LAWNEWS

Internet / ICT-Law

QR Code

Cybersicherheit: Meldepflicht für Cyberangriffe auf kritische Infrastrukturen

Meldepflicht gilt ab 01.04.2025

Datum:
13.03.2025
Rubrik:
Gesetzgebung
Rechtsgebiet:
ICT-Law / Informations- und Kommunikationstechnologie, Internetrecht
Thema:
Cybersicherheit kritischer Infrastrukturen: Meldepflicht
Stichworte:
Cyberangriff, Cybersicherheit, Cybersicherheitsverordnung, Hacking, Informationssicherheit, Internationale Standards, kritische Infrastrukturen, Meldepflicht, Meldeprozess, Nationale Standards
Autor:
LawMedia Redaktion
Verlag:
LAWMEDIA AG

Ab dem 01.04.2025 gilt eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Dies hat der Bundesrat (BR) am 07.03.2025 beschlossen, indem er eine Anpassung des Bundesgesetzes über die Informationssicherheit beim Bund (ISG) in Kraft setzte. Ziel ist es, den Informationsaustausch zu stärken und drohenden Gefahren durch Cybervorfälle effizienter zu begegnen.

Pflicht zur Meldung binnen 24 Stunden

Betreiberinnen und Betreiber kritischer Infrastrukturen müssen künftig Cyberangriffe spätestens 24 Stunden nach deren Entdeckung an das neu geschaffene Bundesamt für Cybersicherheit (BACS) melden. Zu den betroffenen Infrastrukturen zählen unter anderem die Energieversorgung, die Wasserversorgung, Transportunternehmen sowie öffentliche Verwaltungen auf kantonaler und kommunaler Ebene.

Ein meldepflichtiger Cyberangriff liegt vor, wenn die Funktionsfähigkeit der Infrastruktur gefährdet ist, es zu einem Datenabfluss oder einer Manipulation gekommen ist oder wenn Erpressung, Drohung oder Nötigung im Spiel sind. Die Nichtbefolgung der Meldepflicht soll ab dem 01.10.2025 mit Bussen sanktioniert werden. Für die Übergangszeit von sechs Monaten lehnt sich der Bundesrat an das Prinzip an, den Organisationen Zeit zur Umstellung zu gewähren.

Vereinfachter Meldeprozess

Das BACS bietet ein elektronisches Meldeformular auf einer bereits existierenden Plattform, die den Austausch mit Betreiberinnen und Betreibern kritischer Infrastrukturen unterstützt. Alternativ können Meldungen mittels E-Mail-Formular abgegeben werden. Sollten während der ersten 24 Stunden nach Entdeckung nicht alle relevanten Informationen vollständig vorliegen, können Organisationen ihre Meldung innerhalb von 14 Tagen ergänzen.

Präzisierungen durch die Cybersicherheitsverordnung

Die ebenfalls am 1. April 2025 in Kraft tretende Cybersicherheitsverordnung (CSV) regelt Details zur neuen Meldepflicht, einschliesslich möglicher Ausnahmen und der Harmonisierung mit anderen Meldepflichten, wie etwa datenschutzrechtlichen Vorgaben. Die CSV gewährleistet zudem, dass Meldungen auf Wunsch an weitere betroffene Behörden, wie die Finma oder den Datenschutzbeauftragten, weitergeleitet werden können.

Nationale und internationale Standards

Mit der Einführung dieser ersten sektorübergreifenden Regulierung rückt die Schweiz näher an internationale Standards heran. Seit 2018 besteht in der EU eine Meldepflicht für Cybervorfälle gemäss der NIS-Richtlinie. Die Schweizer Regelung baut auf diesem bewährten Modell auf und zeigt breite Unterstützung. Dies wurde bereits während der Vernehmlassung zur CSV deutlich, die betonte, dass die Meldepflicht einfach und praxisorientiert gestaltet ist.

Fazit

Die Meldepflicht bringt nicht nur die Cybersicherheit der Schweiz voran, sondern stellt auch eine grundlegende Anpassung an die dynamische Bedrohungslage im digitalen Raum dar. Die Einführung dieses Systems ist ein bedeutender Schritt, um Betreiber kritischer Infrastrukturen effektiver zu schützen und die Resilienz im Umgang mit Cyberangriffen zu stärken.

Dokumente

Verordnung über die Cybersicherheit

Quelle: admin.ch

Verordnung über die Cybersicherheit: Erläuterungen

Quelle: admin.ch

Bericht über die Ergebnisse der Vernehmlassung

Quelle: admin.ch

Verordnung über die Anpassung von Gesetzen infolge der Änderung der Bezeichnung des Nationalen Zentrums für Cybersicherheit (NCSC) in Bundesamt für Cybersicherheit (BACS)

Quelle: admin.ch

Quelle

LawMedia Redaktionsteam

Vorbehalt / Disclaimer

Diese allgemeine Information erfolgt ohne jede Gewähr und ersetzt eine Individualberatung im konkreten Einzelfall nicht. Jede Handlung, die der Leser bzw. Nutzer aufgrund der vorstehenden allgemeinen Information vornimmt, geschieht von ihm ausschliesslich in eigenem Namen, auf eigene Rechnung und auf eigenes Risiko.

Urheber- und Verlagsrechte

Alle in dieser Web-Information veröffentlichten Beiträge sind urheberrechtlich geschützt. Das gilt auch für die veröffentlichten Gerichtsentscheide und Leitsätze, soweit sie von den Autoren oder den Redaktoren erarbeitet oder redigiert worden sind. Der Rechtschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen. Kein Teil dieser Web-Information darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – sämtliche technische und digitale Verfahren – reproduziert werden.