Am 18. April 2018 hat der Bundesrat die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) für die Jahre 2018-2022 verabschiedet. Die Strategie baut zwar auf den Arbeiten der ersten NCS (2012-2017) auf, weitet diese aber zum Teil aus und ergänzt sie mit neuen Massnahmen, so dass sie der heutigen Bedrohungslage entspricht. Sie wurde gemeinsam von allen beteiligten Bundesstellen, der Wirtschaft, den Kantonen und den Hochschulen erarbeitet und bildet so die Basis für die Aktivitäten der verschiedenen Akteure zur Minderung der Cyber-Risiken für unser Land.

Die Strategie formuliert sieben Ziele für den Schutz vor Cyber-Risiken:

1. Die Schweiz verfügt über die Kompetenzen, das Wissen und die Fähigkeiten zur frühzeitigen Erkennung von Cyber-Risiken.
2. Die Schweiz entwickelt wirksame Präventionsmassnahmen und setzt diese um.
3. Die Schweiz ist in allen Lagen fähig, Cyber-Vorfälle rasch zu erkennen und zu bewältigen, auch wenn diese lange andauern und verschiedene Bereiche gleichzeitig betreffen.
4. Die Schweiz ist gegenüber Cyber-Risiken resilient. Das bedeutet, dass kritische Infrastrukturen ihre Dienstleistungen und Güter auch bei Cyber-Vorfällen zur Verfügung stellen können.
5. Der Schutz der Schweiz vor Cyber-Risiken wird als gemeinschaftliche Aufgabe von Gesellschaft, Wirtschaft und Staat wahrgenommen.
6. Die Schweiz engagiert sich für die internationale Kooperation zur Erhöhung der Cyber-Sicherheit.
7. Die Schweiz lernt aus Cyber-Vorfällen im In- und Ausland.

Um diese Ziele zur erreichen, formuliert die Strategie 29 Massnahmen in insgesamt zehn Handlungsfeldern. Im Unterschied zur ersten NCS ist der Bereich der Cyber-Defence, welcher sich auf die Rolle der Armee und des Nachrichtendienstes bei der Attribution, der Unterbindung von Cyber-Angriffen und der Gewährleistung der militärischen Einsatzbereitschaft bezieht, integraler Bestandteil der Strategie. Weitere Neuerungen betreffen die Ausweitung der Zielgruppe auf die gesamte Wirtschaft und Gesellschaft (die erste Strategie fokussierte auf den Schutz kritischer Infrastrukturen) und den stärkeren Fokus auf Standardisierung und Regulierung, wozu auch die Prüfung einer Meldepflicht gehört. Mit diesen Anpassungen wird die NCS ihrer Funktion als Gesamtstrategie gerecht, berücksichtigt die zunehmende Bedeutung von Cyber-Risiken für alle Unternehmen und bietet die Grundlage für die Erarbeitung von Standards und regulativen Massnahmen.

Es ist klar, dass das ambitionierte Portfolio der NCS nur dann erfolgreich umgesetzt werden kann, wenn die Arbeiten der verschiedenen beteiligten Akteure optimal aufeinander abgestimmt werden und alle vorhandenen Kompetenzen genutzt werden. Unter der Koordination des Bundes erarbeiten deshalb die Kantone, die Wirtschaft und die Hochschulen eine gemeinsame Umsetzungsplanung in welcher festgehalten wird, wer bis wann welche Massnahmen zur Erreichung der strategischen Ziele umsetzen soll. Diese Umsetzungsplanung hat begonnen und soll bis spätestens im Frühjahr 2019 abgeschlossen sein. Sie berücksichtigt die bereits laufenden Arbeiten zur Realisierung der verschiedenen Massnahmen und wird Klarheit darüber schaffen, welche Bundesstellen für welche Bereiche zuständig sind.

Mit der NCS verfügt die Schweiz über eine breit abgestützte und umfassende Strategie für den Schutz vor Cyber-Risiken in den nächsten fünf Jahren. Es ist von zentraler Bedeutung, dass der identifizierte Handlungsbedarf nun unverzüglich angegangen wird. Zugleich bleibt es wichtig, die sehr dynamischen Entwicklungen eng zu verfolgen, potentielle neue Risiken frühzeitig zu erkennen und nötigenfalls weitere Massnahmen zu ergreifen. Sollten neue Risiken auftreten, die Bedrohungslage sich unerwartet entwickeln oder andere Faktoren eintreten, welche die Grundannahmen der NCS in Frage stellen, wird die NCS bereits vor 2022 aktualisiert oder ergänzt.