Skip to main content
C. Hirsch, Cyberattaques : Vers une nouvelle obligation d’annonce, (05 décembre 2022) <https://cdbf.ch/1261/>
C. Hirsch, Cyberattaques : Vers une nouvelle obligation d’annonce (05 décembre 2022) <https://cdbf.ch/1261/>
 CC BY

Articles en relation

Plus d'articles en relation

Cyberangriffe

Auf dem Weg zu einer neuen Meldepflicht

(Übersetzt von DeepL)

Seit dem 1. September 2020 müssen Banken die FINMA innerhalb von 24 Stunden über erfolgreiche Cyberangriffe informieren. Am 2. Dezember 2022 schlug der Bundesrat dem Parlament vor, eine weitere Meldepflicht für Cyberangriffe einzuführen, ebenfalls innerhalb von 24 Stunden, diesmal jedoch an das Schweizerische Nationale Zentrum für Cybersicherheit (NCSC ; vgl. Art. 74a ff. des Entwurfs zum Informationssicherheitsgesetz [E-ISG]).

Warum diese zusätzliche Verpflichtung ? Weil diese für alle kritischen Infrastrukturen gelten wird, zu denen neben Versicherungen, Finanzmarktinfrastrukturen auch Banken gehören, oder Spitäler, Hochschulen sowie Cloud-Anbieter und Softwarehersteller.

Aufgrund der Zunahme von Cyberangriffen möchte der Bundesrat dem NCSC einen Überblick über die Cyberbedrohungen in der Schweiz verschaffen. Mit diesem Wissen könnte das NCSC potenzielle Opfer warnen und ihnen geeignete Massnahmen empfehlen. Ein solcher Überblick ist jedoch nur möglich, wenn alle kritischen Infrastrukturen dem NCSC grössere Cyberangriffe melden. Derzeit erhält das NCSC die Informationen nur auf freiwilliger Basis.

Damit diese zukünftige Meldepflicht eingehalten wird, schlägt der Bundesrat sowohl positive als auch negative Anreize vor. Der erste besteht in der Unterstützung, die das NCSC nach einem Cyberangriff für kritische Infrastrukturen leisten wird. Der zweite Anreiz besteht in einer potenziellen Geldstrafe von CHF 100’000, wenn der Steuerpflichtige nach einer Fristsetzung durch das NCSC weiterhin gegen seine Pflicht verstösst.

Müssen die Banken im Falle eines Cyberangriffs also sowohl die FINMA als auch das NCSC informieren ? Der Bundesrat ist sich dieser potenziellen doppelten Meldepflicht bewusst und schlägt vor, dass das elektronische Formular des NCSC auch die Übermittlung der relevanten Informationen an die FINMA ermöglichen soll, sogar mit zusätzlichen Informationen, zu denen das NCSC keinen Zugang hätte.

Die Schweizerische Bankiervereinigung (SBVg) fordert in ihrer Stellungnahme bereits eine Änderung der FINMA-Mitteilung 05/2020 über die Meldepflicht bei Cyberangriffen gemäss Art. 29 Abs. 2 FINMAG. Diese müsse nämlich an die neue gesetzliche Pflicht angepasst werden. Die SBVg wünschte sich zudem, dass das NCSC mit privatrechtlichen Organisationen der Wirtschaft, wie dem kürzlich gegründeten Verein Financial Swiss Sector Cyber Security Centre, zusammenarbeiten kann. Der Bundesrat folgte diesem Vorschlag jedoch nicht.

Aufgrund der bestehenden Meldepflicht an die FINMA besteht nicht die Gefahr, dass diese neue Pflicht zu einer neuen, erheblichen Belastung für die Banken führt. Es stellt sich jedoch die Frage, ob diese Revision ein erster Schritt hin zu einem allgemeineren Gesetz ist, das Mindestanforderungen an die Cybersicherheit kritischer Infrastrukturen vorschreibt, wie dies in der Europäischen Union bereits seit 2018 mit der NIS-Richtlinie der Fall ist, deren überarbeitete Version (NIS2) übrigens gerade verabschiedet wurde.