510.921

Verordnung
über die militärische Cyberabwehr

(MCAV)

vom 30. Januar 2019 (Stand am 1. Januar 2024)

Der Schweizerische Bundesrat,

gestützt auf Artikel 100 Absatz 4 des Militärgesetzes vom 3. Februar 19951 (MG),

verordnet:

Art. 1 Gegenstand

1 Diese Verordnung regelt die Massnahmen im Rahmen der Cyberabwehr zum Eigenschutz und zur Selbstverteidigung der Armee und der Militärverwaltung im Fall eines Angriffs auf die einsatzkritischen Leistungen der Armee im Bereich der Informations- und Kommunikationstechnologie (einsatzkritische IKT-Leistungen der Armee).2

2 Unter militärischer Cyberabwehr versteht man umfassende Aktionen im Cyberraum mit dem Ziel, die einsatzkritischen IKT-Leistungen der Armee auf militärstrategischer und operativer Führungsstufe zu schützen und zu verteidigen; sie umfasst die folgenden Aktionen:3

a.
Cyberverteidigung: Aktion im Cyberraum mit dem Ziel, Angriffe und Cyberaufklärung zu identifizieren und die eigenen Ressourcen zu schützen;
b.
Cyberaufklärung: Aktion im Cyberraum mit dem Ziel, Nachrichten im Cyberraum zu gewinnen;
c.
Cyberangriff: Aktion im Cyberraum mit dem Ziel, gegnerische Ressourcen und Fähigkeiten im oder durch den Cyberraum zu stören, zu behindern oder zu verlangsamen.

2 Fassung gemäss Ziff. II 9 der V vom 22. Nov. 2023, in Kraft seit 1. Jan. 2024 (AS 2023 746).

3 Fassung gemäss Ziff. II 9 der V vom 22. Nov. 2023, in Kraft seit 1. Jan. 2024 (AS 2023 746).

Art. 2 Bewilligungspflichtige und nicht bewilligungspflichtige Massnahmen

1 Massnahmen, die im Rahmen einer Aktion im Cyberraum das Eindringen in fremde Computersysteme und Computernetzwerke erfordern, sind bewilligungspflichtig.

2 Massnahmen, die im Rahmen einer Aktion im Cyberraum kein Eindringen in fremde Computersysteme und Computernetzwerke erfordern, sind nicht bewilligungspflichtig.

Art. 3 Anträge für bewilligungspflichtige Massnahmen

Anträge für bewilligungspflichte Massnahmen sind schriftlich zu begründen und müssen folgende Angaben enthalten:

a.
den Zweck der Aktion im Cyberraum;
b.
den Zeitraum, in dem die Aktion im Cyberraum erfolgen soll;
c.
die betroffenen Computersysteme und Computernetzwerke;
d.
die Anzahl Eindringen in die betroffenen Computersysteme und Computernetzwerke;
e.
den Nachweis der Rechtmässigkeit, insbesondere der Verhältnismässigkeit, und die Beurteilung der Risiken der Aktion im Cyberraum.
Art. 44 Zuständigkeit des Kommandos Cyber

1 Das Kommando Cyber (Kdo Cy) ist zuständig für die militärische Cyberabwehr.

2 Es hat folgende Aufgaben:

a.
Es führt Aufträge zu Aktionen im Cyberraum aus.
b.
Es ergreift vorsorgliche Massnahmen zum Eigenschutz der einsatzkritischen IKT-Leistungen der Armee.
c.
Es prüft vorgängig die grundsätzliche Rechtmässigkeit und die Machbarkeit von neuen Aktionen im Cyberraum.
d.
Es unterbricht den Zugang zu einsatzkritischen IKT-Leistungen der Armee.
e.
Es stellt selbstständig sicher, dass sie über die technischen Informationen verfügt, die zur Wahrnehmung der Aufgaben notwendig sind.
f.
Es wertet sichergestellte Computersysteme und Computernetzwerke aus, die für einen Angriff verwendet oder missbraucht worden sind.
g.
Es pflegt in Koordination mit den verantwortlichen Behörden des Bundes direkte Kontakte zu technischen Fachstellen im In- und Ausland.
h.
Es unterstützt den Einsatz und die Ausbildung im Bereich der militärischen Cyberabwehr.
i.
Es dokumentiert bewilligungspflichtige Massnahmen im Rahmen einer Aktion im Cyberraum.

3 Es erfüllt seine Aufgaben mit eigenen, ihm unterstellten und ihm zugewiesenen Ressourcen.

4 Die bewilligungspflichtigen Massnahmen im Rahmen einer Aktion im Cyberraum werden ausschliesslich vom Dienst für Cyber- und elektromagnetische Aktionen durchgeführt.

4 Fassung gemäss Ziff. II 9 der V vom 22. Nov. 2023, in Kraft seit 1. Jan. 2024 (AS 2023 746).

Art. 5 Zuständigkeiten der Chefin oder des Chefs der Armee

1 Die Chefin oder der Chef der Armee erteilt die Aufträge für Aktionen im Cyberraum.

2 Sie oder er legt Anträge für bewilligungspflichtige Massnahmen vorgängig der Chefin oder dem Chef des Eidgenössischen Departementes für Verteidigung, Bevölkerungsschutz und Sport (VBS) zur Prüfung vor.

3 Im Aktivdienst nach Artikel 76 Absatz 1 MG kann die Chefin oder der Chef der Armee oder die Oberbefehlshaberin oder der Oberbefehlshaber der Armee bewilligungspflichtige Massnahmen genehmigen. Sie oder er kann diese Kompetenz delegieren.

Art. 8 Aufsicht

1 Das Generalsekretariat VBS nimmt die departementsinterne Aufsicht über die militärische Cyberabwehr wahr, erstattet dem Bundesrat regelmässig Bericht und informiert die parlamentarische Oberaufsicht.

2 Die armeeinterne Aufsicht über die militärische Cyberabwehr ist der Chefin oder dem Chef der Armee unterstellt und wird durch sie oder ihn geregelt.

Art. 95 Forschung

Das Kdo Cy kann in Absprache mit den verantwortlichen Verwaltungseinheiten des VBS Vereinbarungen zur Zusammenarbeit mit Forschungsinstituten und Hochschulen treffen.

5 Fassung gemäss Ziff. II 9 der V vom 22. Nov. 2023, in Kraft seit 1. Jan. 2024 (AS 2023 746).

Art. 10 Vollzug

Die Chefin oder der Chef des VBS vollzieht die Verordnung und erlässt Weisungen über den Einsatz und die Ausbildung. Sie oder er kann den Vollzug an die Chefin oder den Chef der Armee delegieren.