Meldepflicht für Cyberangriffe auf kritische Infrastrukturen: Was Unternehmen ab 1. April 2025 beachten müssen
Ab dem 1. April 2025 gilt in der Schweiz eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Diese Regelung, die im Informationssicherheitsgesetz (ISG) verankert ist, soll die Cybersicherheit im Land stärken. Das ISG und die Cybersicherheitsverordnung (CSV) zielen darauf ab, die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen und die Reaktionsfähigkeit bei Sicherheitsvorfällen zu verbessern. In diesem Beitrag erklären wir die Hintergründe der Meldepflicht und zeigen auf, wie Sie im Falle eines Angriffs richtig handeln.
Was ist der Hintergrund der Meldepflicht?
Mit der schnellen Entwicklung des digitalen Zeitalters nehmen auch negative Phänomene wie betrügerische Anrufe, Nachrichten, E-Mails, «Abofallen» und «Phishing»-Angriffe zu. Besonders gefährlich sind zunehmend authentische «Deepfakes». Dies zeigen auch die Daten des Bundesamtes für Cybersicherheit: Im Jahr 2024 stieg die Zahl der gemeldeten Cybervorfälle deutlich an – fast doppelt so viele wie im Vorjahr. Bis Ende Oktober 2024 ging alle 8,5 Minuten eine Meldung eines Cyberangriffes ein (https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-103072.html).
Besonders gefährlich sind Cyberangriffe auf Betreiber von kritischen Infrastrukturen, die für die Aufrechterhaltung der öffentlichen Sicherheit, der Gesundheit, der Wirtschaft und des sozialen Wohlergehens einer Gesellschaft essenziell sind. Durch die Meldung von Cyberangriffen können Angriffsmuster schneller erkannt und gezielte Massnahmen ergriffen werden, um Schäden zu minimieren und weitere Angriffe zu verhindern.
Wer ist von der Meldepflicht betroffen?
Von der Meldepflicht sind Betreiber kritischer Infrastrukturen betroffen, also Einrichtungen und Systeme, die für die Gesellschaft und Wirtschaft unerlässlich sind. Das ISG definiert diese in Artikel 74b und erfasst unter anderem Behörden, Energieversorgung, Entsorgung, Finanzen, Gesundheit, Kommunikation (z.B. Cloud-Anbieter), Nahrung, öffentliche Sicherheit und Verkehr.
Das ISG betrifft auch private Unternehmen, wenn sie Aufgaben des Bundes übernehmen oder Infrastrukturen betreiben, die für die öffentliche Ordnung und die Wirtschaft von Bedeutung sind. Zudem können private Dienstleister indirekt betroffen sein, wenn sie mit den betroffenen Behörden und Organisationen zusammenarbeiten. Dazu gehören auch IT-Dienstleister wie Cloud-Anbieter, Suchmaschinen, Rechenzentren und Anbieter digitaler Sicherheitsdienste. Auch Hardware- und Softwarehersteller, die von kritischen Infrastrukturen genutzt werden, unterliegen der Meldepflicht, sofern die Hard- oder Software einen Fernwartungszugang hat, zur Steuerung und Überwachung von betriebstechnischen Systemen und Prozesses, und/oder zur Gewährleistung der öffentlichen Sicherheit eingesetzt wird.
Artikel 74c ISG sieht Ausnahmen von der Meldepflicht vor, etwa wenn ein Cyberangriff nur geringe Auswirkungen auf die öffentliche Sicherheit, Wirtschaft oder Bevölkerung hat. Unter bestimmten Bedingungen unterliegen Behörden und Organisationen unabhängig von der Ausnahme weiterhin der Meldepflicht.
Die betroffenen Behörden und Organisationen müssen zudem sicherstellen, dass die Anforderungen des ISG in ihren Vereinbarungen und Verträgen mit Dienstleistern festgehalten und regelmässig überprüft werden, weshalb auch nicht im Katalog von Artikel 74b ISG genannte Organisationen von einer Meldepflicht betroffen sein könnten. Hier ist es wichtig im konkreten Einzelfall die vertraglichen Pflichten genau zu kennen und die notwendigen Prozesse vorzusehen.
Wie und was ist zu melden?
Laut Artikel 74e ISG muss ein Cyberangriff innerhalb von 24 Stunden nach Entdeckung dem Bundesamt für Cybersicherheit (BACS) gemeldet werden. Eine Meldung ist erforderlich, wenn der Angriff die Funktionsfähigkeit der kritischen Infrastruktur gefährdet, zu einer Manipulation oder zum Abfluss von Informationen geführt hat, unentdeckt blieb oder auf einen weiteren Angriff vorbereitend ausgeführt wurde. Auch wenn der Angriff mit Erpressung, Drohung oder Nötigung verbunden ist, muss er gemeldet werden.
Die Meldung hat alle relevanten Informationen zu enthalten, einschliesslich der Art des Angriffs, seiner Auswirkungen und der ergriffenen Abwehrmassnahmen. Ausserdem sind Datum und Uhrzeit der Feststellung und des Angriffs sowie Angaben zum Angreifer anzugeben und es ist zu vermerken, ob eine Strafanzeige erstattet wurde und ob der Angriff mit Erpressung, Drohung oder Nötigung verbunden war.
Die Auswirkungen des Angriffs auf die Verfügbarkeit, Integrität und Vertraulichkeit der Informationen sowie die Funktionsfähigkeit der Organisation oder Behörde sind ebenfalls zu berichten. Wird die Meldung nicht über das vom BACS zur Verfügung gestellte Meldeformular (https://www.report.ncsc.admin.ch/de/) getätigt, müssen zusätzlich die Kontaktdaten der meldepflichtigen Behörde oder Organisation und der meldenden Person angegeben werden. Fehlen Informationen, gewährt das Gesetz eine 14-tägige Frist zur Ergänzung.
Was sind die Konsequenzen bei Nichtbeachtung?
Sanktionen bei Verstössen gegen die Meldepflicht gelten erst ab Oktober 2025. Daher bleibt nun nicht mehr viel Zeit, um intern die notwendigen Massnahmen umzusetzen, damit einerseits ein Angriff erkannt wird und im Ernstfall innert 24 die Meldung erfolgen kann.
Wenn das BACS von einer potenziellen Verletzung der Meldepflicht erfährt, wird die betroffene Behörde oder Organisation aufgefordert, die Meldepflicht innerhalb einer festgelegten Frist nachzuholen. Erfolgt keine Meldung innerhalb dieser Frist, erlässt das BACS eine Verfügung mit einer neuen Frist und einem Verweis auf die Strafdrohung. Wird auch diese Verfügung ignoriert, kann eine Geldstrafe von bis zu CHF 100’000 verhängt werden.
Handlungsempfehlungen für Unternehmen
- Prüfen Sie, ob Ihr Unternehmen der Meldepflicht untersteht
- Prüfen Sie unabhängig einer Meldepflicht die IT-Sicherheit in Ihrem Unternehmen
- Implementieren Sie die notwendigen Prozesse, um schnellstmöglich auf Cyberangriffe reagieren zu können und der Meldepflicht nachzukommen
- Richten Sie ein internes Meldeverfahren ein und schulen Sie Ihre Mitarbeiter regelmässig bezüglich IT-Sicherheit und Meldeverfahren
Fazit: Proaktiv handeln statt abwarten
Die neue Meldepflicht fördert die Früherkennung von Cyberrisiken und stärkt die Zusammenarbeit zwischen Wirtschaft und Behörden. Ihr Unternehmen profitiert von einem proaktiven Handeln bei der IT-Sicherheit, nicht nur um die Cyberangriffe frühzeitig zu erkennen und gegebenenfalls zu melden, sondern auch um generell präventive Sicherheits-Massnahmen zutreffen.
Gerne unterstützen wir Sie bei der Einrichtung des Meldeprozesses und stimmen diesen mit weiteren relevanten Meldepflichten, insbesondere aus dem Datenschutzgesetz, ab. Zudem bieten wir rechtliche Hilfe, um schnell auf allfällige Vorfälle reagieren zu können.
(01.04.2025/Benjamin Hundius und Artana Zulfiji)
Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung. Wir freuen uns auf Ihre Kontaktaufnahme.
Ihre Spezialisten: