{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20263628,Language='DE')/Transcripts"}},"ID":20263628,"Language":"DE","BusinessShortNumber":"26.3628","BusinessType":5,"BusinessTypeName":"Motion","BusinessTypeAbbreviation":"Mo.","Title":"Cybersicherheit und digitale Souver\u00e4nit\u00e4t Eine nationale Roadmap f\u00fcr den \u00dcbergang zur Post-Quanten-Kryptografie in der Schweiz","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Der Bundesrat wird beauftragt, in Zusammenarbeit mit den Kantonen, den Hochschulen, den Forschungsinstituten, den branchenspezifischen Aufsichtsbeh\u00f6rden und der Privatwirtschaft eine nationale Roadmap f\u00fcr den \u00dcbergang der Schweiz zur Post-Quanten-Kryptografie auszuarbeiten. Diese Roadmap soll den nachhaltigen Schutz besonders sch\u00fctzenswerter Daten und sensitiver Kommunikation, die Widerstandsf\u00e4higkeit kritischer Infrastrukturen, die langfristige G\u00fcltigkeit elektronischer Signaturen und Dokumente, die internationale Interoperabilit\u00e4t der Schweizer Systeme und die Wettbewerbsf\u00e4higkeit der im internationalen Markt t\u00e4tigen Unternehmen gew\u00e4hrleisten. Insbesondere ist Folgendes vorzusehen:</p><ol style=\"list-style-type:lower-alpha;\"><li><strong>Sp\u00e4testens bis Ende 2027 muss eine nationale Migrationsstrategie \u2013 d.\u202fh. eine Strategie zur schrittweisen Abl\u00f6sung anf\u00e4lliger Algorithmen \u2013 auf der Grundlage einer Risikobewertung erarbeitet werden,&nbsp;</strong>einschliesslich einer Bestandsaufnahme kritischer kryptografischer Anwendungen, einer Kartografie der Abh\u00e4ngigkeiten, auch gegen\u00fcber ausl\u00e4ndischen Anbietern, sowie der Lancierung von Pilotprojekten f\u00fcr Anwendungsf\u00e4lle mit hohem Risiko oder langer Vertraulichkeitsdauer.</li><li><strong>Es m\u00fcssen Meilensteine festgelegt werden, die auf die einschl\u00e4gigen internationalen Zeitpl\u00e4ne abgestimmt sind,&nbsp;</strong>insbesondere die vorrangige Umstellung f\u00fcr Anwendungsf\u00e4lle mit hohem Risiko bis Ende 2030 und die schrittweise Umstellung der \u00fcbrigen kritischen oder sensitiven Systeme bis Ende 2035; dies unter Ber\u00fccksichtigung der Ausgereiftheit der Standards, der Interoperabilit\u00e4t und der Verh\u00e4ltnism\u00e4ssigkeit der Massnahmen.</li><li><strong>Es m\u00fcssen die Zust\u00e4ndigkeiten f\u00fcr die Steuerung und Koordination innerhalb der Bundesverwaltung festgelegt werden,</strong> insbesondere unter Einbezug des Bundesamts f\u00fcr Cybersicherheit (BACS, ehemals NCSC), des Bundesamts f\u00fcr Informatik und Telekommunikation (BIT) sowie der spezifisch zust\u00e4ndigen Beh\u00f6rden. Redundante Strukturen m\u00fcssen vermieden werden. Dem Parlament ist alle zwei Jahre ein Bericht \u00fcber den Stand der Umsetzung vorzulegen.</li><li><strong>Es m\u00fcssen Mindestanforderungen f\u00fcr kritische Infrastrukturen, Informationssysteme des Bundes und Anbieter kritischer digitaler Dienste festgelegt werden,&nbsp;</strong>insbesondere betreffend ein standardisiertes und interoperables kryptografisches Inventar \u2013 das, soweit angemessen, auf anerkannten Formaten wie der Cryptographic Bill of Materials (CBOM) basiert \u2013, Krypto-Agilit\u00e4t, Aktualisierbarkeit sowie die gesicherte Verwaltung von Lieferantenabh\u00e4ngigkeiten. Diese Inventare m\u00fcssen als sensitive Sicherheitsinformationen mit eingeschr\u00e4nktem Zugriff behandelt werden und d\u00fcrfen nicht detailliert ver\u00f6ffentlicht werden.</li><li><strong>Anforderungen zur Vorbereitung auf die Post-Quanten-Kryptografie m\u00fcssen in \u00f6ffentliche Ausschreibungen des Bundes und in Lieferantenvertr\u00e4gen</strong>f\u00fcr digitale Produkte und Dienstleistungen, deren Lebensdauer, Kritikalit\u00e4t oder erwartete Vertraulichkeitsdauer \u00fcber das Jahr 2030 hinausgeht, aufgenommen werden.</li><li><strong>Die Quantenresilienz der elektronischen Signatur und der Langzeitarchivierung ist zu gew\u00e4hrleisten,</strong> um die dauerhafte G\u00fcltigkeit von Signaturen, Zertifikaten, Zeitstempeln, \u00f6ffentlichen Urkunden, Patientendossier, \u00f6ffentlichen Registern und Archiven in \u00dcbereinstimmung mit den Arbeiten der Swiss Government PKI sicherzustellen.</li><li><strong>Die \u00dcbereinstimmung mit den geltenden internationalen Rahmenwerken ist sicherzustellen,&nbsp;</strong>insbesondere diejenige mit der koordinierten Roadmap, die am 11. Juni 2025 von der NIS-Kooperationsgruppe der Europ\u00e4ischen Union verabschiedet wurde, sowie diejenige mit den Anforderungen der Cyberresilienz-Verordnung, die ab dem 11. Dezember 2027 f\u00fcr Produkte gelten, die auf den europ\u00e4ischen Markt gebracht werden.</li><li><strong>Der rechtlich und reglementarisch erforderliche Anpassungsbedarf ist zu pr\u00fcfen,</strong> insbesondere betreffend die Gesetzgebung zur Informationssicherheit, die Cybersicherheitsverordnung, die Vorschriften f\u00fcr das \u00f6ffentliche Beschaffungswesen und die geltenden bereichsspezifischen Regelungen.</li><li><strong>F\u00fcr die Kantone, KMU, Hochschulen und Schweizer Unternehmen sind angemessene Unterst\u00fctzungsmassnahmen vorzusehen,</strong> insbesondere in Form von Leitlinien, Inventarvorlagen, Pilotprojekten, Interoperabilit\u00e4tstests und durch die Mobilisierung nationaler Kompetenzen im Sinne einer technologischen Souver\u00e4nit\u00e4t, die mit dem Ziel der Motion 24.3209 \u00fcbereinstimmt.</li></ol><p>Die Roadmap ber\u00fccksichtigt die Grunds\u00e4tze der Technologieneutralit\u00e4t, der Offenheit der Standards, der Sicherheit durch Design und der wirtschaftlichen Verh\u00e4ltnism\u00e4ssigkeit \u2013 wobei die Verpflichtungen je nach Risiko, Kritikalit\u00e4t, Dauer der Vertraulichkeit der Daten und Lebensdauer der Systeme unterschiedlich ausgestaltet sind. Entsprechend der Schweizer Tradition, die eher auf g\u00fcnstige Rahmenbedingungen als auf eine selektive Industriepolitik setzt, zielt sie nicht darauf ab, einen bestimmten Anbieter oder eine bestimmte Technologie zu beg\u00fcnstigen, sondern die Sicherheitsanforderungen f\u00fcr staatliche Infrastrukturen festzulegen. Die in den kryptografischen Bestandesverzeichnissen enthaltenen sensitiven Informationen sind gesch\u00fctzt.</p>","ReasonText":"<p>Die Steigerung der Leistungsf\u00e4higkeit der Quanteninformatik stellt eine erhebliche Bedrohung f\u00fcr die langfristige digitale Sicherheit dar. Es ist absehbar, dass leistungsf\u00e4hige Quantencomputer auf \u00f6ffentlichen Schl\u00fcsseln beruhende Verschl\u00fcsselungssysteme gef\u00e4hrden k\u00f6nnten, die derzeit zum Schutz von Kommunikation, Zahlungen, elektronischen Signaturen und digitalen Identit\u00e4ten verwendet werden. Auch wenn solche Ger\u00e4te noch nicht einsatzf\u00e4hig sind, muss damit gerechnet werden, dass dies in den n\u00e4chsten zehn bis f\u00fcnfzehn Jahren der Fall sein wird. Die Gefahr ist bereits real \u2013 und zwar in Form der sogenannten Strategie \u201eJetzt sammeln, sp\u00e4ter entschl\u00fcsseln\u201c. Demnach werden besonders sch\u00fctzenswerte Daten heute schon erfasst, um sie zu einem sp\u00e4teren Zeitpunkt zu entschl\u00fcsseln.</p><p>Angesichts dieser Bedrohung haben mehrere Partner der Schweiz bereits mit der Umstellung auf die Post-Quanten-Kryptografie begonnen. Die Europ\u00e4ische Union, die Vereinigten Staaten, das Vereinigte K\u00f6nigreich, Frankreich und Deutschland haben Roadmaps, technische Standards und Zeitpl\u00e4ne f\u00fcr die Umstellung verabschiedet. In der Schweiz haben die Beh\u00f6rden das Problem erkannt und \u00dcberlegungen dazu angestellt, doch gibt es bislang noch keine umsetzbare nationale Migrationsstrategie f\u00fcr kritische Infrastrukturen und staatliche Daten.</p><p>Die Motion zielt daher darauf ab, diese L\u00fccke zu schliessen, indem eine koordinierte nationale Roadmap mit Zielen, Fristen und einer klaren Steuerung erstellt wird. Sie zielt in erster Linie auf kritische Systeme, Daten, die einen langfristigen Schutz erfordern, und Anschaffungen ab, deren Lebensdauer \u00fcber das Jahr 2030 hinausreicht. Dieser Ansatz kn\u00fcpft an die bisherigen Arbeiten der Bundesbeh\u00f6rden an und st\u00fctzt sich auf die Grunds\u00e4tze der Technologieneutralit\u00e4t, der Interoperabilit\u00e4t und der Verh\u00e4ltnism\u00e4ssigkeit.</p><p>Schliesslich w\u00fcrde eine vorausschauende Planung eine kostspielige Notfallmigrationen vermeiden und die digitale Souver\u00e4nit\u00e4t der Schweiz st\u00e4rken. Ziel ist es, sicherzustellen, dass die Mechanismen zum Schutz von Daten, Kommunikation und elektronischen Signaturen angesichts der sich entwickelnden Bedrohung durch Quantencomputer weiterhin zuverl\u00e4ssig bleiben.</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":null,"FederalCouncilProposal":null,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":null,"SubmittedBy":"Juillard Charles","BusinessStatus":202,"BusinessStatusText":"Eingereicht","BusinessStatusDate":"\/Date(1781136000000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"Departement f\u00fcr Verteidigung, Bev\u00f6lkerungsschutz und Sport","ResponsibleDepartmentAbbreviation":"VBS","IsLeadingDepartment":true,"Tags":"9|34","Category":null,"Modified":"\/Date(1783689688627)\/","SubmissionDate":"\/Date(1781136000000)\/","SubmissionCouncil":2,"SubmissionCouncilName":"St\u00e4nderat","SubmissionCouncilAbbreviation":"SR","SubmissionSession":5214,"SubmissionLegislativePeriod":52,"FirstCouncil1":2,"FirstCouncil1Name":"St\u00e4nderat","FirstCouncil1Abbreviation":"SR","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Sicherheitspolitik|Medien und Kommunikation"}}