Bereits am 22. August 2023 erklärte ich in einem Vortrag an der Universität Bern die Modalitäten betreffend Datensicherheit und Meldepflichten nach DSG und ISG im Beschaffungswesen. Nun gibt es in diesem Bereich erneut etwas zu berichten: Ab dem 1. April 2025 sind Betreiber kritischer Infrastrukturen in der Schweiz verpflichtet, erlittene Cyberangriffe innerhalb von 24 Stunden seit ihrer Entdeckung an das Bundesamt für Cybersicherheit (BACS) zu melden. Diese Massnahme soll die Cybersicherheit stärken und die Resilienz essenzieller Dienste erhöhen. Dass dies notwendig ist, zeigten wir im Insight vom 31.12.2024 auf, in welchem wir über die hohe Anzahl an Cybervorfällen in der Schweiz (Alle 8,5 Minuten!) berichteten. Der aktuelle Beitrag erläutert die Hintergründe der neuen Meldepflicht, die gesetzlichen Grundlagen, die betroffenen Sektoren sowie die praktischen Auswirkungen und gibt Handlungsempfehlungen für Unternehmen und Behörden.
Einführung der Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in der Schweiz
Kritische Infrastrukturen wie beispielsweise die Energieversorgung, das Gesundheitswesen oder der öffentliche Verkehr werden vermehrt Ziel von Cyberangriffen. Um der raschen Entwicklung derartiger Bedrohungen mit geeigneten Massnahmen entgegenzutreten, hat der Bundesrat beschlossen, eine Meldepflicht für Cyberangriffe einzuführen. Diese tritt am 1. April 2025 in Kraft und verpflichtet Betreiber kritischer Infrastrukturen, Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung an das Bundesamt für Cybersicherheit (BACS) zu melden. Damit passt sich die Schweiz dem EU-Standard an, nach welchem gestützt auf die NIS-Richtlinie seit 2018 eine entsprechende Meldepflicht für Cybervorfälle besteht.
Gesetzliche Grundlagen
Die Meldepflicht für Cyberangriffe ist im Informationssicherheitsgesetz (ISG) verankert. Der Bundesrat hat am 7. März 2025 die entsprechenden Änderungen des ISG per 1. April 2025 in Kraft gesetzt. Zudem wurde die Cybersicherheitsverordnung (CSV) verabschiedet, die die Umsetzung der Meldepflicht spezifiziert.
Betroffene Sektoren
Gemäss dem Schweizer Informationssicherheitsgesetz (ISG) werden als Betreiber kritischer Infrastrukturen Organisationen bezeichnet, deren Ausfall oder Beeinträchtigung gravierende Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung haben könnte. Diese Organisationen sind verpflichtet, schwerwiegende Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung an das Bundesamt für Cybersicherheit (BACS) zu melden. Das ISG definiert neun Sektoren kritischer Infrastrukturen, die in 27 Teilsektoren unterteilt sind. Zu den Hauptsektoren zählen:
Energie: Dazu gehören Unternehmen der Strom-, Gas- und Ölversorgung sowie Energiehandel, -messung und -steuerung.
Gesundheit: Umfasst Gesundheitseinrichtungen wie Spitäler, Pflegeheime und medizinische Labore mit entsprechender Bewilligung.
Finanz- und Versicherungswesen: Beinhaltet Banken, Versicherungen und Finanzmarktinfrastrukturen.
Transport und Verkehr: Einschliesslich Eisenbahnunternehmen, Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen sowie Betreiber von Flughäfen und Häfen.
Informations- und Kommunikationstechnologie: Umfasst Fernmeldedienstanbieter, Registrare, Anbieter und Betreiber von Cloud-Computing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren mit Sitz in der Schweiz.
Öffentliche Sicherheit und Ordnung: Beinhaltet Organisationen mit öffentlichen Aufgaben in den Bereichen Sicherheit und Rettung.
Ver- und Entsorgung: Dazu zählen Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung, sofern sie hoheitlich handeln
Ernährung: Unternehmen, die die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall zu erheblichen Versorgungsengpässen führen würde.
Staatliche Verwaltung: Umfasst Bundes-, Kantons- und Gemeindebehörden sowie interkantonale und interkommunale Organisationen.
Diese Einteilung dient dazu, die Sicherheit und Verfügbarkeit essenzieller Dienstleistungen und Güter in der Schweiz zu gewährleisten.
Meldeverfahren
Die Meldung eines Cyberangriffs muss innerhalb von 24 Stunden nach dessen Entdeckung erfolgen. Das BACS stellt hierfür auf seiner Plattform ein Meldeformular zur Verfügung. Organisationen ohne Zugriff auf diese Plattform können ein E-Mail-Formular nutzen. Sollten bei der Erstmeldung nicht alle Informationen verfügbar sein, besteht eine Frist von 14 Tagen, um die fehlenden Angaben nachzureichen. Erfahrungsgemäss ist diese zweite Frist von 14 Tagen jedoch eher eng bemessen, sind die ersten Bestrebungen bei einem Cyberangriff doch die Wiederherstellung des Betriebs und nicht das Sammeln von allen Informationen.
Sanktionen bei Nichteinhaltung
Bei Nichtbeachtung der Meldepflicht sieht das Gesetz Bussen vor. Um den betroffenen Organisationen Zeit zur Anpassung an die neuen Anforderungen zu geben, treten die gesetzlichen Grundlagen für diese Sanktionen erst am 1. Oktober 2025 in Kraft. In den ersten sechs Monaten gilt somit zwar die Meldepflicht, jedoch werden Unterlassungen in diesem Zeitraum noch nicht sanktioniert.
Praktische Auswirkungen und Empfehlungen
Für Unternehmen und Behörden:
Überprüfung der IT-Sicherheitsmassnahmen: Stellen Sie sicher, dass Ihre IT-Infrastruktur den aktuellsten Sicherheitsstandards entspricht und führen Sie jeweils die neusten Updates zeitnah nach derer Veröffentlichung durch.
Implementierung bzw. Anpassung eines sog. «Incident-Response-Plans»: Entwickeln Sie einen Plan oder erweitern Sie einen bestehenden zur schnellen Reaktion auf Cybervorfälle und integrieren Sie diesen in den Geschäftsablauf.
Schulung der Mitarbeitenden: Sensibilisieren Sie Ihr Personal für Cyberbedrohungen und führen Sie regelmässig interne Schulungen und Tests durch.
Einrichtung interner Meldeprozesse: Definieren Sie klare Abläufe für die interne Erfassung und Weiterleitung von Cybervorfällen und stellen Sie sicher, dass alle Mitarbeitenden dieses Verfahren beherrschen. Wichtig ist insbesondere, dass die Meldeprozesse auch mit anderen Meldeprozessen wie z.B. Datenschutzverletzungsmeldungen oder Meldungen an die FINMA oder das BAKOM untereinander abgestimmt sind.
Fazit und Ausblick
Die Einführung der Meldepflicht für Cyberangriffe auf kritische Infrastrukturen stellt einen wichtigen Schritt zur Stärkung der Cybersicherheit in der Schweiz dar. Durch die zentrale Erfassung von Cybervorfällen können Bedrohungen besser analysiert und präventive Massnahmen effektiver umgesetzt werden. Unternehmen und Behörden sollten die verbleibende Zeit bis zum Inkrafttreten der Sanktionen nutzen, um ihre Meldeprozesse zu etablieren und ihre IT-Sicherheitsstrategien zu optimieren.