Ab dem 01.04.2025 gilt eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Dies hat der Bundesrat (BR) am 07.03.2025 beschlossen, indem er eine Anpassung des Bundesgesetzes über die Informationssicherheit beim Bund (ISG) in Kraft setzte. Ziel ist es, den Informationsaustausch zu stärken und drohenden Gefahren durch Cybervorfälle effizienter zu begegnen.
Pflicht zur Meldung binnen 24 Stunden
Betreiberinnen und Betreiber kritischer Infrastrukturen müssen künftig Cyberangriffe spätestens 24 Stunden nach deren Entdeckung an das neu geschaffene Bundesamt für Cybersicherheit (BACS) melden. Zu den betroffenen Infrastrukturen zählen unter anderem die Energieversorgung, die Wasserversorgung, Transportunternehmen sowie öffentliche Verwaltungen auf kantonaler und kommunaler Ebene.
Ein meldepflichtiger Cyberangriff liegt vor, wenn die Funktionsfähigkeit der Infrastruktur gefährdet ist, es zu einem Datenabfluss oder einer Manipulation gekommen ist oder wenn Erpressung, Drohung oder Nötigung im Spiel sind. Die Nichtbefolgung der Meldepflicht soll ab dem 01.10.2025 mit Bussen sanktioniert werden. Für die Übergangszeit von sechs Monaten lehnt sich der Bundesrat an das Prinzip an, den Organisationen Zeit zur Umstellung zu gewähren.
Vereinfachter Meldeprozess
Das BACS bietet ein elektronisches Meldeformular auf einer bereits existierenden Plattform, die den Austausch mit Betreiberinnen und Betreibern kritischer Infrastrukturen unterstützt. Alternativ können Meldungen mittels E-Mail-Formular abgegeben werden. Sollten während der ersten 24 Stunden nach Entdeckung nicht alle relevanten Informationen vollständig vorliegen, können Organisationen ihre Meldung innerhalb von 14 Tagen ergänzen.
Präzisierungen durch die Cybersicherheitsverordnung
Die ebenfalls am 1. April 2025 in Kraft tretende Cybersicherheitsverordnung (CSV) regelt Details zur neuen Meldepflicht, einschliesslich möglicher Ausnahmen und der Harmonisierung mit anderen Meldepflichten, wie etwa datenschutzrechtlichen Vorgaben. Die CSV gewährleistet zudem, dass Meldungen auf Wunsch an weitere betroffene Behörden, wie die Finma oder den Datenschutzbeauftragten, weitergeleitet werden können.
Nationale und internationale Standards
Mit der Einführung dieser ersten sektorübergreifenden Regulierung rückt die Schweiz näher an internationale Standards heran. Seit 2018 besteht in der EU eine Meldepflicht für Cybervorfälle gemäss der NIS-Richtlinie. Die Schweizer Regelung baut auf diesem bewährten Modell auf und zeigt breite Unterstützung. Dies wurde bereits während der Vernehmlassung zur CSV deutlich, die betonte, dass die Meldepflicht einfach und praxisorientiert gestaltet ist.
Fazit
Die Meldepflicht bringt nicht nur die Cybersicherheit der Schweiz voran, sondern stellt auch eine grundlegende Anpassung an die dynamische Bedrohungslage im digitalen Raum dar. Die Einführung dieses Systems ist ein bedeutender Schritt, um Betreiber kritischer Infrastrukturen effektiver zu schützen und die Resilienz im Umgang mit Cyberangriffen zu stärken.
Dokumente
Verordnung über die Cybersicherheit
Quelle: admin.ch
Verordnung über die Cybersicherheit: Erläuterungen
Quelle: admin.ch
Bericht über die Ergebnisse der Vernehmlassung
Quelle: admin.ch
Verordnung über die Anpassung von Gesetzen infolge der Änderung der Bezeichnung des Nationalen Zentrums für Cybersicherheit (NCSC) in Bundesamt für Cybersicherheit (BACS)
Quelle: admin.ch
Weiterführende Informationen
Cyberattacken / Cyberangriffe / Cybersicherheit
- Cybersicherheitsverordnung (CSV): Bundesrat eröffnet Vernehmlassung
- Cyberangriffe gegen kritische Infrastrukturen: BR ist für eine Meldepflicht
- Cyberattacken: auch Schweizer KMU im Fokus
- FINMA veröffentlicht Aufsichtsmitteilung zu Cyberrisiken
MELANI / Nationales Zentrum für Cybersicherheit (NCSC)
- Aus MELANI wird das neue „Nationale Zentrum für Cybersicherheit“ (NCSC)
- Das Nationale Zentrum für Cybersicherheit (NCSC) soll ein Bundesamt werden
- Cyberrisiken: Bundesrat startet Kompetenzzentrum für Cyber-Sicherheit
ICT Law
Quelle
LawMedia Redaktionsteam