Skip to the main content.
Talk to us
Talk to us
Instagram Linkedin YouTube

2 Min. Lesezeit

Meldepflicht für Cyberangriffe auf kritische Infrastrukturen

Picture of Géraldine Wymann Géraldine Wymann : Apr 8, 2025 5:18:53 PM

Cybersecurity
Meldepflicht für Cyberangriffe auf kritische Infrastrukturen
eine Maßnahme zur Stärkung der Cybersicherheit in der Schweiz

Ab April 2025 müssen Betreiber kritischer Infrastrukturen und IT-Dienstleister Cyberangriffe innerhalb von 24 Stunden melden

Am 7. März 2025 hat der Bundesrat die neue Meldepflicht für Cyberangriffe auf Betreiber kritischer Infrastrukturen beschlossen. Ab dem 1. April 2025 müssen betroffene Unternehmen und IT-Dienstleister Cyberangriffe innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS) melden. Besonders relevant ist dabei, dass auch Cybervorfälle, die erst nach längerer Zeit – mehr als 90 Tagen – entdeckt werden, unter die Meldepflicht fallen.

Ziel dieser Massnahme ist es, die Resilienz gegenüber Cyberbedrohungen zu erhöhen und die Zusammenarbeit zwischen betroffenen Organisationen zu stärken. Was das genau bedeutet, erfahren Sie hier.

Kurz zusammengefasst:
wer

Wer ist betroffen?

  • Betreiber kritischer Infrastrukturen (z.B. Energie, Gesundheit, Banken)
  • IT-Dienstleister (Rechenzentren, Cloud-Anbieter, Security Services)
  • Hersteller mit Fernwartungszugang
  • Unternehmen, die Sicherheitsleistungen für kritische Infrastrukturen erbringen
was

Was muss
gemeldet werden?

  • Angriffe, die den Betrieb gefährden
  • Manipulation oder Verlust sensibler Daten
  • Unentdeckte Cyberangriffe (über 90 Tage)
  • Angriffe mit Erpressung, Drohung oder Nötigung
wie

So läuft die Meldung ab

  • Meldung muss an das BACS innerhalb von 24 Stunden erfolgen
  • Nutzung des Meldeformulars oder E-Mail-Formulars
  • Vervollständigung fehlender Informationen innerhalb von 14 Tagen
was sonst

Was passiert bei Nichteinhaltung?

  • Übergangsphase bis Oktober 2025: keine Sanktionen
  • Ab Oktober 2025: Bussen bis zu CHF 100’000 möglich
was jetzt

Ihr Handlungsbedarf

  • Prüfen, ob Ihr Unternehmen betroffen ist
  • Prozesse anpassen für 24h-Meldepflicht
  • IT-Dienstleister und Mitarbeitende sensibilisieren
  • Früherkennung von Angriffen verbessern
  • Beratung durch das BACS im Zweifelsfall einholen
Meldeverfahren: So erfolgt die Meldung an das BACS

Für die Erfassung der Meldungen stellt das BACS ein speziell entwickeltes Formular auf seiner bestehenden Plattform zur Verfügung. Sollte der Zugriff auf diese Plattform nicht möglich sein, kann alternativ eine Meldung über ein E-Mail-Formular erfolgen, das auf der Website des BACS bereitgestellt wird. Falls in der ersten Meldung nicht alle notwendigen Informationen enthalten sind, gewährt das BACS eine Nachfrist von 14 Tagen für eine vollständige Ergänzung.

Übergangsregelung: Frist für die Umsetzung

Während die Meldepflicht ab dem 1. April 2025 gilt, hat der Bundesrat entschieden, die Sanktionsbestimmungen erst auf den 1. Oktober 2025 in Kraft zu setzen. In den ersten sechs Monaten nach Einführung wird die Nichtmeldung von Cyberangriffen somit noch nicht gebüsst. Unternehmen und Organisationen erhalten dadurch die nötige Zeit, ihre internen Prozesse auf die neuen Anforderungen abzustimmen.

Rechtsrahmen: ISG und CSV regeln die neuen Vorgaben

Die neue Regelung basiert auf dem überarbeiteten Bundesgesetz über die Informationssicherheit beim Bund (ISG) sowie auf der neuen Cybersicherheitsverordnung (CSV). Diese Verordnung konkretisiert unter anderem die Ausnahmen von der Meldepflicht und legt die Aufgaben des BACS sowie den Rahmen für den Informationsaustausch mit anderen Behörden fest. Gleichzeitig harmonisiert das neue Meldeverfahren die Anforderungen mit bestehenden Pflichten, beispielsweise im Datenschutzrecht.

Ein Meilenstein für die Cybersicherheit in der Schweiz

Mit der Einführung dieser ersten sektorübergreifenden Meldepflicht für Cyberangriffe setzt die Schweiz einen wichtigen Meilenstein im Aufbau einer widerstandsfähigen digitalen Infrastruktur und orientiert sich an internationalen Standards wie der EU-weiten NIS-Richtlinie.

BNC: Ihr Partner für Cybersicherheit

BNC unterstützt Unternehmen und Organisationen dabei, die neuen Vorgaben effizient umzusetzen und ihre Cybersicherheitsstrategie weiter zu stärken. Hier geht's zu unseren Consulting Services.

 

Das könnte Sie auch interessieren...

 
 

Parallelen zwischen dem Schweizer ISG und der EU-Richtlinie NIS-2

Diese Regulatoren weisen starke Parallelen auf, unterscheiden sich aber im Detail.

MEHR ERFAHREN

BNC_Icon_security-operations-center

 
Arctic Wolf verleiht BNC in der Schweiz den Gold Partnerstatus

Arctic Wolf verleiht BNC in der Schweiz den Gold Partnerstatus

Picture of Géraldine Wymann Géraldine Wymann : Jul 3, 2024 10:12:55 AM

Erfolgreiche Zusammenarbeit seit 2022 11 gemeinsame Projekte und eine starke Partnerschaft in der Cybersicherheit Arctic Wolf hat der Firma BNC in...

Cybersecurity Arctic Wolf Energie Thun
Read More
Medienmitteilung: VINCI Energies übernimmt die Fernao-Gruppe

Medienmitteilung: VINCI Energies übernimmt die Fernao-Gruppe

Picture of Géraldine Wymann Géraldine Wymann : Aug 22, 2024 8:37:51 AM

21. August 2024 VINCI Energies hat eine Vereinbarung zur Übernahme der Fernao-Gruppe, einem der führenden Anbietervon Cybersecurity-Dienstleistungen...

Read More
BNC Cyber Resilience Month

BNC Cyber Resilience Month

Picture of Géraldine Wymann Géraldine Wymann : Nov 6, 2023 10:05:44 PM

BNC präsentiert den BNC Cyber Resilience November Ihr Pfad zur Steigerung der Informationssicherheitsreife Während des ganzen Novembers halten wir...

Cybersecurity Netzwerksicherheit Cloud-Sicherheit ISO27001 Information Security
Read More