{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='DE')/Transcripts"}},"ID":20253149,"Language":"DE","BusinessShortNumber":"25.3149","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Verbindlicher IKT-Minimalstandard zur Steigerung der Resilienz gegen Cyberbedrohungen in der Schweiz","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<ul style=\"list-style-type:disc;\"><li>Warum gibt es in der Schweiz bislang keinen verbindlichen IKT-Minimalstandard f\u00fcr kritische Infrastrukturen, w\u00e4hrend andere L\u00e4nder (z.B. EU: NIS2 / DORA) solche Standards einf\u00fchren und wie beurteilt der Bundesrat die Risiken die durch das Fehlen eines solchen entstehen?</li><li>Welche regulatorischen M\u00f6glichkeiten sieht der Bundesrat, um einheitliche Mindestanforderungen f\u00fcr Cybersicherheit in kritischen Infrastrukturen festzulegen?&nbsp;</li><li>Das Bundesamt f\u00fcr Cybersicherheit (BACS) ist seit M\u00e4rz 2024 verantwortlich f\u00fcr die IKT-Minimalstandards, hat aber aktuell nur die Kompetenz, Empfehlungen abzugeben. Auf freiwilliger Basis k\u00f6nnen Branchenverb\u00e4nde diesen oder eigene IKT-Minimalstandrads f\u00fcr verpflichtend erkl\u00e4ren. Ist dieser dezentrale und nicht allgemein verpflichtende Ansatz nach Ansicht des Bundesrates zielf\u00fchrend und zeitgem\u00e4ss?</li><li>Wie beurteilt der Bundesrat die derzeitige Resilienz der kritischen Infrastrukturen (KRITIS) gegen\u00fcber Cyberangriffen? Auf welcher Basis kann er das beurteilen und in welcher Regelm\u00e4ssigkeit wird eine Neubeurteilung vorgenommen?</li><li>Gibt es eine systematische Erfassung der Cyberrisiken in verschiedenen KRITIS-Sektoren? Inwiefern soll die Erhebung der Cybervorf\u00e4lle (Einf\u00fchrung Meldepflicht) dazu beitragen, konkrete Massnahmen bez. Minimalanforderungen festzulegen?</li><li>Wie stellt der Bundesrat sicher, dass die Schweiz nicht zum \u201eSchwachpunkt\u201c in internationalen digitalen Netzwerken wird?</li><li>Welche Massnahmen sind geplant, um die Schweizer Cybersicherheitsstrategie mit internationalen Standards (z. B. EU NIS2, ISO 27001, NIST Cybersecurity Framework) in Einklang zu bringen?</li><li>Ist nach Meinung des Bundesrates die Nationale Anlaufstelle f\u00fcr Cybersicherheit (BACS, NCSC) personell und finanziell ausreichend ausgestattet, um Cyberbedrohungen effektiv zu begegnen?</li><li>Hat nach Meinung des Bundesrates die Nationale Anlaufstelle f\u00fcr Cybersicherheit (BACS, NCSC) bzw. das Staatssekretariat f\u00fcr Sicherheitspolitik (SEPOS) sowie die FINMA die notwendigen Befugnisse/Kompetenzen, um Cyberbedrohungen effektiv zu begegnen, bzw. die notwendigen Massnahmen einzufordern und zu \u00fcberpr\u00fcfen?</li></ul>","ReasonText":"<p>Kritische Infrastrukturen wie Energieversorgung, Gesundheitswesen, Finanzsysteme und Transport sind attraktive Ziele f\u00fcr Cyberangriffe. Ein aktueller IKT-Mindeststandard k\u00f6nnte sicherstellen, dass Betreiber grundlegende Schutzmassnahmen implementieren, um Risiken zu minimieren</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<span><p><span>Die Schweiz verfolgt bei der Standardisierung einen dezentralen Ansatz, bei welchem sektorspezifisch festgelegt wird, welche Standards der Cybersicherheit wie umgesetzt werden. Es trifft aber nicht zu, dass diese Standards f\u00fcr die Branchen in jedem Fall freiwillig sind. \u00dcber die Stromversorgungsverordnung (SR 734.71) ist die Einhaltung des IKT-Minimalstandards seit 1. Juli 2024 beispielsweise f\u00fcr viele Unternehmen der Stromversorgung verbindlich. Ab Juli 2025 wird dies auch f\u00fcr die Unternehmen der Gasversorgung der Fall sein. In anderen Sektoren st\u00fctzen sich die Aufsichtsorgane auf Standards, um die Umsetzung allgemein gehaltener Bestimmungen zur Sicherheit und Governance in den entsprechenden Gesetzen zu beurteilen. Die Finanzmarktaufsicht (FINMA) hat beispielsweise in verschiedenen Rundschreiben und Aufsichtsmitteilungen ihre Erwartungen zur Einhaltung von Standards der Cybersicherheit dargelegt, das Bundesamt f\u00fcr Verkehr st\u00fctzt sich bei seinen Aufsichtsaufgaben auf bestehende Standards und durch die Informationssicherheitsverordnung (SR 128.1) sind die zentralen Elemente von massgeblichen Standards f\u00fcr die Verwaltungseinheiten der Bundesverwaltung und die Armee verbindlich. </span></p><p><span>Der Vorteil des dezentralen Ansatzes bei der Standardisierung liegt darin, dass auf die jeweiligen Besonderheiten der Sektoren eingegangen werden kann und die bestehenden Aufsichtsprozesse genutzt werden k\u00f6nnen. Die zust\u00e4ndigen Stellen k\u00f6nnen die Pr\u00fcfungen zur Cybersicherheit in ihre Aufsichtspraxis integrieren. Fachlich werden sie dabei vom Bundesamt f\u00fcr Cybersicherheit (BACS) unterst\u00fctzt, welches \u00fcber den Minimalstandard zur Verbesserung der IKT-Resilienz daf\u00fcr sorgt, dass die Standardisierungen in den verschiedenen Sektoren aufeinander abgestimmt sind und die Standards gemeinsam mit den Betroffenen weiterentwickelt werden. Das BACS stellt auch sicher, dass die Vorgaben in Einklang mit internationalen Standards sind. Daf\u00fcr braucht das BACS keine Weisungsbefugnisse, weil diese in der Zust\u00e4ndigkeit der Aufsichtsbeh\u00f6rden verbleiben. </span></p><p><span>Das Staatssekretariat f\u00fcr Sicherheitspolitik und die FINMA verf\u00fcgen hingegen \u00fcber direkte Weisungsbefugnisse gegen\u00fcber den Verwaltungseinheiten der Bundesverwaltung und der Armee bzw. gegen\u00fcber dem Finanzsektor.</span></p><p><span>Die Resilienz der kritischen Infrastrukturen muss auf Grund der dynamischen Entwicklung der Cyberbedrohungslage in den jeweiligen Sektoren laufend neu beurteilt werden. Indikatoren zur Beurteilung sind die Umsetzung von Schutzmassnahmen, die Reaktionszeiten bei der Schliessung von Schwachstellen und die Anzahl erfolgreicher Cyberangriffe sowie deren Auswirkungen. Die Meldepflicht f\u00fcr Cyberangriffe auf kritische Infrastrukturen, die per 1. April 2025 in Kraft getreten ist, wird dem BACS erm\u00f6glichen, eine verbesserte \u00dcbersicht zum letzten Indikator zu erhalten.</span></p><p><span>Die Herausforderung durch Cyberbedrohungen bleibt f\u00fcr alle Akteure hoch. Es gibt aber keine Hinweise daf\u00fcr, dass Schweizer Unternehmen sich im internationalen Vergleich schlechter sch\u00fctzen. Der Bundesrat wird die Umsetzung von Standards der Cybersicherheit im Rahmen seiner Zust\u00e4ndigkeit weiter f\u00f6rdern. Er pr\u00fcft deshalb laufend die Notwendigkeit von zus\u00e4tzlichen rechtlichen Vorgaben und eines Ausbaus der Mittel der zust\u00e4ndigen Stellen und des BACS. Mindestens genauso wichtig wie die Einf\u00fchrung und \u00dcberpr\u00fcfung von Standards bleibt aber die enge und vertrauensvolle Zusammenarbeit zwischen Beh\u00f6rden und Unternehmen zur Umsetzung von Schutzmassnahmen gegen Cyberbedrohungen. </span></p></span>","FederalCouncilProposal":null,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1747180800000)\/","SubmittedBy":"Blunschy Dominik","BusinessStatus":229,"BusinessStatusText":"Erledigt","BusinessStatusDate":"\/Date(1758880935000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"Departement f\u00fcr Verteidigung, Bev\u00f6lkerungsschutz und Sport","ResponsibleDepartmentAbbreviation":"VBS","IsLeadingDepartment":true,"Tags":"4|9|34","Category":null,"Modified":"\/Date(1763089941087)\/","SubmissionDate":"\/Date(1742342400000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Nationalrat","SubmissionCouncilAbbreviation":"NR","SubmissionSession":5207,"SubmissionLegislativePeriod":52,"FirstCouncil1":1,"FirstCouncil1Name":"Nationalrat","FirstCouncil1Abbreviation":"NR","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Staatspolitik|Sicherheitspolitik|Medien und Kommunikation"}}