Mit der Verordnung über die Cybersicherheit (Cybersicherheitsverordnung – CSV) verfügt die Schweiz seit dem 1. April 2025 über ein zentrales Regelwerk zur operativen Umsetzung des revidierten Informationssicherheitsgesetzes (ISG). Wir ordnen die CSV im Schweizer Informationssicherheitsregime ein, zeigen ihren Anwendungsbereich auf und erläutern, welche Pflichten und Erwartungen sich für betroffene Organisationen ergeben.
Verhältnis von Informationssicherheitsgesetz und Cybersicherheitsverordnung
Die CSV ist eine Ausführungsverordnung zum ISG. Sie konkretisiert insbesondere die Meldepflicht bei Cyberangriffen, definiert die Aufgaben des Bundesamts für Cybersicherheit (BACS), stärkt die Prävention sowie die Bewältigung von Cyberbedrohungen und regelt den nationalen Informationsaustausch zur Stärkung der Cyberresilienz.
Kurz gesagt: Während das ISG den rechtlichen Rahmen vorgibt, beschreibt die CSV, wie diese Vorgaben in der Praxis umzusetzen sind.
Der Volltext der CSV ist online verfügbar.
Für wen gilt die Cybersicherheitsverordnung?
Die CSV gilt nicht für alle Unternehmen pauschal, sondern gezielt für Organisationen mit besonderer Relevanz für Staat und Gesellschaft.
Öffentliche Stellen
Die CSV gilt für öffentliche Stellen auf allen staatlichen Ebenen, sofern sie Aufgaben wahrnehmen, die in den Anwendungsbereich des Informationssicherheitsgesetzes fallen. Dazu zählen insbesondere Bundesbehörden, kantonale und kommunale Behörden sowie interkantonale und interkommunale Organisationen.
Für diese Stellen ist die CSV Teil des verbindlichen Rahmens für den Umgang mit Cyberrisiken und Cybervorfällen.
Betreiberinnen und Betreiber kritischer Infrastrukturen
Ein besonderer Fokus der CSV liegt auf Betreibern kritischer Infrastrukturen. Darunter fallen insbesondere Organisationen aus den Bereichen Energieversorgung und ‑steuerung, Trinkwasserversorgung, Abwasser‑ und Abfallentsorgung, Gesundheitswesen, Finanzmarktinfrastrukturen sowie Sicherheit und Rettung.
Für diese Akteure ist die CSV vor allem aufgrund der gesetzlichen Meldepflicht bei Cyberangriffen von zentraler Bedeutung, da Cybervorfälle in diesen Bereichen erhebliche Auswirkungen auf die öffentliche Sicherheit, die Versorgung der Bevölkerung oder das Funktionieren der Wirtschaft haben können.
Private Organisationen mit besonderer Bedeutung
Auch private Unternehmen können in den Anwendungsbereich der CSV fallen. Dies ist insbesondere dann der Fall, wenn sie öffentliche Aufgaben wahrnehmen, kritische Infrastrukturen unterstützen oder Hard‑ oder Software bereitstellen, die für den Betrieb kritischer Infrastrukturen wesentlich ist.
Abhängig von Grösse, Rolle und Risikoprofil der Organisation können jedoch Ausnahmen von der Meldepflicht gelten. Solche Ausnahmen betreffen insbesondere sehr kleine Organisationen, sofern sie definierte gesetzliche Schwellenwerte nicht überschreiten.
Was regelt die Cybersicherheitsverordnung konkret?
Die CSV macht die Vorgaben des ISG praktisch anwendbar. Sie regelt insbesondere den Umgang mit Cybervorfällen, die Meldepflicht sowie die Zusammenarbeit mit dem Bundesamt für Cybersicherheit. Für Organisationen steht dabei im Vordergrund, was im Ernstfall zu tun ist.
Nationale Cyberstrategie (NCS)
Die Cybersicherheitsverordnung verankert die Nationale Cyberstrategie als strategischen Rahmen für die Cybersicherheit in der Schweiz. Diese Strategie definiert, wie Staat, Wirtschaft und Gesellschaft gemeinsam mit Cyberrisiken umgehen sollen.
Konkret umfasst die Nationale Cyberstrategie unter anderem die Prävention von Cyberrisiken, die Früherkennung von Cyberbedrohungen, den Umgang mit Cybervorfällen und Krisensituationen sowie Massnahmen zur Stärkung der Resilienz von Staat, Wirtschaft und Gesellschaft. Zudem regelt sie die internationale Zusammenarbeit, da Cyberbedrohungen in der Regel grenzüberschreitend sind.
Die Nationale Cyberstrategie wird vom BACS erarbeitet und laufend weiterentwickelt. Dabei werden Kantone, Wirtschaft, Wissenschaft und Betreiber kritischer Infrastrukturen einbezogen. Für Unternehmen bedeutet dies: Die nationale Cyberstrategie ist kein rein staatliches Konzept, sondern berücksichtigt auch die Perspektiven und Bedürfnisse der Praxis.
Aufgaben des Bundesamts für Cybersicherheit (BACS)
Die CSV definiert das BACS als zentrale nationale Anlauf‑ und Koordinationsstelle für Cybersicherheit. Das BACS übernimmt dabei nicht nur strategische, sondern auch konkrete operative Aufgaben.
So betreibt das BACS ein nationales Computer Security Incident Response Team (CSIRT), das bei Cybervorfällen unterstützt. Es analysiert technische Details von Cyberangriffen und Cyberbedrohungen, berät betroffene Organisationen und unterstützt sie bei der Bewältigung von Vorfällen. Bei grossen oder besonders kritischen Ereignissen kann das BACS seine Unterstützung priorisieren, um dort zu helfen, wo die Auswirkungen am gravierendsten sind.
Darüber hinaus ist das BACS für die koordinierte Offenlegung von Schwachstellen verantwortlich. Ziel ist es, Sicherheitslücken in Hard‑ und Software strukturiert und verantwortungsvoll zu behandeln, bevor sie grossflächig ausgenutzt werden können.
Für Geschäftsführung und IT‑Leitung bedeutet dies: Das BACS ist nicht nur eine Aufsichts‑, sondern auch eine Unterstützungsstelle, mit der im Ernstfall aktiv zusammengearbeitet werden kann.
Informationsaustausch und Warnmechanismen
Ein zentrales Element der CSV ist der strukturierte Informationsaustausch. Die CSV regelt, wie Informationen über Cyberbedrohungen und ‑vorfälle zwischen dem BACS und verschiedenen Akteuren ausgetauscht werden dürfen.
Dieser Austausch findet insbesondere zwischen dem BACS und Behörden auf Bundes‑, Kantons‑ und Gemeindeebene, mit Betreibern kritischer Infrastrukturen sowie – bei konkreten Bedrohungslagen – auch mit privaten Organisationen statt.
In akuten Fällen kann das BACS zusätzlich technische Massnahmen ergreifen, etwa Domain‑Halterabfragen, um potenziell betroffene Organisationen rasch zu identifizieren und zu warnen. Ziel ist es, Schäden frühzeitig zu begrenzen und Folgeangriffe zu verhindern.
Meldepflicht bei Cyberangriffen
Der für die Praxis wichtigste Teil der CSV ist die Meldepflicht bei Cybervorfällen. Sie betrifft insbesondere Betreiberinnen und Betreiber kritischer Infrastrukturen.
Cyberangriffe auf kritische Infrastrukturen müssen grundsätzlich innerhalb von 24 Stunden nach ihrer Entdeckung dem Bundesamt für Cybersicherheit gemeldet werden. Die CSV legt dabei konkret fest, welche Arten von Vorfällen meldepflichtig sind, welche Informationen übermittelt werden müssen und wie die Meldung erfolgt, beispielsweise über den Cyber Security Hub des BACS.
Ziel dieser Meldepflicht ist ausdrücklich nicht die Sanktionierung von Organisationen. Vielmehr soll sie dem Staat eine bessere Lageübersicht verschaffen, eine gezielte Unterstützung der Betroffenen ermöglichen und dazu beitragen, andere Organisationen frühzeitig zu warnen.
Tipp: Eine vertiefte Einordnung und praktische Hinweise zur Umsetzung finden sich in unserem Beitrag zur Meldepflicht bei Cyber‑Vorfällen.
Was bedeutet die CSV für die Praxis?
Für betroffene Organisationen ergeben sich insbesondere folgende Handlungsfelder:
- Klärung der Betroffenheit (kritische Infrastruktur ja/nein?)
- Definition interner Melde‑ und Entscheidungsprozesse
- Incident‑Response‑Strukturen, die eine 24‑Stunden‑Meldung ermöglichen
- Governance und Verantwortlichkeiten auf Management‑Ebene
- Schnittstelle zum BACS (Kommunikation, Meldungen, Unterstützung)
Die CSV macht deutlich: Cybersicherheit ist kein reines IT‑Thema, sondern eine Governance‑ und Führungsaufgabe.
Fazit
Mit der CSV schafft die Schweiz einen klaren, operativen Rahmen für den Umgang mit Cyberrisiken auf nationaler Ebene.
Sie stärkt die Rolle des BACS, verbessert den Informationsaustausch und sorgt für mehr Transparenz bei Cyberangriffen auf kritische Infrastrukturen.
Für Organisationen bedeutet dies: Rechtzeitige Vorbereitung, klare Prozesse und gelebte Cyber‑Governance sind entscheidend.