Meldepflicht für Cyberangriffe auf kritische Infrastrukturen gilt ab 1. April 2025
Der Bundesrat setzt die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen per 1. April 2025 in Kraft. Die Betreiber:innen von kritischen Infrastrukturen werden verpflichtet, dem Bundesamt für Cybersicherheit (BACS) Cyberangriffe 24 Stunden nach deren Entdeckung zu melden. Diese Meldungen sollen es dem BACS ermöglichen, Betroffene bei der Bewältigung von Cyberangriffen zu unterstützen und Betreiber:innen kritischer Infrastrukturen frühzeitig zu warnen.
Kritische Infrastrukturen werden vermehrt Ziel von Cyberangriffen. Um der raschen Entwicklung derartiger Bedrohungen mit geeigneten Massnahmen entgegenzutreten, wird eine Meldepflicht für Cyberangriffe eingeführt. Diese tritt am 1. April 2025 in Kraft und verpflichtet Betreiber kritischer Infrastrukturen, Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung an BACS zu melden. Damit passt sich die Schweiz dem EU-Standard an, nach welchem gestützt auf die NIS-Richtlinie seit 2018 eine entsprechende Meldepflicht für Cybervorfälle besteht.
Die Meldepflicht für Cyberangriffe ist im Informationssicherheitsgesetz (ISG) verankert. Der Bundesrat hat am 7. März 2025 die entsprechenden Änderungen des ISG per 1. April 2025 in Kraft gesetzt. Zudem wurde die Cybersicherheitsverordnung (CSV) verabschiedet, die die Umsetzung der Meldepflicht spezifiziert. Die Meldepflicht betrifft Organisationen, die «wesentliche gesellschaftliche Funktionen» sicherstellen. Zu den betroffenen Sektoren zählen Betreiber kritischer Infrastrukturen wie Energie, Gesundheitswesen, Finanzen, Telekommunikation und Transport (Art. 74b ISG). Ebenso fallen Anbieter von Cloud-Diensten, Suchmaschinen und sicherheitskritischer Hard- und Software unter die Regelung, sofern Angriffe ihre Funktionsfähigkeit erheblich beeinträchtigen könnten (Art. 74d ISG). In der CSV hat der Bundesrat zahlreiche Ausnahmen von der Meldepflicht für Cyberangriffe auf kritische Infrastrukturen definiert, unter anderem für kleinere Unternehmen, Behörden mit geringer Einwohnerzahl und Organisationen unterhalb von branchenspezifischen Schwellenwerten.
Die Meldung eines Cyberangriffs muss innerhalb von 24 Stunden nach dessen Entdeckung erfolgen. Das BACS stellt hierfür auf seiner Plattform ein
Meldeformular zur Verfügung. Organisationen ohne Zugriff auf diese Plattform können ein E-Mail-Formular nutzen. Sollten bei der Erstmeldung nicht alle Informationen verfügbar sein, besteht eine Frist von 14 Tagen, um die fehlenden Angaben nachzureichen. Bei Nichtbeachtung der Meldepflicht sieht das ISG Bussen vor. Um den betroffenen Organisationen Zeit zur Anpassung an die neuen Anforderungen zu geben, treten die gesetzlichen Grundlagen für diese Sanktionen erst am 1. Oktober 2025 in Kraft.