Aufgrund der zunehmenden Bedrohung durch Cybervorfälle wird in der Schweiz eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen eingeführt. Die Betreiber von kritischen Infrastrukturen werden demnach dazu verpflichtet, dem Bundesamt für Cybersicherheit (BACS) Cyberangriffe zu melden. Der Bundesrat hat die dafür erforderliche Änderung des Bundesgesetzes über die Informationssicherheit beim Bund vom 29. September 2023 per 1. April in Kraft gesetzt. Das ISG legt fest, dass meldepflichtige Behörden und Organisationen wie beispielsweise die Energie- oder Trinkwasserversorgung, Transportunternehmen und die Verwaltungen von Kantonen und Gemeinden Cyberangriffe innerhalb von 24 Stunden nach der Entdeckung an das BACS melden müssen.
Ein Cyberangriff muss demnach unter anderem gemeldet werden, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat oder mit Erpressung, Drohung oder Nötigung verbunden ist. Wird der Meldepflicht nicht Folge geleistet, sieht das Gesetz Bussen vor. Damit den Betroffenen genügend Zeit bleibt, sich auf die neue Meldepflicht einzustellen, hat der Bundesrat beschlossen, die gesetzlichen Grundlagen für die Bussen erst per 1. Oktober 2025 in Kraft zu setzen. In den ersten 6 Monaten gilt somit die Meldepflicht, die Unterlassung von Meldungen wird aber noch nicht sanktioniert.
Um den Meldeprozess möglichst einfach zu gestalten, stellt das BACS auf seiner bestehenden Plattform ein Meldeformular zur Verfügung. Organisationen, welche keinen Zugriff auf die Plattform haben, können alternativ die Meldungen auch per E-Mail-Formular abgeben, welches auf der Website des BACS zur Verfügung stehen soll. Können bei der Erstmeldung innerhalb von 24 Stunden noch nicht alle Angaben gemacht werden, besteht eine Frist von 14 Tagen, um die Meldung zu vervollständigen.
Weiter hat der Bundesrat an seiner heutigen Sitzung die Cybersicherheitsverordnung (CSV) gutgeheissen und ebenfalls auf den 1. April 2025 in Kraft gesetzt. Die CSV enthält die Ausführungsbestimmungen zur Meldepflicht und regelt insbesondere die Ausnahmen. Des Weiteren enthält die Verordnung auch Bestimmungen über die Nationale Cyberstrategie, die Aufgaben des BACS und den Informationsaustausch des BACS mit Behörden und Organisationen.
Eine weitere Verordnung betrifft den Namenswechsel im Zusammenhang mit der Überführung des Nationalen Zentrums für Cybersicherheit (NCSC) in ein Bundesamt im VBS. Um diesen Namenswechsel in den rechtlichen Grundlagen nachzuvollziehen, hat der Bundesrat eine entsprechende Verordnung per 1. April erlassen.
Die Einführung der Meldepflicht als erste sektorübergreifende Regulierung sei ein Meilenstein für die Cybersicherheit der Schweiz, betont der Bundesrat. Die Stärkung des Informationsaustausches sei entscheidend, um der raschen Entwicklung der Cyberbedrohungen mit geeigneten Massnahmen entgegenzutreten. Die Einführung der Meldepflicht für Cyberangriffe in der Schweiz entspreche internationalen Standards. Seit 2018 gelte in allen EU-Mitgliedstaaten eine Meldepflicht für Cybervorfälle gemäss der NIS-Richtlinie.
