• Home
  • Security & Resilience
  • Eid­ge­nös­si­sches Depar­te­ment für Ver­tei­di­gung, Bevöl­ke­rungs­schutz und Sport (VBS): Mel­de­pflicht für Cyber­an­grif­fe bei kri­ti­schen Infra­struk­tu­ren kommt wohl im Jahr 2025

Eid­ge­nös­si­sches Depar­te­ment für Ver­tei­di­gung, Bevöl­ke­rungs­schutz und Sport (VBS): Mel­de­pflicht für Cyber­an­grif­fe bei kri­ti­schen Infra­struk­tu­ren kommt wohl im Jahr 2025

Das Infor­ma­ti­ons­si­cher­heits­ge­setz und sei­ne vier Aus­füh­rungs­ver­ord­nun­gen wur­den jüngst auf den 1. Janu­ar 2024 in Kraft gesetzt (s. hier). Nicht von die­sem Gesetz­ge­bungs­pa­ket umfasst sind die Ände­rungs­be­stim­mun­gen zum ISG, wel­che noch wäh­rend des Gesetz­ge­bungs­ver­fah­rens auf den Weg gebracht wur­den und ins­be­son­de­re eine Mel­de­pflicht für Cyber­an­grif­fe bei kri­ti­schen Infra­struk­tu­ren vor­se­hen. Danach müs­sen Betrei­ber kri­ti­scher Infra­struk­tu­ren Cyber­an­grif­fe unter Umstän­den inner­halb von 24 Stun­den an das Natio­na­le Zen­trum für Cyber­si­cher­heit mel­den (zu den Ein­zel­hei­ten s. hier). Das Par­la­ment hat die Ände­rungs­be­stim­mun­gen zum ISG am 29. Sep­tem­ber 2023 ver­ab­schie­det, die Refe­ren­dums­frist läuft am 18. Janu­ar ab.

Die dazu­ge­hö­ri­gen Ver­ord­nungs­be­stim­mun­gen wer­den der­zeit vom Depar­te­ment für Ver­tei­di­gung, Bevöl­ke­rungs­schutz und Sport (VBS) erar­bei­tet. Das VBS hat am 13. Novem­ber 2023 kom­mu­ni­ziert, der Bun­des­rat wer­de vor­aus­sicht­lich im 1. Halb­jahr 2024 eine Ver­nehm­las­sung durch­füh­ren. Es ist daher zu erwar­ten, dass Infor­ma­tio­nen zum Ver­nehm­las­sungs­ver­fah­ren bald auf Fed­lex ver­füg­bar sein wer­den (s. geplan­te Ver­nehm­las­sun­gen, bzw. lau­fen­de Ver­nehm­las­sun­gen).

Nach den Anga­ben des VBS sind die Pla­nun­gen der­zeit dar­auf aus­ge­rich­tet, dass die Bestim­mun­gen zur Mel­de­pflicht am 1. Janu­ar 2025 in Kraft tre­ten. Betrei­ber kri­ti­scher Infra­struk­tu­ren haben also vor­aus­sicht­lich noch gut ein Jahr Zeit, um sich auf die neu­en Pflich­ten vorzubereiten.