Ab dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe innert 24 Stunden dem Bundesamt für Cybersicherheit (BACS) melden. Das betrifft zum Beispiel Energieversorger, Transportunternehmen oder Verwaltungen.

Warum? Wozu dient diese Meldepflicht

• Früherkennung von Cyberbedrohungen
• Bekämpfung der Cyberkriminalität
• Verbesserung des Informationsaustausch
• Der internationalen Zusammenarbeit
• die Reaktionsmöglichkeiten und die Resilienz bei Vorfällen

Wer? Welche Branchen sind von dieser Regelung betroffen

• Energieversorgung
• Anbieter von Telefoniedienstleitungen
• Anbieter von Postdiensten
• Gesundheitswesen
• Versicherungen
• Finanzwesen
• Transport und Verkehr

Die detaillierte Liste im im ISG (Informationssicherheitsgesetz) in Artikel 74b ersichtlich

Was? Was muss wie gemeldet werden

Die Meldung erfolgt über das dafür vorgesehene Online-Portal oder per E-Mail an das BACS. Beispiele für Angriffsarten:

• Erfolgreich im System installierte Schadsoftware
• Verschlüsselungstrojaner
• Angriffe auf die Verfügbarkeit
• unerlaubtes Eindringen in Datenverarbeitungssystem

Wann? Wann besteht eine Meldepflicht

• Die Funktionsfähigkeit der kritischen Infrastruktur ist gefährdet.
• Es kam zu einer Manipulation oder zum Abfluss von Informationen.
• Der Vorfall ist mit einer Erpressung, Drohung oder Nötigungverbunden.
• Der Angriff blieb über längere Zeit unentdeckt.

Wie? Meldungen können über ein Online-Formular beim BACS oder per E-Mail erfolgen.

Sanktionen bei unterlassener Meldung gelten erst ab Oktober 2025. Eine neue Verordnung regelt Ausnahmen und sorgt dafür, dass die Meldung möglichst einfach und abgestimmt auf andere Pflichten (z. B. Datenschutz) erfolgen kann. Mit dieser Regelung verbessert die Schweiz ihre Cybersicherheit und schliesst zur EU auf. 

Weiterführende Informationen beim Bundesamt für Cybersicherheit. 

Bei Fragen oder Unklarheiten im Rahmen der Meldepflicht stehen wir Ihnen ebenfalls gerne zur Verfügung.