Das Informationssicherheitsgesetz und seine vier Ausführungsverordnungen wurden jüngst auf den 1. Januar 2024 in Kraft gesetzt (s. hier). Nicht von diesem Gesetzgebungspaket umfasst sind die Änderungsbestimmungen zum ISG, welche noch während des Gesetzgebungsverfahrens auf den Weg gebracht wurden und insbesondere eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen vorsehen. Danach müssen Betreiber kritischer Infrastrukturen Cyberangriffe unter Umständen innerhalb von 24 Stunden an das Nationale Zentrum für Cybersicherheit melden (zu den Einzelheiten s. hier). Das Parlament hat die Änderungsbestimmungen zum ISG am 29. September 2023 verabschiedet, die Referendumsfrist läuft am 18. Januar ab.
Die dazugehörigen Verordnungsbestimmungen werden derzeit vom Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) erarbeitet. Das VBS hat am 13. November 2023 kommuniziert, der Bundesrat werde voraussichtlich im 1. Halbjahr 2024 eine Vernehmlassung durchführen. Es ist daher zu erwarten, dass Informationen zum Vernehmlassungsverfahren bald auf Fedlex verfügbar sein werden (s. geplante Vernehmlassungen, bzw. laufende Vernehmlassungen).
Nach den Angaben des VBS sind die Planungen derzeit darauf ausgerichtet, dass die Bestimmungen zur Meldepflicht am 1. Januar 2025 in Kraft treten. Betreiber kritischer Infrastrukturen haben also voraussichtlich noch gut ein Jahr Zeit, um sich auf die neuen Pflichten vorzubereiten.