Der Bundesrat hat in seiner 962. Sitzung am 24. November 2017 gemäß §§ 3 und 5 EUZBLG die folgende Stellungnahme beschlossen:
- 1. Der Bundesrat begrüßt, dass die Kommission dem Thema der Sicherheit informationstechnischer Systeme große Aufmerksamkeit widmet. Digitale Technologien prägen den Alltag der Menschen und die Produktions- und Dienstleistungsketten der Wirtschaft. Deren sichere Ausgestaltung und Anwendung ist nicht nur Zukunftsaufgabe, sondern aktuelle Herausforderung.
- 2. Der Bundesrat teilt die Auffassung der Kommission, dass eine wesentliche Bedingung für die Verbesserung der Cybersicherheit darin besteht, dieses Thema in der Ausbildung der öffentlichen Verwaltung sowie in Lehrplänen sonstiger Berufsausbildungseinrichtungen und Hochschulen zu verankern. Er begrüßt, dass dabei neben den im engeren Sinne im Bereich der Cybersicherheit tätigen Arbeitnehmerinnen und Arbeitnehmern und den übrigen IKT-Fachkräften auch weitere Beschäftigtengruppen sowie Bürgerinnen und Bürger mit Sensibilisierungsmaßnahmen und Informationskampagnen in den Blick genommen werden. Der Bundesrat bekräftigt, dass die Sicherheit informationstechnischer Systeme nicht nur eine Frage der Technik ist, sondern eine Frage der Arbeitsprozesse und der Qualifizierung der Nutzerinnen und Nutzer.
- 3. Der Bundesrat nimmt zustimmend zur Kenntnis, dass die Kommission die Bedeutung der Verschlüsselung für die Wahrung von Grundrechten wie der Meinungsfreiheit und des Schutzes personenbezogener Daten sowie für die Sicherheit des elektronischen Geschäftsverkehrs hervorhebt. Dass Verschlüsselungstechnologien sich weiter verbreiten, stärker genutzt werden und damit die Sicherheit in der digitalen Kommunikation steigern, hängt maßgeblich davon ab, dass die Nutzerinnen und Nutzer entsprechenden Anwendungen vertrauen können.
- 4. Zugleich darf nicht außer Acht gelassen werden, dass Verschlüsselung durch Terroristen und andere Kriminelle zur Vorbereitung und Durchführung schwerer Straftaten missbraucht wird. Der Bundesrat unterstützt daher die Überlegungen der Kommission, die Rolle der Verschlüsselung beim Schutz der inneren Sicherheit und bei strafrechtlichen Ermittlungen näher zu untersuchen.
- 5. Er spricht sich dafür aus, bei Fragen der Haftung über Schäden hinaus, die den Unternehmen und Lieferketten entstehen, auch die besonderen Schadensbilder bei privaten Nutzerinnen und Nutzern von IT-Produkten und -Dienstleistungen sowie dem öffentlichen Sektor in den Blick zu nehmen.
- 6. Die Gewährleistungsrechte von Verbraucherinnen und Verbrauchern bedürfen im Zusammenhang mit Sicherheitslücken von IT-Produkten und -Dienstleistungen einer klaren Justierung. Der Bundesrat bittet die Kommission, hier Vorschläge für eine zeitgemäße Konkretisierung von Mängelbeseitigungsrechten zu entwickeln. Es sollte eine Pflicht zur Bereitstellung von Sicherheitsupdates in Erwägung gezogen werden, die transparente Vorgaben dazu enthält, wie schnell, regelmäßig und für welchen Zeitraum Hersteller den Verbraucherinnen und Verbrauchern entsprechende Angebote unterbreiten müssen.
- 7. Der Bundesrat regt die Entwicklung eines Kriterienkataloges an, in welchen sensiblen Bereichen der von der Kommission angestrebte Aufbau von IT-Sicherheitskompetenzen der öffentlichen Hand sich auf die Fähigkeit zur eigenständigen Durchführung von IT-Sicherheitszertifizierungen erstrecken sollte.
- 8. Aus Sicht des Bundesrates wird die Mitteilung den Potenzialen quelltextoffener Software ("Open Source") für die Steigerung der IT-Sicherheit nicht gerecht. Der Bundesrat bittet die Kommission um eine konzeptionelle Klärung, inwieweit die öffentliche Hand zur Steigerung der IT-Sicherheit beitragen kann, indem sie selbst "Open Source"-Technologie einsetzt und deren Weiterentwicklung fördert. In diesem Zusammenhang sollten zudem die wirtschaftlichen Chancen - auch für kleine und mittelständische IT-Unternehmen in Europa - betrachtet werden.
- 9. Der Bundesrat mahnt eine klarere Definition der Begriffe "Cybersicherheit" und "Cyberabwehr" an.