Der Bundesrat hat die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen gemäss dem revidierten ISG sowie die Cybersicherheitsverordnung (CSV) auf den 1. April 2025 in Kraft gesetzt (dazu hier). Betreiber kritischer Infrastrukturen werden dadurch verpflichtet, dem Bundesamt für Cybersicherheit (BACS) Cyberangriffe innerhalb von 24 Stunden nach Entdeckung zu melden:
- Medienmitteilung
- unsere Zusammenstellung der Änderungen – das ISG mit den neuen Bestimmungen und entsprechenden Auszügen aus der Botschaft, und die CSV mit Auszügen aus dem Erläuterungsbericht, jeweils auf Deutsch und auf Englisch
- Dossier des BACS zur Meldepflicht
Kritische Infrastrukturen im Sinne der Meldepflicht sind folgende:
- Hochschulen
- Bundes‑, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen
- Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung
- Unternehmen in den Bereichen Energieversorgung, Energiehandel, Energiemessung oder Energiesteuerung
- Banken, Versicherer und Finanzmarktinfrastrukturen (aber nicht Finanzdienstleister)
- Gesundheitseinrichtungen auf der kantonalen Spitalliste
- medizinische Laboratorien mit einer Bewilligung nach dem Epidemiengesetz
- Unternehmen mit einer Bewilligung für die Herstellung, das Inverkehrbringen und die Einfuhr von Arzneimitteln
- Sozialversicherer
- die SRG
- Nachrichtenagenturen von nationaler Bedeutung
- Anbieterinnen von Postdiensten
- Eisenbahnunternehmen sowie konzessinierte Seilbahn‑, Trolleybus‑, Autobus- und Schifffahrtsunternehmen
- Unternehmen der Zivilluftfahrt
- Versorger der Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen, wenn ihr Ausfall oder ihre Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde
- registrierte Fernmeldedienstanbieter
- Registerbetreiber und Registrare von Internet-Domains
- Anbieter und Betreiber von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen
- Anbieter und Betreiber von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben
- Hersteller von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Hard- oder Software einen Fernwartungszugang hat oder zu bestimmten Zwecken eingesetzt wird
Einige Ausnahmen und Schwellenwerte regelt Art. 16 CSV.
Cyberangriffe müssen nach den neuen Bestimmungen nur unter bestimmten qualifizierenden Umständen gemeldet werden (aber freiwillige Meldungen werden gerne entgegengenommen). Die Verletzung der Meldepflicht als solche ist dabei entgegen der Mitteilung des Bundesrats nicht strafbar; eine Busse sieht das Gesetz erst dann vor, wenn einer rechtskräftigen Verfügung des BACS vorsätzlich nicht Folge leistet.
Das BACS stellt ein Meldeformular zur Verfügung. Organisationen ohne Zugriff können die Meldungen auch per E‑Mail-Formular abgeben. Meldungen können auch an weitere Behörden weitergeleitet werden, wenn eine Meldepflicht besteht, beispielsweise an die FINMA oder den EDÖB (wobei die Voraussetzungen der Meldepflicht separat zu beurteilen sind). Die Weiterleitung erfolgt Realtime, sollte also keinen Zeitverlust mit sich bringen.
Ebenfalls auf den 1. April 2025 hat der Bundesrat die “Verordnung über die Anpassung von Gesetzen infolge der Änderung der Bezeichnung des Nationalen Zentrums für Cybersicherheit (NCSC) in Bundesamt für Cybersicherheit (BACS)” erlassen, die den Namenswechsel im Zusammenhang mit der Überführung des NCSC in ein Bundesamt beim VBS betrifft.