Update: Jetzt müssen kritische Infrastrukturen Cyberangriffe melden
Seit dem 1. April 2025 müssen kritische Infrastrukturen im Falle eines Cyberangriffs diesen dem BACS melden. So will das Bundesamt die Cybersicherheit in der Schweiz erhöhen.
Update vom 1.4.2025: Nun ist die Meldepflicht in Kraft getreten. Seit dem 1. April 2025 sind Betreiber kritischer Infrastrukturen verpflichtet, Cyberangriffe innerhalb von 24 Stunden nach ihrer Entdeckung dem Bundesamt für Cybersicherheit (BACS) zu melden.
Die Frist von 24 Stunden gilt für eine erste Meldung. Sollten nicht alle Informationen schon ab dem ersten Tag vorliegen, können diese innerhalb von 14 Tagen nachgereicht werden, wie das BACS erklärt.
Für diese Meldungen richtete das BACS ein Meldeformular auf seinem Cyber Security Hub ein. Um das Meldeformular zu nutzen, muss man sich zunächst registrieren. Das BACS empfiehlt daher allen meldepflichtigen Organisationen, sich bereits zu registrieren. Wie Betreiber kritischer Infrastrukturen einen Cyberangriff melden können, erklärt das BACS hier im Video:
Noch werden Unternehmen, die sich nicht an die Meldepflicht halten, nicht gebüsst. Ab dem 1. Oktober sollen aber Bussenregelungen wirksam werden. Wie es im Informationssicherheitsgesetz (ISG) heisst, wird das Bundesamt bei Anzeichen einer Verletzung der Meldepflicht die betreffende Organisation informieren und eine neue Frist setzen. Sollte auch diese Frist verstreichen ohne eine Meldung, erlässt das NCSC eine Verfügung mit einer neuen Frist und verweist auf die Strafdrohung. Wer so einer rechtskräftigen Verfügung nicht Folge leistet, wird mit einer Busse bis zu 100’000 Franken bestraft.
Update vom 10.03.2025:
Meldepflicht für Cyberangriffe auf kritische Infrastrukturen tritt im April in Kraft
Die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in der Schweiz tritt per 1. April 2025 in Kraft. Dies hat der Bundesrat entschieden, wie einer Mitteilung zu entnehmen ist.
Meldepflichtige Behörden und Organisationen - wie beispielsweise die Energie- oder Trinkwasserversorgung, Transportunternehmen und die Verwaltungen von Kantonen und Gemeinden - müssen demnach Cyberangriffe innerhalb von 24 Stunden nach der Entdeckung an das Bundesamt für Cybersicherheit (BACS) melden. Dies gilt insbesondere dann, wenn der Angriff "die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat oder mit Erpressung, Drohung oder Nötigung verbunden ist", schreibt der Bund.
Erfolgen kann die Meldung entweder über ein spezielles Meldeformular, welches das BACS auf seiner Plattform für den Informationsaustausch mit Betreiberinnen kritischer Infrastrukturen anbietet. Alternativ ist auch die Meldung per E-Mail möglich. Wer sich nicht an die Meldepflicht hält, der kommt in den ersten 6 Monaten nach Inkrafttreten der neuen Regelung noch ohne Konsequenzen davon. Ab Oktober jedoch sanktioniert der Bund mit Geldbussen, wer der Meldepflicht nicht Folge leistet.
Der Bundesrat regelt die Details der Meldepflicht in der Cybersicherheitsverordnung (CSV), die er 2024 in die Vernehmlassung geschickt hatte. Aus den eingegangenen Feedbacks liest die Exekutive "eine breite Unterstützung für die Stärkung der Cybersicherheit in der Schweiz", wie es in der Mitteilung heisst.
Das wichtigste Anliegen der Betroffenen sei gewesen, dass die Meldepflicht möglichst einfach zu erfüllen und mit weiteren Meldepflichten (etwa datenschutzrechtlichen Meldepflichten) harmonisiert sei. Dieses Anliegen habe man berücksichtigt, erklärt der Bund. Demnach ermöglicht das Meldeformular des BACS eine rasche Erfassung der nötigen Informationen und auf Wunsch eine Weiterleitung an weitere Behörden, gegenüber denen ebenfalls eine Meldepflicht besteht, beispielsweise an die Eidgenössische Finanzmarktaufsicht oder an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
Übrigens plant das BACS auch mehrere Onlineveranstaltungen zur neuen Meldepflicht. Diese richten sich an Gemeinden und Unternehmen und finden im März 2025 statt. Mehr dazu lesen Sie hier.
Originalmeldung vom 23.05.2024 :
Bund regelt Meldepflicht für Cyberangriffe
Anfang 2024 ist das neue Informationssicherheitsgesetz (ISG) in Kraft getreten. Aussen vor blieb dabei jedoch die vom Parlament beschlossene Meldepflicht von Cyberangriffen auf kritische Infrastrukturen. Sie soll 2025 eingeführt werden. Die dazu gehörende Cybersicherheitsverordnung (CSV) schickte der Bundesrat am 22. Mai 2024 in die Vernehmlassung.
Keine Meldepflicht für kleine Behörden
In der Verordnung gibt der Bund vor, wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen umgesetzt werden soll. Ein Kernelement der CSV sind aber auch die Bestimmungen zu den Ausnahmen von der Meldepflicht. Explizit von der Meldepflicht ausgenommen sind gemäss Mitteilung Behörden und Unternehmen, bei denen ein Cyberangriff keine unmittelbaren Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat. Der entsprechende Artikel 16 enthält eine ganze Reihe von Schwellenwerten für bestimmte Unternehmen etwa aus der Energie- oder der ÖV-Branche.
Beispielsweise seien Anbieter und Betreiber von Cloud Computing und Suchmaschinen sowie Rechenzentren, die einen Sitz in der Schweiz haben, nur dann meldepflichtig, wenn sie ihre Leistungen teilweise oder vollumfänglich für Dritte und gegen Entgelt erbringen, schreibt der Bund in den Erläuterungen zur CSV. Rechenzentren, die ihre Leistung ausschliesslich für den Eigenbedarf erbringen, fallen nicht unter die Pflicht.
Wo keine konkreten Schwellenwerte definiert sind, gilt: Die Unternehmen sind von der Meldepflicht ausgeschlossen, "sofern sie im betroffenen Bereich weniger als 50 Personen beschäftigen und ihr Jahresumsatz beziehungsweise ihre Jahresbilanzsumme im betroffenen Bereich 10 Millionen Franken nicht übersteigt". Auch für kleine Behörden, die - gemessen an der ständigen Bevölkerung - für weniger als 1000 Personen zuständig sind, gelte die Meldepflicht nicht. "Die in der Regel kleinen bis sehr kleinen Verwaltungen dieser Gemeinden sollen durch eine Meldepflicht nicht zusätzlich belastet werden", schreibt der Bund in den Erläuterungen. Er fügt an, dass mit diesem Schwellenwert fast 40 Prozent der Gemeinden entbunden seien. "Davon wären gesamthaft rund 430'000 Einwohnerinnen und Einwohner betroffen." Die Ausnahme zu dieser Ausnahme sind "Anbieterinnen und Betreiberinnen von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen. Diese sind auch dann meldepflichtig, wenn sie ihre Dienste und Infrastrukturen für weniger als 1000 Einwohnerinnen und Einwohner anbieten."
Wer nicht sicher ist, kann nachfragen
Laut einer unlängst durchgeführten Befragung gibt es viele Unternehmen, die nicht sicher sind, ob sie Cyberangriffe künftig melden sollen oder nicht. Unsicherheit sei zu erwarten, räumt der Bund im Bericht zur CSV (PDF) ein. In einem Artikel schafft er deswegen die Möglichkeit für interessierte Behörden und Organisationen, beim Bundesamt für Cybersicherheit (BACS) vorstellig zu werden und bezüglich einer Meldepflicht – oder einer Befreiung davon – nachzufragen. Dafür müssten die Nachfragenden dem Bundesamt "alle erforderlichen Unterlagen zur Verfügung stellen". Die Auskunft des BACS sei ausserdem eine Momentaufnahme, fügt der Bund hinzu. Bei einer wesentlichen Änderung der relevanten Tatsachen oder Umstände sei die betroffene Organisation dafür verantwortlich, unverzüglich der Meldepflicht nachzukommen oder bei Unsicherheit erneut beim BACS anzuklopfen.
Die Verordnung enthält auch genauere Definitionen, welche Angriffe konkret gemeldet werden müssen, unterteilt in die Abschnitte "Gefährdung der Funktionsfähigkeit der kritischen Infrastruktur", "Manipulation oder Abfluss von Informationen", "Über einen längeren Zeitraum unentdeckter Cyberangriff" und "Mit Erpressung, Drohung oder Nötigung verbundener Cyberangriff".
Insgesamt ist die CSV in 6 Hauptabschnitte gegliedert, von denen sich nur einer mit den Bestimmungen zur Meldepflicht befasst. In einem weiteren Abschnitt regelt der Bund die Nationale Cyberstrategie (NCS) und den dafür einberufenen Steuerungsausschuss. Auch ein Abschnitt zu den Aufgaben des BACS sowie einer über ein vom BACS betriebenes Kommunikationssystem sind enthalten. Das System diene dem sicheren und vertraulichen Informationsaustausch zwischen dem Bundesamt und Organisationen und Behörden mit Sitz in der Schweiz. Zudem können die Betreiber kritischer Infrastrukturen dem BACS Dienstleister melden, die ebenfalls Zugang zum System erhalten sollen.
Die Vernehmlassung der CSV dauert bis zum 13. September 2024.
Anfang 2024 ist aus dem Nationalen Zentrum für Cybersicherheit ein Bundesamt geworden. Das neue Staatssekretariat für Sicherheitspolitik ist indes für die Sicherheitspolitik und die Informationssicherheit verantwortlich. Details dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
BACS warnt Reisende nach Grossbritannien vor Betrug mit ETA-Anträgen
KI im SOC – Effizienzsteigerung durch Automatisierung
Init7 feiert 25-jähriges Bestehen in Winterthur
Identitätssicherheit: Warum IAM und PAM entscheidend sind
IT-Sicherheit: Standardlösungen allein bringen es nicht mehr
KI-gesteuerte Cyberangriffe – wie sich Unternehmen schützen können
Wohin die Reise in der Security geht
Die Bedeutung von Identitäts- und Zugriffsverwaltung
Skepsis – das beste Rezept gegen Phishing & Co. beim Banking
