Rede von Bundesrat Martin Pfister anlässlich der Nationalen Cybersicherheitskonferenz

Es gilt das gesprochene Wort

Frau Regierungsrätin, Laura Dittli
Herr Delegierter für den Sicherheitsverbund Schweiz, Martin von Muralt
Herr Amtsdirektor, Florian Schütz
Frau Präsidentin des Steuerungsausschusses NCS, Maya Bundt
Werte Vertreterinnen und Vertreter aus Wirtschaft, Politik, Verwaltung und Wissenschaft
Meine Damen und Herren

Die digitale Transformation hat unsere Gesellschaft grundlegend verändert. Wir alle nutzen in unserem Alltag digitale Hilfsmittel – sei dies um das ÖV-Ticket für die Anreise zu einer Cybersicherheitskonferenz zu kaufen, Sitzungen über Videokonferenzen abzuhalten oder unsere Einkäufe rasch und unkompliziert mit dem Handy zu erledigen.

Viele sind sich dabei nicht bewusst, dass für alle diese Aktionen kompexe und hochgradig vernetzte Informatiksysteme nötig sind. Diese digitale Infrastruktur, die solche Handlungen ermöglicht, hat sich zum zentralen Nervensystem unserer Gesellschaft entwickelt.

Die Bedeutung der digitalen Infrastruktur geht weit über nützliche Alltagsanwendungen hinaus. Auch die kritischen Infrastrukturen unseres Landes, wie die Energieversorgung, das Gesundheitswesen oder die Lebensmittelversorgung, sind in hohem Mass von funktionierenden IT-Systemen abhängig.

Für die Sicherheit unsere Landes ist es deshalb unerlässlich, sich mit der Sicherheit der digitalen Infrastrukturen auseinanderzusetzen. Unsere Demokratie lebt vom Vertrauen der Einzelnen in das Funktionieren des Staates.

Wird dieses Vertrauen durch Cybervorfälle untergraben, gefährdet dies unser gesamtes politisches System.

Die Cybersicherherheit unserer wichtigsten Infrastrukturen und Dienstleistungen ist deshalb auch eine Staatsaufgabe. Ein gutes Beispiel dafür ist die e-ID, bei der das Stimmvolk klar signalisiert hat, dass es eine staatliche Lösung wünscht. Mit der nun vorliegenden Lösung, über welche sie am Sonntag abstimmen können, wurde diesem Wunsch Rechnung getragen. Der Bund gibt die e-ID heraus und betreibt die nötige technische Infrastruktur für die digitalen Nachweise der Identität selber.

Ich bin überzeugt davon, dass uns solche Lösungen helfen, unseren hohen Standard an Sicherheit auch im digitalen Raum zu gewährleisten.

Aber zurück zur Cybersicherheit. Der Bundesrat hat die Bedeutung der Cybersicherheit erkannt. Sie ist ein zentrales Element unserer sicherheitspolitischen Überlegungen und Bestandteil der neuen sicherheitspolitischen Strategie, welche wir aktuell erarbeiten.

Aber auch auf operativer Ebene hat sich viel getan. Im VBS haben wir das Kommando Cyber der Armee aufgebaut, den Cyber-Defence Campus in der armasuisse entwickelt, und die Cyberfähigkeiten beim NDB gestärkt. Zudem nutzen wir die Methodenkompetenzen des Bundesamts für Bevölkerungsschutz, um die Resilienz von kritischen Infrastrukturen zu stärken. Für die Informationssicherheit des Bundes haben wir im Staatsekretariat für Sicherheitspolitik die Fachstelle Informationssicherheit geschaffen und mit dem Bundesamt für Cybersicherheit ist der zentrale Pfeiler der zivilen Cyberischerheit in meinem Departement angesiedelt.

Wir können feststellen, dass wir deutlich besser aufgestellt sind, als dies noch vor wenigen Jahren der Fall war. Dennoch bleiben die Herausforderungen gross.

Die hohe Dynamik der technischen Entwicklung und die umfassende Digitalisierung machen uns verletzlich. Wir müssen feststellen, dass wir im digitalen Raum deutlich leichter angreifbar sind, als in der physischen Welt. Dies nutzen Kriminelle und politische Akteure aktiv aus. Täglich sind unsere kritischen Infrastrukturen mit Cyberangriffen konfrontiert und alle Bürgerinnen und Bürger sind in ihrem digitalen Alltag der Bedrohung durch Cyberkriminelle ausgesetzt.

Der Staat und die Gesellschaft sind also durch Cyberbedrohungen stark gefordert. Unsere Antwort darauf muss koordiniert erfolgen und strategisch ausgerichtet sein.

Wichtige Voraussetzung dafür ist die Klärung der Frage, wer in welchen Bereichen die Verantwortung für die Cybersicherheit trägt. Deshalb begleitet uns heute die Leitfrage: «Cyberresilienz: Regulierung oder Selbstverantwortung?»

Ohne Ihre Diskussionen von heute vorwegnehmen zu wollen, möchte ich Ihnen nahelegen, die Antwort auf diese Frage nicht als ein «entweder - oder» zu verstehen. Ich bin überzeugt davon, dass Selbstverantwortung und Regulierung sich gegenseitig ergänzen.

Ein Beispiel dafür ist die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen, welche wir dieses Jahr eingeführt haben. Es ist die erste sektor-übergreifende Regulierung der Schweiz im Bereich der Cybersicherheit.

Bis heute sind beim Bundesamt für Cybersicherheit bereits über 150 Meldungen zu Cyberangriffen auf kritische Infrastrukturen eingegangen. Diese Meldungen schaffen Transparenz und verbessern das Lagebild. Sie ermöglichen es den kritischen Infrastrukturen besser zu verstehen, welche Massnahmen zum Schutz vor Cyberbedrohungen nötig sind.

So führt die Regulierung – nämlich die Pflicht Cyberangriffe zu melden – zu einer Stärkung der individuellen Fähigkeit, sich selbstverantwortlich vor Cyberbedrohungen zu schützen.

Wir werden heute hören, wie direkt Beteiligte und Stimmen aus der Politik diesen Ansatz beurteilen.

Ein nächstes Thema, das die Frage aufwirft, wie viel Regulierung nötig ist, ist die Sicherheit von digitalen Produkten. Sicherheitslücken in Software oder Hardware sind häufig das Einfallstor für Cyberangriffe. Leider muss festgestellt werden, dass viele dieser Sicherheitslücken vermeidbar wären, wenn die Hersteller die Sicherheit bei der Entwicklung ihrer Produkte höher gewichten und schneller auf Meldungen zu solchen Lücken reagieren würden.

Die EU hat deshalb mit dem «Cyber Resilience Act» ein Gesetz geschaffen, welches Anforderungen an die Sicherheit digitaler Produkte definiert. Am 20. August hat der Bundesrat entschieden, eine Schweizer Gesetzgebung zur Cyberresilienz erarbeiten zu lassen, welche unter anderem Vorschriften zur Cybersicherheit bei der Entwicklung und dem Inverkehrbringen von Produkten mit digitalen Elementen festlegt.

Auch bei der Sicherheit von digitalen Produkten geht es darum, einen sinnvollen Weg zu finden zwischen der Selbstverantwortung des Marktes und den nötigen Vorgaben, welche sicherstellen, dass Fehlanreize zur Entwicklung von weniger sicheren aber billigeren Produkten beseitigt werden.

Unser Leitthema ist heute die Frage «Regulierung oder Selbstverantwortung». Ich möchte hier aber in Erinnerung rufen, dass die strategische Weiterentwicklung der Cybersicherheit der Schweiz weit über diese Frage hinausgeht. Kein Gesetz wird den Klick auf einen Phishing-Link verhindern oder ersetzt gelebtes Sicherheitsbewusstsein.

Deshalb ist die gemeinsame Umsetzung der Nationalen Cyberstrategie so wichtig. Sie ist unser gemeinsamer Kompass und stellt sicher, dass wir alle in die gleiche Richtung gehen. Ich bin dankbar bei dieser wichtigen Arbeit auf die Unterstützung des Steuerungsausschusses unter der Leitung von Dr. Maya Bundt zählen zu können. Vielen Dank dafür!

Der erste Umsetzungsbericht des Steuerungsausschusses, den er im Mai 2025 veröffentlicht hat, zeigt, dass wir bei vielen Vorhaben gute Fortschritte erzielen konnten.

Ich erlaube mir, zwei Schwerpunkte aus der Umsetzung der Strategie hervorzuheben:

Erstens haben besonders sensiblen Sektoren wie der Finanzplatz oder das Gesundheitswesen in Zusammenarbeit mit dem BACS spezialisierte Cyber Security Centres weiter auf- und ausgebaut und dadurch die Zusammenarbeit gestärkt. In diesen Vereinen bündeln Unternehmen aus den jeweiligen Sektoren ihre Expertise und entwickeln gemeinsam gezielte Schutzmassnahmen. Sie stärken die Resilienz kritischer Infrastrukturen gezielt und adressieren sektorspezifische Risiken wirksam.

Das zweite Beispiel betrifft die Zusammenarbeit mit den Kantonen. Viele Kantone haben in den letzten Jahren erfolgreich ihre Organisation in der Cybersicherheit auf- und ausgebaut. Es freut mich natürlich sehr, dass mein Heimatkanton dafür ein gutes Beispiel ist. Mit seiner ambitionierten strategischen Initiative will Zug zum führenden Standort für die Cybersicherheit werden. Ich freue mich sehr darüber, dass uns heute Regierungsrätin Laura Dittli mehr über diese Initiative erzählen wird.

Zug ist kein Einzelfall. In der ganzen Schweiz übernehmen Kantone, Hochschulen, Unternehmen und Verbände Verantwortung. Sie machen die Nationale Cyberstrategie zu gelebter Realität.

Und genau so ist die Nationale Cyberstrategie angelegt: Sie lebt von starken Initiativen, die durch die Zusammenarbeit zwischen Bund, Kantonen, Hochschulen und Wirtschaft getragen werden.

Meine Damen und Herren,

«Regulierung oder Selbstverantwortung», das klingt nach einem Gegensatz. Doch es braucht beides. Über Regulierungen schaffen wir klare Rahmenbedingungen und ermöglichen es so den Unternehmen und den Bürgerinnen und Bürgern ihre Eigenverantwortung wahrzunehmen.

Lassen Sie uns die heutige Konferenz nutzen, um genau darüber zu sprechen: Wie schaffen wir das optimale Gleichgewicht zwichen Regulierung und Selstverantwortung? Wie verbinden wir Regeln mit Eigeninitiative? Und wie bringen wir die Nationale Cyberstrategie gemeinsam weiter? Ich wünsche Ihnen spannende Diskussionen zu diesen und vielen weiteren Fragen.

Zum Schluss möchte ich mich aber persönlich bei Ihnen für Ihr Engagement für die Cybersicherheit der Schweiz bedanken. Die Sicherheit der Schweiz ist unser wichtigstes gemeinsames Gut. Umso erfreulicher ist es zu sehen, dass wir in der Stärkung der Cybersicherheit auf Sie zählen können.