Cyberangriffe, Meldepflicht ab 1. April 2025

Beitrag vom: 10.03.2025

Die Bundesrat hat das Inkrafttreten der Pflicht zur Meldung von Cyberangriffen für Betreiber kritischer Infrastrukturen per 1. April 2025 formalisiert. Ziel dieser Massnahme ist es, die Cybersicherheit in der Schweiz zu stärken und die koordinierte Reaktion auf Cyberangriffe zu verbessern.

Cyberangriffe | Meldepflicht und Fristen

Gemäss der neuen Verordnung sind Betreiber kritischer Infrastrukturen verpflichtet, jeden Cyberangriff innerhalb von 24 Stunden nach Entdeckung stark dem Bundesamt für Cybersicherheit (BACS) zu melden. Diese Pflicht gilt für Schlüsselsektoren wie die Energie- und Wasserversorgung, den Verkehr sowie die kantonalen und kommunalen Verwaltungen.

Eine frühzeitige Meldung ermöglicht es dem BABS, betroffene Organisationen zu unterstützen und andere Betreiber kritischer Infrastrukturen zu alarmieren. Ein Cyberangriff muss gemeldet werden, wenn:

• den Betrieb der betroffenen kritischen Infrastruktur bedroht;

Führte zu einem Datenleck oder einer Manipulation;Es handelt sich um Straftaten der Erpressung, Bedrohung oder Nötigung.

Für den Fall der Nichtmeldung sieht das Gesetz Bußgelder vor, die ab dem 1. Oktober 2025 in Kraft treten. In den ersten sechs Monaten besteht zwar eine Meldepflicht, aber es gibt keine Strafen für Versäumnisse.

Cyberangriffe | Vereinfachtes Meldeformular und vereinfachte Meldeverfahren

Um es den Organisationen zu erleichtern, hat das FOCS auf seiner bestehenden Plattform ein Online-Meldeformular eingerichtet. Alternativ können Meldungen auch per E-Mail über ein Formular eingereicht werden, das von der offiziellen FOCS-Website heruntergeladen werden kann.

Wenn es innerhalb der ersten 24 Stunden nicht möglich ist, alle notwendigen Informationen bereitzustellen, kann der Bericht ausgefüllt werden innerhalb von 14 Tagen.

Die Cybersicherheitsverordnung und Ausnahmen

Gleichzeitig hat der Bundesrat ebenfalls per 1. April 2025 die die Cybersicherheitsverordnung (VV) verabschiedet und in Kraft gesetzt, welche die Vollzugsaspekte der Meldepflicht regelt, einschliesslich allfälliger Ausnahmen nach Artikel 74c des Informationssicherheitsgesetzes (UWG).

Die Verordnung regelt auch die Verfahren für Koordination mit anderen Meldepflichten, z.B. im Bereich data protection, die es Organisationen ermöglicht, Informationen in einem einzigen Verfahren an die zuständigen Behörden weiterzuleiten.

Ein Meilenstein für die Cybersicherheit in der Schweiz

Die Einführung der Meldepflicht für Cyberangriffe ist ein Schritt in Richtung entscheidend für die digitale Sicherheit der Schweiz, die sich an internationalen Standards orientiert. Bereits 2018 haben die EU-Mitgliedstaaten eine ähnliche Pflicht für Cybervorfälle gemäss NIS-Richtlinie verabschiedet.

Die Stärkung des Informationsaustauschs zwischen kritischen Infrastrukturen wird unerlässlich sein, um den wachsenden Cyberbedrohungen zu begegnen und die Widerstandsfähigkeit des Schweizer Digitalsystems zu verbessern.