Meldepflicht für Cyberangriffe auf kritische Infrastrukturen gilt ab 1. April
An seiner Sitzung vom 7. März 2025 hat der Bundesrat die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen per 1. April in Kraft gesetzt. Die Betreiberinnen und Betreiber von kritischen Infrastrukturen werden verpflichtet, dem Bundesamt für Cybersicherheit (BACS) Cyberangriffe 24 Stunden nach deren Entdeckung zu melden. Diese Meldungen werden dem BACS ermöglichen, Betroffene bei der Bewältigung von Cyberangriffen zu unterstützen und Betreiberinnen kritischer Infrastrukturen frühzeitig zu warnen.
Aufgrund der zunehmenden Bedrohung durch Cybervorfälle wird in der Schweiz eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen eingeführt. Die Betreiberinnen und Betreiber von kritischen Infrastrukturen werden verpflichtet, dem Bundesamt für Cybersicherheit (BACS) Cyberangriffe zu melden.
Der Bundesrat hat die dafür erforderliche Änderung des Bundesgesetzes über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) vom 29. September 2023 per 1. April in Kraft gesetzt. Das ISG legt fest, dass meldepflichtige Behörden und Organisationen wie beispielsweise die Energie- oder Trinkwasserversorgung, Transportunternehmen und die Verwaltungen von Kantonen und Gemeinden Cyberangriffe innerhalb von 24 Stunden nach der Entdeckung an das BACS melden müssen.
Ein Cyberangriff muss unter anderem gemeldet werden, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat oder mit Erpressung, Drohung oder Nötigung verbunden ist. Wird der Meldepflicht nicht Folge geleistet, sieht das Gesetz Bussen vor.
Damit den Betroffenen genügend Zeit bleibt, sich auf die neue Meldepflicht einzustellen, hat der Bundesrat beschlossen, die gesetzlichen Grundlagen für die Bussen erst per 1. Oktober 2025 in Kraft zu setzen. In den ersten 6 Monaten gilt somit die Meldepflicht, die Unterlassung von Meldungen wird aber noch nicht sanktioniert.
Meldeformular des BACS auf bestehender Plattform
Um den Meldeprozess möglichst einfach zu gestalten, stellt das BACS auf seiner bestehenden Plattform für den Informationsaustausch mit Betreiberinnen und Betreiber kritischer Infrastrukturen ein Meldeformular zur Verfügung. Organisationen, welche keinen Zugriff auf die Plattform haben, können alternativ die Meldungen auch per E-Mail-Formular abgeben, welches auf der Website des BACS zur Verfügung stehen wird. Können bei der Erstmeldung innerhalb von 24 Stunden noch nicht alle Angaben gemacht werden, besteht eine Frist von 14 Tagen, um die Meldung zu vervollständigen.
Cybersicherheitsverordnung regelt Ausnahmen
Weiter hat der Bundesrat die Cybersicherheitsverordnung (CSV) gutgeheissen und ebenfalls auf den 1. April 2025 in Kraft gesetzt. Die CSV enthält die Ausführungsbestimmungen zur Meldepflicht und regelt insbesondere die Ausnahmen nach Art. 74c des ISG. Des Weiteren enthält die Verordnung auch Bestimmungen über die Nationale Cyberstrategie, die Aufgaben des BACS und den Informationsaustausch des BACS mit Behörden und Organisationen.
Die Vernehmlassung zur CSV wurde zwischen dem 22. Mai und dem 13. September 2024 durchgeführt und hat eine breite Unterstützung für die Stärkung der Cybersicherheit in der Schweiz gezeigt. Das wichtigste Anliegen der Betroffenen war, dass die Meldepflicht möglichst einfach zu erfüllen ist und mit weiteren Meldepflichten (z. B. datenschutzrechtlichen Meldepflichten) harmonisiert ist. Dieses Anliegen konnte berücksichtigt werden. Das Meldeformular des BACS ermöglicht eine rasche Erfassung der nötigen Informationen und auf Wunsch eine Weiterleitung an weitere Behörden, gegenüber denen ebenfalls eine Meldepflicht besteht, beispielsweise an die Eidgenössische Finanzmarktaufsicht oder an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
Eine weitere Verordnung betrifft den Namenswechsel im Zusammenhang mit der Überführung des Nationalen Zentrums für Cybersicherheit (NCSC) in ein Bundesamt im VBS. Um diesen Namenswechsel in den rechtlichen Grundlagen nachzuvollziehen, hat der Bundesrat eine entsprechende Verordnung per 1. April 2025 erlassen.
Meilenstein für die Cybersicherheit in der Schweiz
Die Einführung der Meldepflicht als erste sektorübergreifende Regulierung ist ein Meilenstein für die Cybersicherheit der Schweiz. Die Stärkung des Informationsaustausches ist entscheidend, um der raschen Entwicklung der Cyberbedrohungen mit geeigneten Massnahmen entgegenzutreten. Die Einführung der Meldepflicht für Cyberangriffe in der Schweiz entspricht internationalen Standards. Seit 2018 gilt in allen EU-Mitgliedstaaten eine Meldepflicht für Cybervorfälle gemäss der NIS-Richtlinie.
