Update: Meldepflicht für Cyberangriffe auf kritische Infrastrukturen tritt in Kraft
Ab April 2025 müssen Betreiber kritischer Infrastrukturen dem Bund Cyberangriffe melden. Von der neuen Meldepflicht verspricht sich der Bund, Betroffene besser unterstützen und früher warnen zu können.
Update vom 10.03.2025: Die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in der Schweiz tritt per 1. April 2025 in Kraft. Dies hat der Bundesrat entschieden, wie einer Mitteilung zu entnehmen ist.
Meldepflichtige Behörden und Organisationen - wie beispielsweise die Energie- oder Trinkwasserversorgung, Transportunternehmen und die Verwaltungen von Kantonen und Gemeinden - müssen demnach Cyberangriffe innerhalb von 24 Stunden nach der Entdeckung an das Bundesamt für Cybersicherheit (BACS) melden. Dies gilt insbesondere dann, wenn der Angriff "die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat oder mit Erpressung, Drohung oder Nötigung verbunden ist", schreibt der Bund.
Erfolgen kann die Meldung entweder über ein spezielles Meldeformular, welches das BACS auf seiner Plattform für den Informationsaustausch mit Betreiberinnen kritischer Infrastrukturen anbietet. Alternativ ist auch die Meldung per E-Mail möglich. Wer sich nicht an die Meldepflicht hält, der kommt in den ersten 6 Monaten nach Inkrafttreten der neuen Regelung noch ohne Konsequenzen davon. Ab Oktober jedoch sanktioniert der Bund mit Geldbussen, wer der Meldepflicht nicht Folge leistet.
Der Bundesrat regelt die Details der Meldepflicht in der Cybersicherheitsverordnung (CSV), die er 2024 in die Vernehmlassung geschickt hatte. Aus den eingegangenen Feedbacks liest die Exekutive "eine breite Unterstützung für die Stärkung der Cybersicherheit in der Schweiz", wie es in der Mitteilung heisst.
Das wichtigste Anliegen der Betroffenen sei gewesen, dass die Meldepflicht möglichst einfach zu erfüllen und mit weiteren Meldepflichten (etwa datenschutzrechtlichen Meldepflichten) harmonisiert sei. Dieses Anliegen habe man berücksichtigt, erklärt der Bund. Demnach ermöglicht das Meldeformular des BACS eine rasche Erfassung der nötigen Informationen und auf Wunsch eine Weiterleitung an weitere Behörden, gegenüber denen ebenfalls eine Meldepflicht besteht, beispielsweise an die Eidgenössische Finanzmarktaufsicht oder an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
Übrigens plant das BACS auch mehrere Onlineveranstaltungen zur neuen Meldepflicht. Diese richten sich an Gemeinden und Unternehmen und finden im März 2025 statt. Mehr dazu lesen Sie hier.
Originalmeldung vom 23.05.2024 :
Bund regelt Meldepflicht für Cyberangriffe
Anfang 2024 ist das neue Informationssicherheitsgesetz (ISG) in Kraft getreten. Aussen vor blieb dabei jedoch die vom Parlament beschlossene Meldepflicht von Cyberangriffen auf kritische Infrastrukturen. Sie soll 2025 eingeführt werden. Die dazu gehörende Cybersicherheitsverordnung (CSV) schickte der Bundesrat am 22. Mai 2024 in die Vernehmlassung.
Keine Meldepflicht für kleine Behörden
In der Verordnung gibt der Bund vor, wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen umgesetzt werden soll. Ein Kernelement der CSV sind aber auch die Bestimmungen zu den Ausnahmen von der Meldepflicht. Explizit von der Meldepflicht ausgenommen sind gemäss Mitteilung Behörden und Unternehmen, bei denen ein Cyberangriff keine unmittelbaren Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat. Der entsprechende Artikel 16 enthält eine ganze Reihe von Schwellenwerten für bestimmte Unternehmen etwa aus der Energie- oder der ÖV-Branche.
Beispielsweise seien Anbieter und Betreiber von Cloud Computing und Suchmaschinen sowie Rechenzentren, die einen Sitz in der Schweiz haben, nur dann meldepflichtig, wenn sie ihre Leistungen teilweise oder vollumfänglich für Dritte und gegen Entgelt erbringen, schreibt der Bund in den Erläuterungen zur CSV. Rechenzentren, die ihre Leistung ausschliesslich für den Eigenbedarf erbringen, fallen nicht unter die Pflicht.
Wo keine konkreten Schwellenwerte definiert sind, gilt: Die Unternehmen sind von der Meldepflicht ausgeschlossen, "sofern sie im betroffenen Bereich weniger als 50 Personen beschäftigen und ihr Jahresumsatz beziehungsweise ihre Jahresbilanzsumme im betroffenen Bereich 10 Millionen Franken nicht übersteigt". Auch für kleine Behörden, die - gemessen an der ständigen Bevölkerung - für weniger als 1000 Personen zuständig sind, gelte die Meldepflicht nicht. "Die in der Regel kleinen bis sehr kleinen Verwaltungen dieser Gemeinden sollen durch eine Meldepflicht nicht zusätzlich belastet werden", schreibt der Bund in den Erläuterungen. Er fügt an, dass mit diesem Schwellenwert fast 40 Prozent der Gemeinden entbunden seien. "Davon wären gesamthaft rund 430'000 Einwohnerinnen und Einwohner betroffen." Die Ausnahme zu dieser Ausnahme sind "Anbieterinnen und Betreiberinnen von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen. Diese sind auch dann meldepflichtig, wenn sie ihre Dienste und Infrastrukturen für weniger als 1000 Einwohnerinnen und Einwohner anbieten."
Wer nicht sicher ist, kann nachfragen
Laut einer unlängst durchgeführten Befragung gibt es viele Unternehmen, die nicht sicher sind, ob sie Cyberangriffe künftig melden sollen oder nicht. Unsicherheit sei zu erwarten, räumt der Bund im Bericht zur CSV (PDF) ein. In einem Artikel schafft er deswegen die Möglichkeit für interessierte Behörden und Organisationen, beim Bundesamt für Cybersicherheit (BACS) vorstellig zu werden und bezüglich einer Meldepflicht – oder einer Befreiung davon – nachzufragen. Dafür müssten die Nachfragenden dem Bundesamt "alle erforderlichen Unterlagen zur Verfügung stellen". Die Auskunft des BACS sei ausserdem eine Momentaufnahme, fügt der Bund hinzu. Bei einer wesentlichen Änderung der relevanten Tatsachen oder Umstände sei die betroffene Organisation dafür verantwortlich, unverzüglich der Meldepflicht nachzukommen oder bei Unsicherheit erneut beim BACS anzuklopfen.
Die Verordnung enthält auch genauere Definitionen, welche Angriffe konkret gemeldet werden müssen, unterteilt in die Abschnitte "Gefährdung der Funktionsfähigkeit der kritischen Infrastruktur", "Manipulation oder Abfluss von Informationen", "Über einen längeren Zeitraum unentdeckter Cyberangriff" und "Mit Erpressung, Drohung oder Nötigung verbundener Cyberangriff".
Insgesamt ist die CSV in 6 Hauptabschnitte gegliedert, von denen sich nur einer mit den Bestimmungen zur Meldepflicht befasst. In einem weiteren Abschnitt regelt der Bund die Nationale Cyberstrategie (NCS) und den dafür einberufenen Steuerungsausschuss. Auch ein Abschnitt zu den Aufgaben des BACS sowie einer über ein vom BACS betriebenes Kommunikationssystem sind enthalten. Das System diene dem sicheren und vertraulichen Informationsaustausch zwischen dem Bundesamt und Organisationen und Behörden mit Sitz in der Schweiz. Zudem können die Betreiber kritischer Infrastrukturen dem BACS Dienstleister melden, die ebenfalls Zugang zum System erhalten sollen.
Die Vernehmlassung der CSV dauert bis zum 13. September 2024.
Anfang 2024 ist aus dem Nationalen Zentrum für Cybersicherheit ein Bundesamt geworden. Das neue Staatssekretariat für Sicherheitspolitik ist indes für die Sicherheitspolitik und die Informationssicherheit verantwortlich. Details dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Oracle mutmasslich von Datendiebstahl betroffen
Homeoffice am POS? Aber klar doch!
Ticketbetrüger nehmen Konzertgänger ins Visier
Was der Cyber Resilience Act von Schweizer Unternehmen fordert
Software treibt die Ausgaben für Security in die Höhe
Cyberkriminelle verbreiten Malware mit gefälschten Online-Dateikonverter
Cybercrime-Gruppe nimmt Hypervisors ins Fadenkreuz
Die Schweiz hat nun ihren offiziellen Gaia-X-Hub
G wie Gurken - ein Allzeit-Klassiker
