Gesetzliche Grundlagen zur Meldepflicht

Service navigation

Suche

Navigation

Gesetzliche Grundlagen zur Meldepflicht

Der Bundesrat hat die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen per 1. April 2025 in Kraft gesetzt. Die Betreiberinnen von kritischen Infrastrukturen werden verpflichtet, dem BACS Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung zu melden. Die Meldepflicht wird im Informationssicherheitsgesetz (ISG) sowie in der Cybersicherheitsverordnung (CSV) geregelt.

Informationssicherheitsgesetz (ISG)

Bereits bei der Erstellung der «Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken 2018 – 2022» wurde gefordert, dass die Machbarkeit der Einführung einer Meldepflicht geprüft werde. Der Bundesrat hat 2021 beschlossen, die gesetzlichen Grundlagen für die Einführung einer Meldepflicht zu schaffen und diese als Änderung des Gesetzes über die Informationssicherheit (ISG) umzusetzen.

  • Am 12. Januar 2022 hat der Bundesrat die Änderung des ISG in die Vernehmlassung gegeben. Diese hat gezeigt, dass eine Meldepflicht von Wirtschaft, Forschung und Kantonen grundsätzlich begrüsst wird.

  • Am 2. Dezember 2022 hat der Bundesrat die Botschaft zur Änderung des ISG zur Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen verabschiedet.

  • Am 29. September 2023 wurden die Änderungen des ISG schliesslich vom Parlament beschlossen.

  • Am 7. März 2025 hat der Bundesrat die Änderungen des ISG per 1. April in Kraft gesetzt. 

Das ISG legt fest, dass meldepflichtige Behörden und Organisationen wie beispielsweise die Energie- oder Trinkwasserversorgung Transportunternehmen und die Verwaltungen von Kantonen und Gemeinden Cyberangriffe innerhalb von 24 Stunden nach der Entdeckung an das BACS melden müssen.

Informationssicherheitsgesetz (ISG)

Cybersicherheitsverordnung (CSV)

Mit der Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV) legt der Bundesrat die Umsetzung der Meldepflicht und welche Stellen davon ausgenommen sind. So regelt die Verordnung die Ausnahmen von der Meldepflicht für Behörden und Organisationen, definiert die meldepflichtigen Cyberangriffe und legt fest, welche Inhalte gemeldet werden müssen. Sie schreibt auch die Verfahren für die Erfüllung der Meldepflicht vor und legt die Frist und den Abschluss der Meldung fest.

  • Der Bundesrat hat am 22. Mai 2024 die Vernehmlassung zur Verordnung über die Cybersicherheit eröffnet. Diese dauerte bis am 13. September 2024.

  • Der Bundesrat hat die Cybersicherheitsverordnung (CSV) am 7. März 2025 gutgeheissen und auf den 1. April 2025 in Kraft gesetzt. Die CSV enthält die Ausführungsbestimmungen zur Meldepflicht und regelt insbesondere die Ausnahmen nach Art. 74c des ISG. 

Cybersicherheitsverordnung, CSV (PDF, 321 kB, 07.03.2025)

Weiterführende Informationen

Bundesrat eröffnet Vernehmlassung zur Cybersicherheitsverordnung

22.11.2023 - Staatssekretariat für Sicherheitspolitik (SEPOS) und Bundesamt für Cybersicherheit (BACS): Bundesrat beschliesst rechtliche Grundlagen

02.12.2022 - Bundesrat überweist Botschaft zur Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen

12.05.2022- Meldepflicht für Cyberangriffe findet breite Unterstützung bei Wirtschaft und Kantonen

Letzte Änderung 07.03.2025

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/meldepflicht/gesetzliche-grundlagen-mp.html