Verordnung über die militärische Cyberabwehr (MCAV)
(MCAV) vom 30. Januar 2019 (Stand am 1. März 2019)
Der Schweizerische Bundesrat,
gestützt auf Artikel 100 Absatz 4 des Militärgesetzes vom 3. Februar 1995¹ (MG),
verordnet:
¹ SR 510.10
Art. 1 Gegenstand
¹ Diese Verordnung regelt die Massnahmen im Rahmen der Cyberabwehr zum Eigenschutz und zur Selbstverteidigung der Armee und der Militärverwaltung im Fall eines Angriffs auf ihre Informationssysteme und ihre Informatiknetzwerke.
² Unter militärischer Cyberabwehr versteht man umfassende Aktionen im Cyberraum mit dem Ziel, den Eigenschutz und die Selbstverteidigung der militärischen Informationssysteme und Informatiknetzwerke mit Aktionen im Cyberraum auf militärstrategischer und operativer Führungsstufe wahrzunehmen; sie umfasst die folgenden Aktionen:
a. Cyberverteidigung: Aktion im Cyberraum mit dem Ziel, Angriffe und Cyberaufklärung zu identifizieren und die eigenen Ressourcen zu schützen;
b. Cyberaufklärung: Aktion im Cyberraum mit dem Ziel, Nachrichten im Cyberraum zu gewinnen;
c. Cyberangriff: Aktion im Cyberraum mit dem Ziel, gegnerische Ressourcen und Fähigkeiten im oder durch den Cyberraum zu stören, zu behindern oder zu verlangsamen.
Art. 2 Bewilligungspflichtige und nicht bewilligungspflichtige Massnahmen
¹ Massnahmen, die im Rahmen einer Aktion im Cyberraum das Eindringen in fremde Computersysteme und Computernetzwerke erfordern, sind bewilligungspflichtig.
² Massnahmen, die im Rahmen einer Aktion im Cyberraum kein Eindringen in fremde Computersysteme und Computernetzwerke erfordern, sind nicht bewilligungspflichtig.
Art. 3 Anträge für bewilligungspflichtige Massnahmen
Anträge für bewilligungspflichte Massnahmen sind schriftlich zu begründen und müssen folgende Angaben enthalten:
a. den Zweck der Aktion im Cyberraum;
b. den Zeitraum, in dem die Aktion im Cyberraum erfolgen soll;
c. die betroffenen Computersysteme und Computernetzwerke;
d. die Anzahl Eindringen in die betroffenen Computersysteme und Computernetzwerke;
e. den Nachweis der Rechtmässigkeit, insbesondere der Verhältnismässigkeit, und die Beurteilung der Risiken der Aktion im Cyberraum.
Art. 4 Zuständigkeit der Führungsunterstützungsbasis
¹ Die Führungsunterstützungsbasis (FUB) ist zuständig für die militärische Cyberabwehr und nimmt diese mit eigenen, ihr unterstellten sowie ihr zugewiesenen Ressourcen wahr.
² Die FUB hat folgende Aufgaben:
a. Sie führt Aufträge zu Aktionen im Cyberraum aus.
b. Sie ergreift zum Eigenschutz der militärischen Informationssysteme und Informatiknetzwerke vorsorgliche Massnahmen.
c. Sie prüft vorgängig die grundsätzliche Rechtmässigkeit und die Machbarkeit von neuen Aktionen im Cyberraum.
d. Sie unterbricht den Zugang zu militärischen Informationssystemen und Informatiknetzwerken.
e. Sie stellt selbständig sicher, dass sie über die technischen Informationen verfügt, die zur Wahrnehmung der Aufgaben notwendig sind.
f. Sie wertet sichergestellte Computersysteme und Computernetzwerke aus, die für einen Angriff ge- oder missbraucht worden sind.
g. Sie pflegt in Koordination mit den verantwortlichen Behörden des Bundes direkte Kontakte zu technischen Fachstellen im In- und Ausland.
h. Sie unterstützt den Einsatz und die Ausbildung im Bereich der militärischen Cyberabwehr.
i. Sie dokumentiert bewilligungspflichtige Massnahmen im Rahmen einer Aktion im Cyberraum.
³ Die bewilligungspflichtigen Massnahmen im Rahmen einer Aktion im Cyberraum werden ausschliesslich durch das Zentrum elektronische Operationen der FUB ausgeführt.
Art. 5 Zuständigkeiten der Chefin oder des Chefs der Armee
¹ Die Chefin oder der Chef der Armee erteilt die Aufträge für Aktionen im Cyberraum.
² Sie oder er legt Anträge für bewilligungspflichtige Massnahmen vorgängig der Chefin oder dem Chef des Eidgenössischen Departementes für Verteidigung, Bevölkerungsschutz und Sport (VBS) zur Prüfung vor.
³ Im Aktivdienst nach Artikel 76 Absatz 1 MG kann die Chefin oder der Chef der Armee oder die Oberbefehlshaberin oder der Oberbefehlshaber der Armee bewilligungspflichtige Massnahmen genehmigen. Sie oder er kann diese Kompetenz delegieren.
Art. 6 Zuständigkeit der Chefin oder des Chefs des VBS
Die Chefin oder der Chef des VBS entscheidet über Anträge der Chefin oder des Chefs der Armee.
Art. 7 Zuständigkeiten des Bundesrats
Der Bundesrat genehmigt bewilligungspflichtige Massnahmen.
Art. 8 Aufsicht
¹ Das Generalsekretariat VBS nimmt die departementsinterne Aufsicht über die militärische Cyberabwehr wahr, erstattet dem Bundesrat regelmässig Bericht und informiert die parlamentarische Oberaufsicht.
² Die armeeinterne Aufsicht über die militärische Cyberabwehr ist der Chefin oder dem Chef der Armee unterstellt und wird durch sie oder ihn geregelt.
Art. 9 Forschung
Die FUB kann nach Absprache und Koordination mit den verantwortlichen Verwaltungseinheiten des VBS Vereinbarungen zur Kooperation mit Forschungsinstituten und Hochschulen treffen.
Art. 10 Vollzug
Die Chefin oder der Chef des VBS vollzieht die Verordnung und erlässt Weisungen über den Einsatz und die Ausbildung. Sie oder er kann den Vollzug an die Chefin oder den Chef der Armee delegieren.
Art. 11 Inkrafttreten
Diese Verordnung tritt am 1. März 2019 in Kraft.
Feedback