Was muss gemeldet werden?

Ein Cyberangriff muss unter anderem gemeldet werden, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat oder mit Erpressung, Drohung oder Nötigung verbunden ist. 

Beispiele für Angriffsarten umfassen unter anderem: 

• Erfolgreich im System installierte Schadsoftware 
• Verschlüsselungstrojaner
• Angriffe auf die Verfügbarkeit 
• unerlaubtes Eindringen in Datenverarbeitungssystem durch das Ausnutzen von Schwachstellen.

Damit den Betroffenen genügend Zeit bleibt, sich auf die neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen einzustellen, hat der Bundesrat beschlossen, die gesetzlichen Grundlagen für die Bussen erst per 1. Oktober 2025 in Kraft zu setzen. In den ersten 6 Monaten gilt somit die Meldepflicht Meldepflicht für Cyberangriffe auf kritische Infrastrukturen, die Unterlassung von Meldungen wird aber noch nicht sanktioniert.