04/2025 – Fachartikel Swiss Infosec AG
Betreiber kritischer Infrastrukturen müssen Cyberangriffe dem BACS innert 24 Stunden melden
Seit dem 1. April 2025 müssen Betreiberinnen und Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung dem Bundesamt für Cybersicherheit (BACS) (früher: Nationales Zentrum für Cybersicherheit [NCSC]) melden.
Das Informationssicherheitsgesetz (ISG) vom 29. September 2023 soll die sichere Bearbeitung der Informationen, für die der Bund zuständig ist, sowie den sicheren Einsatz der Informatikmittel des Bundes gewährleisten. Art. 74b Abs. 1 ISG definiert die meldepflichtigen Behörden und Organisationen im Falle eines Cyberangriffs. Dazu gehören etwa Unternehmen der Energie- oder Trinkwasserversorgung, Transportunternehmen, Listenspitäler, Anbieter von Cloudcomputing, Rechenzentren und die Verwaltungen von Kantonen und Gemeinden.
Meldepflichtig sind primär Cyberangriffe mit grossem Schadenspotenzial. Dies ist insbesondere dann der Fall, wenn der Angriff die Funktionsfähigkeit der betroffenen Infrastruktur gefährdet, eine Manipulation oder ein unbefugter Abfluss von Informationen erfolgt oder der Angriff mit Erpressung, Drohung oder Nötigung verbunden ist. Typische Beispiele hierfür sind etwa erfolgreich im System installierte Schadsoftware oder der Einsatz von Verschlüsselungstrojanern.
Zum ISG gehören mehrere Verordnungen, so auch die per 1. April 2025 in Kraft gesetzte Cybersicherheitsverordnung (CSV). Diese enthält unter anderem Ausführungsbestimmungen zur Meldepflicht bei Cyberangriffen und regelt dazugehörige Ausnahmen. Ausnahmen von der Meldepflicht bestehen dann, wenn durch Cyberangriffe ausgelöste Funktionsstörungen nur geringe Auswirkungen auf die öffentliche Ordnung, die Sicherheit, das Wohlergehen der Bevölkerung oder das Funktionieren der Wirtschaft haben.
Bussen für unterlassene Meldungen sind seit dem 1. Oktober 2025 möglich. Eine Busse (bis CHF 100’000.-) wird allerdings nicht bereits aufgrund einer nicht vorgenommenen Meldung ausgesprochen, sondern erst dann, wenn das BACS eine entsprechende Verfügung erlässt und dieser Verfügung nicht Folge geleistet wird.
Die Meldung an das BACS kann auf deren Online-Plattform «Cyber Security Hub» (CSH) durchgeführt werden oder alternativ per E-Mail.
Es ist wichtig, die Meldung innert 24 Stunden vorzunehmen, auch wenn noch nicht alle Informationen über den Cyberangriff vorliegen. Denn fehlende Angaben können innerhalb von zwei Wochen nachgereicht und so die Meldung nachträglich vervollständigt werden. Art. 15 CSV listet die angeforderten Angaben einer Meldung auf.
Übrigens: Organisationen können Cyberangriffe auch dann melden, wenn sie dazu nicht verpflichtet sind. Das BACS empfiehlt dies ausdrücklich, um zur allgemeinen Cybersicherheit in der Schweiz beizutragen.
Zu beachten bleibt die Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bei Verletzungen der Datensicherheit («Data Breach») nach Art. 24 des Datenschutzgesetzes (DSG). Auf Wunsch kann eine Meldung über die BACS-Plattform CSH an den EDÖB weitergeleitet werden, sofern der Cyberangriff auch eine Meldepflicht nach dem DSG auslöst. Dasselbe gilt für Meldepflichten gegenüber der Eidgenössischen Finanzmarktaufsicht (FINMA).
Fragen Sie sich, wie Sie die Meldepflicht in Ihrer Organisation korrekt umsetzen können? Die Spezialisten von der Swiss Infosec AG helfen Ihnen gerne weiter. Sie erreichen uns unter +41 41 984 12 12, infosec@infosec.ch.
Swiss Infosec AG; 18.03.2025 | überarbeitet: 11.11.2025
Kompetenzzentrum Datenschutz