Ein neues
Konzept des Bundesamts für Cybersicherheit
BACS legt fest, wie Unternehmen, Kantone und Bund Cybervorfälle gemeinsam bewältigen. Es ordnet Zuständigkeiten und sieht ein klar abgestuftes Vorgehen vor. Nach Angaben des BACS stützt es sich auf das Informationssicherheitsgesetz von 2024 sowie auf die Cybersicherheitsverordnung und die Verordnung über die Krisenorganisation der Bundesverwaltung von 2025. Laut Mitteilung werden Vorfälle aus gesamtgesellschaftlicher Sicht in vier Stufen eingeordnet: gering, moderat, erheblich und kritisch.
Je nach Einstufung greifen unterschiedliche Abläufe. So soll bei der Stufe gering keine Koordination durch das Amt vorgesehen sein, bei moderat unterstütze das BACS die betroffenen Organisationen subsidiär, bei erheblich übernehme es die aktive Koordination. Erreicht ein Vorfall die Stufe kritisch, stellt das BACS nach eigenen Angaben einen Antrag an den Bundesrat zur Einsetzung eines Krisenstabs. Ausschlaggebend für die Einstufung seien die Zahl der betroffenen Organisationen in der Schweiz und die Auswirkung auf Wirtschaft und Bevölkerung.
Weiter heisst es, dass die Abläufe für die Stufen gering und moderat bereits eingespielt sind und die definierten Prozesse für die Stufen erheblich und kritisch mit dem vorliegenden Konzept weiter etabliert werden.
(dow)
