Public Knowledge Base
Breadcrumbs

Meldepflicht für Cyberangriffe

Wer unterliegt der Meldepflicht?

  • Kritische Infrastrukturen wie Energieversorger, Gesundheitswesen, Banken und Telekommunikation

  • IT-Dienstleister, die Rechenzentren betreiben, Cloud-Computing anbieten oder digitale Sicherheitsdienste bereitstellen

  • Hersteller von Hard- und Software mit Fernwartungszugang

  • Unternehmen, die IT-Sicherheitsleistungen für kritische Infrastrukturen erbringen


Welche Cyberangriffe sind meldepflichtig?

  • Angriffe, die die Funktionsfähigkeit einer kritischen Infrastruktur gefährden

  • Manipulation oder Abfluss sensibler Informationen

  • Unentdeckte Cyberangriffe über mehr als 90 Tage

  • Angriffe mit Erpressung oder Drohung


Was ist bei einem Cyberangriff zu tun?

  • Meldung innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS)

  • Relevante Informationen bereitstellen (Zeitpunkt, Auswirkungen, bekannte Angreifer)

  • Nachreichen fehlender Angaben innerhalb von 14 Tagen

  • Einhaltung der internen Reaktions- und Notfallpläne zur Schadensminimierung


Welche Konsequenzen drohen bei Missachtung?

  • Ab Oktober 2025: Bussen bis zu 100'000 CHF

  • Bereits ab April 2025: gesetzliche Meldepflicht ohne Sanktionen in der Übergangsphase


Unterschiede zur Meldepflicht nach Datenschutzgesetz (DSG):

  • ISG schützt die Infrastruktur – DSG schützt personenbezogene Daten


Ihr Handlungsbedarf:

  1. Prüfen, ob Ihr Unternehmen unter die Meldepflicht fällt

  2. Prozesse anpassen, um eine Meldung innerhalb von 24 Stunden sicherzustellen

  3. Sensibilisierung interner und externer IT-Dienstleister

  4. Implementierung geeigneter Sicherheitsmassnahmen zur frühzeitigen Erkennung von Angriffen

  5. Im Zweifelsfall eine Beurteilung durch das Bacs einholen