Nein. Als Privatperson sind Sie nicht meldepflichtig. Aber auch freiwillige Meldungen helfen dem BACS, Trends zu erkennen oder Gegenmassnahmen zu ergreifen. Das Meldeformular für freiwillige Meldungen finden Sie hier: https://www.report.ncsc.admin.ch/de/
Grundlagen
Bin ich als Privatperson meldepflichtig?
Welche Unternehmen sind meldepflichtig?
Sind nur Schweizer Unternehmen kritische Infrastrukturen? Müssen ausländische Firmen Vorfälle auch melden?
Gilt die Meldepflicht für die Gesamtorganisation (IT & OT) oder nur für Vorfälle im OT-Bereich?
Kann ich auch melden, wenn ich nicht meldepflichtig bin?
Müssen MSPs Cyber Angriffe auch melden? / Ist es für einen Kunden möglich, diese Meldungen ganz oder teilweise an einen Sicherheitspartner zu delegieren?
Wer meldet, wenn die Gemeinde die IT-Services inkl. Netzwerk des Kantons nutzt? Gemeinde und / oder Kanton meldepflichtig?
In der Schweiz besteht eine Meldepflicht für Cybervorfälle für Unternehmen, die kritische Infrastrukturen betreiben. Diese Unternehmen sind verpflichtet, Cybervorfälle an das BACS zu melden. Die Meldepflicht ist im Informationssicherheitsgesetz (ISG) sowie in der Cybersicherheitsverordnung (CSV) geregelt. Für Unternehmen, die nicht zu den kritischen Infrastrukturen gehören, gibt es derzeit keine gesetzliche Pflicht, Cybervorfälle zu melden. Es wird jedoch empfohlen, solche Vorfälle freiwillig an das BACS zu melden, um zur allgemeinen Cybersicherheit beizutragen.
Alle Unternehmen mit Sitz in der Schweiz, die in den vom Gesetz und der Verordnung festgelegten Geltungsbereich fallen, unterstehen der Meldepflicht.
Ein Cyberangriff muss gemeldet werden, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat, der Cyberangriff über einen längeren Zeitraum unentdeckt blieb oder mit Erpressung, Drohung oder Nötigung verbunden ist.
Ja. Sie können Cybervorfälle auch dann melden, wenn Sie nicht meldepflichtig sind. Es wird sogar empfohlen, solche Vorfälle freiwillig an das BACS zu melden. Dies trägt zur allgemeinen Cybersicherheit bei und hilft, potenzielle Bedrohungen frühzeitig zu erkennen und zu bekämpfen.
Meldepflichtig ist immer die Organisation, die vom Angriff betroffen ist. Wenn Sie einen Angriff haben und Ihre Kunden als kritische Infrastruktur gelten, müssen Sie gemäss ISG/CSV Meldung erstatten. Bei Gemeinden beispielsweise kann auch der MSP stellvertretend für die vom Cyberangriff betroffene Gemeinde die Meldung machen, dies muss dann aber entsprechend dokumentiert werden.
Die Betreiber der Netzwerke sind meldepflichtig, also hier der Kanton.
Meldeprozess
Wo kann ich meldepflichtige Meldungen machen?
Muss ich auch melden, wenn ich noch keine Informationen habe?
Wo melde ich, wenn ich nicht auf dem CSH bin?
Was geschieht, wenn es für meine Organisation nicht klar ist, ob sie meldepflichtig ist?
Ist es für kleine Unternehmen und Organisationen nicht ein administrativer Mehraufwand Cyberangriffe dem BACS zu melden? Wie wird sichergestellt, dass die Meldepflicht nicht zu einer Belastung für Unternehmen und Organisationen wird?
Muss die Anmeldung beim CSH persönlich sein oder kann dies auf Stufe Abteilung «Informatik» Gruppenmail «informatik@...» geschehen?
Es stehen folgende Meldemöglichkeiten zur Verfügung:
Unternehmen mit einem Konto auf dem Cyber Security Hub (CSH) des BACS können direkt über dieses Portal melden.
Meldepflichtigen Unternehmen, die noch kein CSH-Konto haben, wird empfohlen, ein Konto beim Cyber Security Hub zu eröffnen.
Weitere Informationen finden Sie unter:
Cyber Security Hub
Für Firmen ohne Konto auf dem Cyber Security Hub stellt das BACS einen alternativen Meldeweg über E-Mail zur Verfügung. Die Informationen zu diesem Prozess werden vor dem Inkrafttreten der Meldepflicht auf den Seiten des BACS aufgeschaltet.
Ja. Auch wenn Sie noch keine genauen Informationen haben, werden Sie eine Erstmeldung innerhalb von 24 Stunden machen müssen. Eine Abschlussmeldung mit zusätzlichen Informationen können Sie dann innerhalb von 14 Tagen nachreichen.
Sie können den Cyberangriff über den Meldebutton auf der Webseite des BACS über eine E-Mail-Vorlage melden. Das BACS empfiehlt eine Registrierung für meldepflichtige kritische Infrastrukturen auf den CSH.
Das Bundesamt für Cybersicherheit ist nach Art. 74a Abs. 2 ISG verpflichtet, allen interessierten Behörden und Organisationen Auskunft darüber zu erteilen, ob sie der Meldepflicht unterstellt sind. Es erlässt auf Antrag eine entsprechende Verfügung.
Für Organisationen, die im CSH (der Austauschplattform des BACS mit Unternehmen) registriert sind, ist im CSH ersichtlich, ob sie nach Ansicht des BACS zu den meldepflichtigen Organisationen gehören oder nicht.
Die Zusatzbelastung für Unternehmen ist generell klein, da das Meldeformular sehr einfach ausgestaltet ist und sich auf das Nötigste beschränkt. In der Cybersicherheitsverordnung hat der Bundesrat zudem weitreichende Ausnahmebestimmungen für kleine Unternehmen erlassen.
Zudem steht das BACS den Meldenden für erste Hilfestellungen zur Verfügung, was in vielen Fällen auch die Belastung im ersten Moment senken kann.
Die Accounts auf dem CSH sind persönliche Accounts, es gibt keine Möglichkeit über Gruppenmails. Das BACS muss die Teilnehmenden des CSH identifizieren können.
Ausnahmen und Sonderfälle
Mitarbeitenden / Gemeinderäte haben mit ihren privaten Geräten über einen geschützten Kanal auf gewisse IT-Programme Zugriff. Ist eine sofortige Meldung notwendig, wenn die private Infrastruktur eines Mitarbeiters gehackt worden ist?
Gefährdung der Funktionsfähigkeit: Zum Beispiel, wenn ein DDoS Angriff auf eine nicht betriebskritische Applikation zu einem Systemunterbruch führt, wäre das unabhängig der Business Kritikalität meldepflichtig?
Wie ist es wenn ein Anbieter wie Q (z. B. bei Q 365) angegriffen wird? Muss dieser Vorfall gemeldet werden?
Nein, das ist dann kein Angriff auf die Infrastruktur der kritischen Infrastruktur. Das BACS empfiehlt aber eine genaue Abklärung durch einen IT-Spezialisten.
Bei einem DDoS-Angriff auf eine nicht betriebskritische Applikation besteht keine automatische Meldepflicht. Entscheidend ist, ob der Angriff die Funktionsfähigkeit der kritischen Infrastruktur als Ganzes gefährdet. Solange der Systemunterbruch keine Auswirkungen auf betriebskritische Funktionen hat, die Kerndienstleistungen nicht beeinträchtigt werden und keine Gefahr einer Ausbreitung besteht, wäre der Vorfall nicht meldepflichtig. Die Meldepflicht orientiert sich an den tatsächlichen Auswirkungen auf die Funktionsfähigkeit.
In solchen Fällen ist in erster Linie der betroffene Anbieter – etwa Q – selbst für die Meldung des Vorfalls verantwortlich, sofern er unter die Meldepflicht fällt. Das BACS ist jedoch auf Hinweise aus der Nutzerschaft angewiesen: Wenn Sie Anzeichen für einen solchen Vorfall feststellen, bitten wir Sie, uns diese mitzuteilen, damit wir die Lage einschätzen und gegebenenfalls Massnahmen ergreifen können.
Unterstützung durch das BACS und Zusammenarbeit
Werden Meldungen ans BACS direkt mit der FINMA / dem EDÖB geteilt?
Ersetzt die Meldung ans BACS die Meldung an die FINMA?
Kann die Meldung neben z. B. Finma auch jeweils an weitere eigene Empfänger z. K. weitergeleitet werden?
Wie wird die Vertraulichkeit der gemeldeten Informationen gewährleistet?
Wie wird die Meldepflicht überwacht und kontrolliert? Gibt es Mechanismen, um sicherzustellen, dass Unternehmen tatsächlich alle relevanten Vorfälle melden und nicht nur diejenigen, die sie für «akzeptabel» halten?
Was macht das BACS mit den eingegangenen Meldungen?
Wie sieht die Unterstützung des BACS nach einer Meldung aus?
Bietet das BACS Unterstützung bei Erpressung durch Ransomware sowie bei Verhandlungen mit Erpressern bei Lösegeldtrojanern führen?
Wie schnell erfolgt eine Reaktion des BACS nach einer Meldung?
Wenn Meldende ausdrücklich angeben, dass ihre Meldung an Drittbehörden wie den EDÖB, FINMA, BSV oder SEPOS übermittelt werden soll, erfolgt eine entsprechende Weiterleitung. Auf diese Weise können mehrere Meldepflichten gegenüber unterschiedlichen Stellen zentral über ein einziges Formular erfüllt werden. Etwaige Rückfragen oder Ergänzungsbedarf werden anschliessend direkt von den jeweils zuständigen Behörden an die meldende Organisation gerichtet.
Institute, die ebenfalls der Meldepflicht nach dem Informationssicherheitsgesetz (ISG; SR 128) unterstehen, können ihre Erstmeldung, welche innert 24 nach Entdeckung des Cyberangriff zu erfolgen hat, über das Meldeformular des Bundesamts für Cybersicherheit (BACS) einreichen. Dabei besteht die Möglichkeit, die Meldung zugleich an die FINMA weiterleiten zu lassen – vorausgesetzt, die fristgerechte Übermittlung kann dadurch sichergestellt werden. Die ausführliche Meldung innerhalb von 72 Stunden ist weiterhin über das Erhebungs- und Hochladeportal (EHP) der FINMA einzureichen.
Nein, das müssen die Gemeinden selber machen.
Das BACS gewährleistet den Schutz der gemeldeten Informationen. Seit knapp 20 Jahren tauscht sich das BACS und ihre Vorgängerorganisationen NCSC sowie MELANI regelmässig mit Betreiberinnen kritischer Infrastrukturen aus und behandelt diese Informationen vertraulich.
Auch die zahlreichen Meldungen, die beim BACS über das Meldeformular eingehen, werden beim BACS vertraulich behandelt. Um die Bevölkerung zu warnen, werden diese Meldungen anonymisiert, kategorisiert und statistisch erfasst. Die wird auch mit den Daten aus der Meldepflicht gemacht.
Es wird keine aktive Aufsicht zur Einhaltung der Meldepflicht geben. Erfährt das BACS von einem meldepflichtigen Cyberangriff, der nicht gemeldet wurde, kontaktiert es die betroffene meldepflichtige Organisation und weist sie auf die Meldepflicht hin. Kommt das Unternehmen der Meldepflicht dennoch nicht nach, erlässt das BACS eine Verfügung mit Strafandrohung. Bleibt die Meldung weiterhin aus, kann Anzeige durch das BACS bei den zuständigen Strafverfolgungsbehördenerstattet werden.
Wird von Unternehmen Unterstützung angefordert, nimmt das BACS mit diesen Kontakt auf. Gemeldete Angriffe helfen dem BACS, die Bedrohungslage besser einzuschätzen und potenzielle Opfer früher zu warnen, damit diese entsprechende Schutzmassnahmen treffen können.
Das BACS leistet technische Hilfe im Sinne einer ersten Unterstützung. Diese soll aber keine marktwirtschaftlichen Angebote konkurrenzieren. Das BACS wird darum die Betroffenen je nach Ausmass des Angriffs dazu auffordern, sich Hilfe bei spezialisierten Unternehmen zu suchen, falls diese das nicht bereits getan haben. Das BACS steht den Opfern und den von ihnen allenfalls engagierten Spezialisten und Spezialistinnen beratend zur Verfügung.
Nein. Das BACS führt keine Verhandlungen mit Erpressern. Es leistet jedoch technische Ersthilfe und unterstützt bei der Einschätzung der Lage und Wiederherstellung der Systeme. Für rechtliche Schritte oder Verhandlungen sind Polizei und Strafverfolgungsbehörden zuständig.
Eine automatisierte Eingangsbestätigung erfolgt umgehend. Falls Sie technische Unterstützung benötigen, kann das BACS über die Pikettnummer kontaktiert werden – auch ausserhalb der Bürozeiten und am Wochenende.
Fristen und Folgen bei Verstössen
Sind beim Meldeeingang 14 Tage oder Arbeitstage gemeint?
Wie verhält es sich, wenn z.B. am Freitagabend ein System ausfällt, aber erst am Montag wird ersichtlich, dass es sich um einen Angriff handelt?
Was geschieht, wenn ich nicht innerhalb von 24 Stunden melde?
Was passiert mit dem Geld aus den Bussen?
Es sind 14 Tage (auch Samstag/Sonntag)
Ab Entdeckung des Vorfalls müssen Sie innerhalb von 24 Stunden eine Meldung an das BACS machen. In diesem Beispiel am Montagmorgen.
Das BACS kann ein meldepflichtiges Unternehmen erst dann auf die gesetzliche Meldepflicht hinweisen, wenn es selbst Kenntnis von einem meldepflichtigen Cybervorfall erhält. Erfolgt nach diesem Hinweis keine fristgerechte Reaktion, erlässt das BACS eine Verfügung mit Strafandrohung. Wird die Meldung auch danach nicht eingereicht, kann das BACS den Vorfall den zuständigen Strafverfolgungsbehörden zur Anzeige bringen.
Die Kantone sind für die Verfolgung und die Beurteilung von Widerhandlungen gegen Verfügungen des BACS zuständig.
Letzte Änderung 30.03.2025
