Informationssicherheitsgesetz: Meldepflicht bei Cyberangriffen
Die Versicherungsbranche ist staatlich beaufsichtigt und muss bereits heute Cyberangriffe melden. Der Einbezug in das Informationssicherheitsgesetz darf nicht zu einer unübersichtlichen Dreifachregulierung von Meldepflichten führen.
Im Rahmen der geplanten Revision des Informationssicherheitsgesetzes ISG soll für Betreiberinnen kritischer Infrastrukturen eine Meldepflicht für Cyberangriffe eingeführt werden. Diese neue Meldepflicht soll dazu dienen, Angriffsmuster frühzeitig zu erkennen und mögliche Betroffene zu warnen.
Mit der fortschreitenden Digitalisierung sehen sich Staat und Wirtschaft zunehmend mit Cyberangriffen konfrontiert. Der SVV begrüsst deshalb das Etablieren eines Frühwarnsystems, wozu entsprechende Meldepflichten einen Beitrag leisten können. Er hat deshalb auch die Meldepflichten gemäss Finanzmarktaufsichtsrecht sowie gemäss totalrevidierten Datenschutzgesetz unterstützt. Als Anbieter von Cyberversicherungen ist die Branche auch selber an Meldungen von Cybervorfällen interessiert, um das Risiko «Cyber» besser verstehen und kalkulieren zu können.
Allerdings darf der Einbezug der Versicherer in das ISG nicht in einer unübersichtlichen Dreifachregulierung von Meldepflichten münden. Die Meldepflicht für Cyberangriffe sollte deshalb für Versicherungsunternehmen an sämtliche Stellen mit einer Meldung erfolgen können (One-Stop-Shop-Ansatz für alle Meldepflichten).
Zudem erkennt der SVV keinen Sinn darin, die Meldepflicht gemäss ISG mit Strafbestimmungen durchzusetzen und lehnt diese ab. Für betroffene Unternehmen ist ein Cyberangriff eine ausserordentlich schwierige Situation, die nicht noch unnötig mit einer Strafdrohung belastet werden soll.