Der Bundesrat hat am 7. März 2025 die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen per 1. April 2025 in Kraft gesetzt. Die Betreiberinnen und Betreiber von kritischen Infrastrukturen werden verpflichtet, dem Bundesamt für Cybersicherheit (BACS) Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung zu melden. Können bei der Erstmeldung noch nicht alle Angaben gemacht werden, besteht eine Frist von 14 Tagen, um die Meldung zu vervollständigen.
Meldepflichtige Behörden und Organisationen
Der Bundesrat hat die für die Meldepflicht erforderlichen Änderung des Bundesgesetzes über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) vom 29. September 2023 per 1. April in Kraft gesetzt. Das ISG legt fest, dass meldepflichtige Behörden und Organisationen wie beispielsweise die Energie- oder Trinkwasserversorgung Transportunternehmen und die Verwaltungen von Kantonen und Gemeinden Cyberangriffe innerhalb von 24 Stunden nach der Entdeckung an das BACS melden müssen.
Weiter hat der Bundesrat die Cybersicherheitsverordnung (CSV) gutgeheissen und ebenfalls auf den 1. April 2025 in Kraft gesetzt. Die CSV enthält die Ausführungsbestimmungen zur Meldepflicht und regelt insbesondere die Ausnahmen nach Art. 74c des ISG.
Cyberangriffe, die gemeldet werden müssen
Ein Cyberangriff muss unter anderem gemeldet werden, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat oder mit Erpressung, Drohung oder Nötigung verbunden ist. Wird der Meldepflicht nicht Folge geleistet, sieht das Gesetz Bussen vor.
Damit den Betroffenen genügend Zeit bleibt, sich auf die neue Meldepflicht einzustellen, hat der Bundesrat beschlossen, die gesetzlichen Grundlagen für die Bussen erst per 1. Oktober 2025 in Kraft zu setzen. In den ersten 6 Monaten gilt somit die Meldepflicht, die Unterlassung von Meldungen wird aber noch nicht sanktioniert.
Einfacher Meldeprozess
Um den Meldeprozess möglichst einfach zu gestalten, stellt das BACS auf seiner bestehenden Plattform für den Informationsaustausch mit Betreiberinnen und Betreiber kritischer Infrastrukturen ein Meldeformular zur Verfügung.
Online-Veranstaltungen zum Thema «Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen»
Online-Veranstaltungen für Gemeinden:
| Datum | Zeit | Sprache | Link zur Anmeldung |
|---|---|---|---|
| 13.03.2025 | 12.00 – 13.00 Uhr | Deutsch | Anmeldung |
| 27.03.2025 | 12.00 – 13.00 Uhr | Französisch | Anmeldung |
Online-Veranstaltungen für Unternehmen:
| Datum | Zeit | Sprache | Link zur Anmeldung |
|---|---|---|---|
| 20.03.2025 | 12.00 – 13.00 Uhr | Deutsch | Anmeldung |
Letzte Änderung 13.03.2025
