Meldepflicht soll ab dem 1. April kritische Infrastrukturen besser schützen
Das Wichtigste in Kürze
- Ab 1. April 2025 müssen Betreiber kritischer Infrastrukturen (Hochschulen, Behörden, Energieversorger, Trinkwasser, Sicherheit und Rettung, Hard-/Software-Hersteller) Cyberangriffe ans BACS melden
- Meldefenster: 24 Stunden, Vervollständigung innerhalb 14 Tagen. Ab 1. Oktober 2025 drohen Bussen bei Verstössen
- KMU mit Produkten in die EU: zusätzliche Meldepflicht durch den EU Cyber Resilience Act
Hochschulen, Behörden auf allen Staatsebenen, Unternehmen in den Bereichen der Trinkwasserversorgung, der Sicherheit und Rettung, Energieversorger, Hersteller von Soft- und Hardware für kritische Infrastrukturen sowie weitere wichtige Unternehmen und Organisationen sind von der Meldepflicht betroffen.
«Diese Meldungen werden dem BACS ermöglichen, Betroffene bei der Bewältigung von Cyberangriffen zu unterstützen und Betreiberinnen kritischer Infrastrukturen frühzeitig zu warnen», schreibt der Bundesrat. Darum hat das Bundesamt den Meldeprozess so einfach wie möglich gemacht: Wer Zugriff auf den Cyber Security Hub, die bestehende Plattform für den Informationsaustausch mit Betreiberinnen und Betreibern kritischer Infrastrukturen hat, nutzt das angebotene Meldeformular. Alternativ sind auch Meldungen per E-Mail-Formular möglich, welches auf der Website des BACS zur Verfügung stehen wird.
Bussen drohen ab dem 1. Oktober 2025
Ein Cyberangriff muss unter anderem gemeldet werden, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat oder mit Erpressung, Drohung oder Nötigung verbunden ist. Als Beispiele nennt das BACS:
- Erfolgreich im System installierte Schadsoftware
- Verschlüsselungstrojaner
- Angriffe auf die Verfügbarkeit
- Unerlaubtes Eindringen in Datenverarbeitungssysteme durch das Ausnutzen von Schwachstellen.
Oft stehen innerhalb von 24 Stunden nicht alle Informationen zur Verfügung. Darum kann die Meldung innerhalb von 14 Tagen vervollständigt werden. Wer einen Angriff nicht meldet, riskiert nach einer Übergangsfrist von sechs Monaten eine Busse – die gesetzlichen Grundlagen werden derzeit erarbeitet.
«Die Einführung der Meldepflicht als erste sektorübergreifende Regulierung ist ein Meilenstein für die Cybersicherheit der Schweiz», ist sich der Bundesrat sicher. Die Stärkung des Informationsaustausches sei entscheidend, um der raschen Entwicklung der Cyberbedrohungen mit geeigneten Massnahmen entgegenzutreten.
Auch freiwillige Meldungen helfen
Die Einführung der Meldepflicht für Cyberangriffe in der Schweiz entspricht internationalen Standards. Seit 2018 gilt in allen EU-Mitgliedstaaten eine Meldepflicht für Cybervorfälle gemäss der NIS-Richtlinie.
Generell wird allen Unternehmen empfohlen, einen Cyberangriff zu melden. Für Organisationen, die keine kritische Infrastruktur betreiben, ist dies freiwillig. Sie tragen aber mit einer Meldung zur allgemeinen Stärkung der Cybersicherheit in der Schweiz bei, indem das BACS Trends rascher erkennt und gezielter reagieren kann.
Die Schweizer Wirtschaft darf es sich sowieso nicht bequem machen. Auf die KMU warten neue Compliance-Anforderungen, ausgelöst durch den Cyber Resilience Act (CRA) der EU, der seit Ende 2024 gültig ist. Nach einer Übergangsfrist besteht eine Meldepflicht für Unternehmen, die «Produkte mit digitalen Elementen» in die EU exportieren. Sie müssen Angriffe auf ihre Produkte und entsprechende Sicherheitslücken melden, ausserdem verschärften Dokumentationspflichten bei der Entwicklung ihrer Produkte folgen.
Weitere Informationen zur Meldepflicht für Angriffe auf kritische Infrastrukturen
