Meldepflicht für Cyberangriffe auf kritische Infrastrukturen per 1. April 2025

Ab dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen in der Schweiz Cyberangriffe innerhalb von 24 Stunden beim Bundesamt für Cybersicherheit (BACS) melden. Diese neue Vorschrift soll die Sicherheit erhöhen und eine schnelle Reaktion auf Bedrohungen ermöglichen. Betroffen sind unter anderem Energieversorger, Transportunternehmen sowie Verwaltungen von Kantonen und Gemeinden.

Angesichts der steigenden Bedrohung durch Cyberangriffe hat der Bundesrat das Informationssicherheitsgesetz (ISG) angepasst. Ziel ist es, betroffene Unternehmen effektiver zu unterstützen und frühzeitige Warnungen an andere Organisationen weiterzugeben. Die Schweiz folgt damit internationalen Standards, wie sie beispielsweise in der EU bereits seit 2018 durch die NIS-Richtlinie existieren.

Neben Betreibern kritischer Infrastrukturen fallen auch IT-Dienstleister und Hersteller bestimmter Hard- und Softwarelösungen unter die neue Regelung. Dazu zählen:

• Energie- und Wasserversorger
• Verkehrsbetriebe und Telekommunikationsunternehmen
• Gesundheitswesen und Banken
• IT-Dienstleister mit Cloud- oder Sicherheitslösungen
• Unternehmen, die IT-Sicherheitsdienstleistungen für kritische Infrastrukturen erbringen

• Angriffe, die die Betriebsfähigkeit einer kritischen Infrastruktur beeinträchtigen
• Diebstahl oder Manipulation sensibler Daten
• Cyberangriffe, die über 90 Tage unentdeckt bleiben
• Vorfälle, die mit Erpressung oder Drohungen einhergehen

Um den Meldeprozess effizient zu gestalten, stellt das BACS eine Online-Plattform mit einem standardisierten Meldeformular bereit. Alternativ kann die Meldung auch per E-Mail erfolgen. Falls nicht alle relevanten Informationen innerhalb der ersten 24 Stunden verfügbar sind, dürfen fehlende Angaben innerhalb von 14 Tagen nachgereicht werden.

• In den ersten sechs Monaten nach Inkrafttreten gibt es eine Übergangsfrist ohne Strafen.
• Ab Oktober 2025 drohen jedoch Bussen von bis zu 100’000 CHF für Unternehmen, die ihrer Meldepflicht nicht nachkommen.

Die neue Meldepflicht erfordert nicht nur eine Anpassung interner Prozesse, sondern bietet auch die Chance, die eigene IT-Sicherheit strategisch zu verbessern. Unternehmen müssen sicherstellen, dass sie Angriffe frühzeitig erkennen, Meldungen fristgerecht einreichen und sich vor hohen Strafen schützen. Gerne helfen wir Ihnen, diese Herausforderungen zu meistern:

• Sicherheitsaudits und Beratung: Analyse Ihrer aktuellen Cybersecurity-Strategie und Identifikation von Schwachstellen
• Notfallpläne und Incident-Response-Strategien: Entwicklung klarer Prozesse für eine schnelle und regelkonforme Meldung
• Monitoring und Bedrohungserkennung: Implementierung von Technologien, die Angriffe frühzeitig detektieren und automatisiert dokumentieren
• Schulungen und Awareness-Programme: Sensibilisierung Ihres Teams für schnelle und korrekte Reaktionen auf Cybervorfälle

Die neuen Vorgaben bedeuten Handlungsbedarf – wir sorgen dafür, dass Sie optimal darauf vorbereitet sind. Kontaktieren Sie uns für eine unverbindliche Beratung.

Die Einführung der Meldepflicht stellt einen bedeutenden Schritt für die Cybersicherheit in der Schweiz dar. Durch die rasche Erfassung und Weitergabe von Cybervorfällen können Unternehmen schneller auf Bedrohungen reagieren und sich besser schützen.

Falls Sie Unterstützung bei der Optimierung Ihrer IT-Sicherheit benötigen, stehen wir Ihnen gerne beratend zur Seite. Kontaktieren Sie uns – gemeinsam finden wir die beste Lösung für Ihr Unternehmen!