Am 7. März 2025 hat der Bundesrat die neue Meldepflicht für Cyberangriffe auf Betreiber kritischer Infrastrukturen beschlossen. Ab dem 1. April 2025 müssen betroffene Unternehmen und IT-Dienstleister Cyberangriffe innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS) melden. Besonders relevant ist dabei, dass auch Cybervorfälle, die erst nach längerer Zeit – mehr als 90 Tagen – entdeckt werden, unter die Meldepflicht fallen.
Ziel dieser Massnahme ist es, die Resilienz gegenüber Cyberbedrohungen zu erhöhen und die Zusammenarbeit zwischen betroffenen Organisationen zu stärken. Was das genau bedeutet, erfahren Sie hier.
Für die Erfassung der Meldungen stellt das BACS ein speziell entwickeltes Formular auf seiner bestehenden Plattform zur Verfügung. Sollte der Zugriff auf diese Plattform nicht möglich sein, kann alternativ eine Meldung über ein E-Mail-Formular erfolgen, das auf der Website des BACS bereitgestellt wird. Falls in der ersten Meldung nicht alle notwendigen Informationen enthalten sind, gewährt das BACS eine Nachfrist von 14 Tagen für eine vollständige Ergänzung.
Während die Meldepflicht ab dem 1. April 2025 gilt, hat der Bundesrat entschieden, die Sanktionsbestimmungen erst auf den 1. Oktober 2025 in Kraft zu setzen. In den ersten sechs Monaten nach Einführung wird die Nichtmeldung von Cyberangriffen somit noch nicht gebüsst. Unternehmen und Organisationen erhalten dadurch die nötige Zeit, ihre internen Prozesse auf die neuen Anforderungen abzustimmen.
Die neue Regelung basiert auf dem überarbeiteten Bundesgesetz über die Informationssicherheit beim Bund (ISG) sowie auf der neuen Cybersicherheitsverordnung (CSV). Diese Verordnung konkretisiert unter anderem die Ausnahmen von der Meldepflicht und legt die Aufgaben des BACS sowie den Rahmen für den Informationsaustausch mit anderen Behörden fest. Gleichzeitig harmonisiert das neue Meldeverfahren die Anforderungen mit bestehenden Pflichten, beispielsweise im Datenschutzrecht.
Mit der Einführung dieser ersten sektorübergreifenden Meldepflicht für Cyberangriffe setzt die Schweiz einen wichtigen Meilenstein im Aufbau einer widerstandsfähigen digitalen Infrastruktur und orientiert sich an internationalen Standards wie der EU-weiten NIS-Richtlinie.
BNC unterstützt Unternehmen und Organisationen dabei, die neuen Vorgaben effizient umzusetzen und ihre Cybersicherheitsstrategie weiter zu stärken. Hier geht's zu unseren Consulting Services.