Wer unterliegt der Meldepflicht?
-
Kritische Infrastrukturen wie Energieversorger, Gesundheitswesen, Banken und Telekommunikation
-
IT-Dienstleister, die Rechenzentren betreiben, Cloud-Computing anbieten oder digitale Sicherheitsdienste bereitstellen
-
Hersteller von Hard- und Software mit Fernwartungszugang
-
Unternehmen, die IT-Sicherheitsleistungen für kritische Infrastrukturen erbringen
Welche Cyberangriffe sind meldepflichtig?
-
Angriffe, die die Funktionsfähigkeit einer kritischen Infrastruktur gefährden
-
Manipulation oder Abfluss sensibler Informationen
-
Unentdeckte Cyberangriffe über mehr als 90 Tage
-
Angriffe mit Erpressung oder Drohung
Was ist bei einem Cyberangriff zu tun?
-
Meldung innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS)
-
Relevante Informationen bereitstellen (Zeitpunkt, Auswirkungen, bekannte Angreifer)
-
Nachreichen fehlender Angaben innerhalb von 14 Tagen
-
Einhaltung der internen Reaktions- und Notfallpläne zur Schadensminimierung
Welche Konsequenzen drohen bei Missachtung?
-
Ab Oktober 2025: Bussen bis zu 100'000 CHF
-
Bereits ab April 2025: gesetzliche Meldepflicht ohne Sanktionen in der Übergangsphase
Unterschiede zur Meldepflicht nach Datenschutzgesetz (DSG):
Ihr Handlungsbedarf:
-
Prüfen, ob Ihr Unternehmen unter die Meldepflicht fällt
-
Prozesse anpassen, um eine Meldung innerhalb von 24 Stunden sicherzustellen
-
Sensibilisierung interner und externer IT-Dienstleister
-
Implementierung geeigneter Sicherheitsmassnahmen zur frühzeitigen Erkennung von Angriffen
-
Im Zweifelsfall eine Beurteilung durch das Bacs einholen