Neue Meldepflicht bei Cyber-Vorfällen für kritische Infrastrukturen

Welche Organisationen sind betroffen?

Der Bundesrat führte die Meldepflicht im Rahmen des Informationssicherheitsgesetzes (ISG) ein, um die nationale Cyberabwehr zu stärken und die Zusammenarbeit zwischen Unternehmen und Behörden zu verbessern.

Das ISG legt fest, welche Betreiberinnen kritischer Infrastrukturen meldepflichtig sind. Zur Meldung verpflichtet sind Behörden und Organisationen wie beispielsweise Energie- oder Trinkwasserversorgung, Transportunternehmen sowie kantonale und kommunale Verwaltungen.

• Alle Unternehmen mit Sitz in der Schweiz, die in den vom Gesetz und der Verordnung festgelegten Geltungsbereich fallen, unterstehen der Meldepflicht.
• Kleinunternehmen mit weniger als 50 Mitarbeitenden und unter zehn Millionen Franken Jahresumsatz sind grundsätzlich von der Pflicht befreit, sie dürfen jedoch freiwillig melden.

Ziel der Meldepflicht

Ziel der neuen Regelung ist es, relevante Informationen rasch zu sammeln, Schwachstellen frühzeitig zu erkennen und koordiniert auf Vorfälle reagieren zu können. Das Bundesamt für Cybersicherheit kann auf Basis der Meldungen Empfehlungen abgeben, andere Institutionen warnen oder gezielt technische Unterstützung leisten. Damit wird nicht nur die einzelne Organisation geschützt, sondern das gesamte System kritischer Infrastrukturen.

Welche Vorfälle müssen gemeldet werden?

Gemeldet werden müssen Cybervorfälle,

• die zu einem Ausfall oder einer Beeinträchtigung des Dienstes führen,
• bei denen Daten gestohlen oder manipuliert wurden,
• wenn es zu einer Erpressung oder Bedrohung kam oder
• wenn Angriffe länger unbemerkt geblieben sind.

Beispiele sind Ransomware-Angriffe, unautorisierte Zugriffe oder die Installation von Schadsoftware.

Wie kann eine betroffene Organisation einen Vorfall melden?

Das BACS stellt ein online Meldeformular bereit. Alternativ können Organisationen ihre Meldungen über ein E-Mail-Formular einreichen, das auf der Website des BACS verfügbar ist.

Wenn Meldende ausdrücklich angeben, dass ihre Meldung an Drittbehörden wie den EDÖB, FINMA, BSV oder SEPOS übermittelt werden soll, erfolgt eine entsprechende Weiterleitung. Dadurch können mehrere Meldepflichten gegenüber unterschiedlichen Stellen zentral über ein einziges Formular erfüllt werden.

Fristen und Folgen bei Verstössen

Die Meldung muss innerhalb eines Tages nach Entdeckung des Cyber-Vorfalls erfolgen. Ist der Sachverhalt zu diesem Zeitpunkt noch unklar, können ergänzende Informationen innerhalb von 14 Tagen nachgereicht werden.

Bis zum 30. September 2025 gilt eine Übergangsphase, in der noch keine Bussen ausgesprochen werden. Ab dem 1. Oktober 2025 drohen jedoch Geldstrafen von bis zu 100.000 CHF, wenn Unternehmen ihrer Pflicht nicht nachkommen.

Tipps für Organisationen der kritischen Infrastruktur

Die neue Meldepflicht ist mehr als ein bürokratischer Akt. Sie ist ein Instrument für mehr Transparenz, Sicherheit und Vertrauen im digitalen Raum. In einer Zeit, in der Cyberrisiken weiter zunehmen, ist diese Entwicklung ein konsequenter und notwendiger Schritt.

Für Betreiber kritischer Infrastrukturen bedeutet dies vor allem eines: Sie müssen ihre internen Prozesse jetzt anpassen, idealer Weise in der Form eines Incident-Reportings-Systems bzw. umfassender in einem Incident-Management-System:

• Frühzeitige Erkennung von Vorfällen: Sind technische Systeme (z. B. Monitoring) eingerichtet, die Vorfälle rechtzeitig erkennen? Gibt es klare Meldekriterien?
• Verantwortung klären: Wer ist intern zuständig für die Bewertung und Weiterleitung von Meldungen an das BACS? Gibt es Stellvertretungsregelungen?
• Meldewege kommunizieren: Kennen alle relevanten Mitarbeiter die internen Ansprechpartner und wissen, wie und wann sie Vorfälle melden müssen?
• Strukturierte Aufarbeitung: Was muss verbessert werden? Welche Abhilfemaßnahmen wurden getroffen?

Diese Fragen sollten nicht erst beantwortet werden, wenn ein Vorfall bereits eingetreten ist.