen an das Testinstitut zu Übergeben.
Im November 2020 wurde der Verein „Nationales Testinstitut für Cybersicherheit NTC (National Test Institute for Cyber Security NTC} (lnstitut national de test pour la cybersécurité NTC} (lstituto nazionale di test per la cibersicurezza NTC}“ gegründet.
Im 2021 werden erste Pilot-Prüfprozesse etabliert, das Businessmodell bezüglich Nutzenversprechen, Kostenstruktur und Einkommensströme definiert sowie die Trägerschaft etabliert.
Der Bund hat diese Initiative bisher fachlich begleitet. Durch ein langfristiges Engagement und einer substantiellen finanziellen Beteiligung soll der Bund dafür sorgen, dass sich aus dem Projekt ein Testinstitut für die ganze Schweiz entwickelt Durch diese Beteiligung kann der Bund zudem die Umsetzung seiner Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) vorantreiben und sicherstellen, dass die Kräfte gebündelt werden.
Stellungnahme des Bundesrates vom 24.02.2021:
Der Bundesrat teilt die Einschätzung, dass in der Schweiz Prüfkapazitäten für die Cybersicherheit aufgebaut werden sollen. Er begrüsst deshalb private Initiativen wie jene für den Aufbau eines „Nationalen Testinstituts für Cybersicherheit NTC“ und ist bereit, solche Initiativen mit Fachwissen zu unterstützen.
Eine über die fachliche Unterstützung hinausgehende Beteiligung des Bundes am geplanten NTC – insbesondere eine direkte finanzielle Unterstützung – drängt sich jedoch aus Sicht des Bundesrates nicht auf. Die IKT-Wirtschaft hat sich über die letzten Jahre in der Schweiz stark entwickelt. Sie sollte in der Lage sein, sich für den Aufbau von Prüfkapazitäten selbstständig zu organisieren und Lösungen zu entwickeln. Das Beispiel des Technischen Überwachungsvereins (TÜV) in Deutschland zeigt, dass vertiefte technische Analysen auch im IKT-Bereich durch die Wirtschaft bzw. eine durch sie eingesetzte unabhängige Organisation selbst übernommen werden können.
Zudem gibt es bereits heute auch in der Schweiz diverse Anbieter von Schwachstellenanalysen und Penetrationstests. Deren Geschäftsmodell soll nicht durch staatlich unterstützte Institutionen konkurriert werden. Eine finanzielle Unterstützung des NTC durch den Bund würde dem Gleichbehandlungsgebot und dem Grundsatz der staatlichen Wettbewerbsneutralität zuwiderlaufen.
Durch die Zusammenarbeit auf Fachebene, für welche keine neuen Rechtsgrundlagen geschaffen werden müssen, kann der Bund das NTC weiterhin effektiv unterstützten und dazu beitragen, dass sich die Prüfkapazitäten für die Cybersicherheit in der Schweiz erhöhen.
Antrag des Bundesrates vom 24.02.2021
Der Bundesrat beantragt die Ablehnung der Motion.