Thought Leadership
Die Schweizer Regierung hat beschlossen, dass Betreiber kritischer Infrastrukturen künftig verpflichtet sind, Cyberangriffe innerhalb von 24 Stunden an das National Cyber Security Centre (NCSC) zu melden.
Der Bundesrat hat die entsprechende Änderung am 7. März vorgestellt. Grundlage ist eine Anpassung des Informationssicherheitsgesetzes (ISG) vom 29. September 2023, die am 1. April 2025 in Kraft tritt.
Zu den betroffenen Akteuren zählen unter anderem Energie- und Trinkwasserversorger, Transportbetriebe sowie kantonale und kommunale Verwaltungen. Laut Bundesrat muss eine Meldung erfolgen, wenn ein Angriff die Funktionsfähigkeit der kritischen Infrastruktur gefährdet, zu Manipulationen oder Datenabfluss geführt hat oder Erpressung, Drohungen oder Nötigung im Spiel sind.
Strafandrohung bei versäumter Meldung
Für die Meldung steht ein Formular auf dem “Cyber Security Hub” des NCSC zur Verfügung, einer Plattform, über die das Bundesamt mit den relevanten Organisationen kommuniziert. Wer nicht bei dieser Plattform registriert ist, kann das ausgefüllte Formular alternativ per E-Mail ans NCSC schicken. Die erste Meldung ist innerhalb von 24 Stunden nach Entdeckung des Vorfalls fällig; anschließend haben die betroffenen Organisationen noch 14 Tage Zeit, um den Bericht zu vervollständigen.
Organisationen, die dieser Pflicht nicht nachkommen, riskieren Geldbußen. Die Schweizer Behörden haben jedoch noch keine konkrete Höhe für mögliche Strafen genannt. Damit Unternehmen und Verwaltungen genug Zeit haben, sich auf die neue Regelung vorzubereiten, ist bis zum 1. Oktober 2025 eine Übergangsfrist vorgesehen.
