Zur Navigation zu den Quicklinks Zur Suche Zum Inhalt

Meldepflicht für Cyberangriffe auf kritische Infrastrukturen

Michael Schäublin
·
Tags:

Cybersecurity: Neue gesetzliche Anforderungen im Fokus  – Halbzeit der Übergangsfrist

Seit dem 1. April 2025 gilt in der Schweiz eine neue gesetzliche Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Unternehmen und Organisationen, die unter diese Regelung fallen, müssen sicherstellen, dass sie innerhalb von 24 Stunden nach Entdeckung eines Vorfalls eine Meldung an das Bundesamt für Cybersicherheit (BACS) übermitteln. Noch bis Oktober 2025 gilt eine Übergangsfrist – ein guter Zeitpunkt, um bestehende Prozesse zu überprüfen und anzupassen.

Wer ist von der Meldepflicht betroffen?

Ob Ihr Unternehmen der Meldepflicht unterliegt, ergibt sich aus Artikel 74b des Bundesgesetzes über die Informationssicherheit. Ausnahmen sind in Artikel 74c geregelt und werden durch Artikel 12 der Cybersicherheitsverordnung konkretisiert. Besonders betroffen sind Unternehmen mit kritischer Infrastrukturen in Bereichen wie Energie, Gesundheit, Telekommunikation, Transport oder Finanzwesen.

Was muss gemeldet werden?

Nicht jeder Vorfall ist meldepflichtig. Die Kriterien für meldepflichtige Cyberangriffe sind ebenfalls in Artikel 74d des Gesetzes definiert. Dazu zählen unter anderem:

  • Angriffe mit erheblichem Einfluss auf die Verfügbarkeit oder Integrität von Systemen
  • Vorfälle mit potenzieller Auswirkung auf die öffentliche Sicherheit
  • Kompromittierung sensibler Daten mit systemischer Relevanz

Wie erfolgt die Meldung?

Die erste Meldung muss innerhalb von 24 Stunden nach Entdeckung des Vorfalls erfolgen. Der Übermittlungsweg ist nicht vorgeschrieben – möglich sind E-Mail, Telefon oder das Online-Formular des BACS unter report.ncsc.admin.ch. Für Mitglieder des Cyber Security Hubs steht ein erweitertes Meldeformular zur Verfügung. Der Bund hat ein Erklärvideo erstellt, welches auf der BACS Website sowie auf Youtube eingesehen werden kann.

Parallelen zum Datenschutzgesetz – Synergien nutzen

Mit dem Inkrafttreten des revidierten Datenschutzgesetzes im September 2023 mussten viele Unternehmen bereits Prozesse zur Meldung von Datenschutzverstössen etablieren. Diese Strukturen können nun genutzt und erweitert werden, um auch die neue Meldepflicht effizient abzudecken.

Handlungsempfehlung: Drei Schritte zur Umsetzung

  1. Rechtslage prüfen: Klären Sie, ob Ihr Unternehmen unter die Meldepflicht fällt. Ziehen Sie bei Unsicherheiten juristische Beratung hinzu.
  2. Prozesse anpassen: Integrieren Sie die Meldepflicht in bestehende Notfall- und Incident-Response-Pläne.
  3. Sensibilisierung: Schulen Sie Mitarbeitende und – falls relevant – externe Partner:innen im Umgang mit meldepflichtigen Vorfällen.

Fazit

Die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen ist ein bedeutender Schritt zur Stärkung der nationalen Cybersicherheit. Unternehmen, die frühzeitig handeln, minimieren nicht nur rechtliche Risiken, sondern stärken auch ihre Resilienz gegenüber digitalen Bedrohungen.

Lesen sie hier die Medienmitteilung des Bundes zum Thema.  
Weitere Informationen zur Meldepflicht finden Sie auf der Website des Bundesamts für Cybersicherheit (BACS).

Sie möchten Ihre Cyberabwehr stärken? 👉 Erfahren Sie mehr über unser Security Operations Center-Angebot