Kontrollsystem und Kompetenzzentrum als zukunftsweisende Instrumente im Kampf gegen Cyberrisiken
Dieser Antrag wurde eingereicht von:
10.06.2016 - 16.1020
Stufe: Nationale Vorstösse
Stand der Beratung: Erledigt
Der Bundesrat hat im Mai 2013 seinen Umsetzungsplan zum Schutz vor Cyberrisiken verabschiedet. Die BDP hat darin insbesondere die Einsetzung eines Steuerungsausschusses begrüsst, aber gleichzeitig bereits damals ein zielstrebigeres Vorgehen zu besserer Cybersicherheit gefordert. Die Bedrohungen aus dem Internet sind, wie der Angriff auf den Rüstungskonzern Ruag jüngst wieder gezeigt hat, eine Realität und eine tagtägliche Herausforderung in vielen Unternehmen. Die rasche und effiziente Umsetzung einer zukunftstauglichen Cyberraumstrategie ist für die BDP dringend und zwingend.
1. Ist der Bundesrat auch der Meinung, dass es in Zukunft ein Kontrollsystem im Bereich Cyberrisiken braucht?
2. Wie könnte ein solches Kontrollsystem implementiert werden, das prüft, ob das betroffene Unternehmen prozessual und organisatorisch Cyberrisiken adäquat abwehren kann?
3. Trifft es zu, dass für einen effizienten und lückenlosen Informationsfluss über neue Computerviren oder andere Bedrohungen nach wie vor eine nationale Koordinationsstelle fehlt? Wäre der Aufbau eines nationalen Kompetenzzentrums, welches den Informationsaustausch und zeitgemässe Fachkenntnisse zur ICT-Sicherheit sicherstellt, angesichts der drohenden Risiken nicht eine dringende Notwendigkeit?
4. Ist er auch der Ansicht, dass es eine noch engere Zusammenarbeit und Koordination zwischen Bund, Kantonen und Wirtschaft braucht und dabei festgestellte Lücken in der Gesetzgebung durch die Politik zu schliessen sind?
Antwort des Bundesrates vom 10.06.2016:
1. Die Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) enthält Massnahmen, um Cyberrisiken zu identifizieren und entsprechend zu minimieren. Es ist grundsätzlich in der Verantwortung jeder einzelnen Unternehmung, ihre Daten und Informationen zu schützen. Der zuständige Regulator soll dort eingreifen, wo es nötig ist, und weitere Sicherheitsmassnahmen anordnen.
2. Der Bundesrat ist der Meinung, dass zusätzliche Kontrollmassnahmen das Bewusstsein für die Eigenverantwortung des einzelnen Unternehmens schwächen. Jedes Unternehmen muss seine eigenen Werte, dazu gehören auch die Informationen, selber schützen. Der Staat sollte nur in besonderen Fällen oder in ausserordentlichen Lagen eingreifen.
3. Seit 2004 ist die Melde- und Analysestelle Informationssicherung (Melani) dafür zuständig, Informationen über Entwicklungen und Bedrohungen im Cyberbereich mit den Betreibern kritischer Infrastrukturen auszutauschen und die Bedrohungslage einzuschätzen. Das geforderte Kompetenzzentrum ist somit schon seit zwölf Jahren Tatsache und funktioniert sehr gut.
4. Es ist unbestritten, dass eine enge Zusammenarbeit zwischen Bund, Kantonen und Wirtschaft am nachhaltigsten zur Stärkung des Sicherheitsniveaus beiträgt. Die NCS wurde so konzipiert, dass sie die Verantwortlichkeiten in den zuständigen Einheiten belässt, um der dezentralen politischen und wirtschaftlichen Struktur der Schweiz Rechnung zu tragen. Die NCS fordert aber auch einen verstärkten Austausch zwischen Kantonen und Bund, welcher über den Sicherheitsverbund Schweiz geleitet wird. Die Wirtschaft ist durch einen Vertreter der Economiesuisse im Steuerungsausschuss NCS vertreten. So kann die Zusammenarbeit gestärkt und können die Schnittstellen optimiert werden. Melani nimmt beim Austausch zwischen den Behörden und der Wirtschaft eine zentrale Rolle ein und wurde dafür mit mehr Ressourcen ausgestattet. Zudem besteht mit dem Verein Swiss Cyber Experts ein Netzwerk, das die Expertise von Wirtschaft, Verwaltung und Wissenschaft vereint.
Auch die internationale Zusammenarbeit und Koordination mit anderen Staaten (vor allem Informationsaustausch) kann zu einer schnelleren Entdeckung und Behebung von Cyberangriffen beitragen. In diesem Bereich ist die Schweiz durch die Teilnahme an internationalen Konferenzen und Organisationen (z. B. OSZE-Prozess zu vertrauensbildenden Massnahmen) aktiv.