(19.03.2025) Ab dem 1. April 2025 sind die Betreiber von kritischer Infrastruktur verpflichtet, Cyberangriffe innert 24 Stunden nach deren Entdeckung an das Bundesamt für Cybersicherheit (BACS) zu melden.
Diese Meldungen sollen es dem BACS (ehemals Nationales Zentrum für Cybersicherheit, NCSC) erlauben, von Cyberangriffen betroffene Unternehmen besser zu unterstützen. Kritische Infrastruktur bezeichnet neun Sektoren: Behörden, Energie, Entsorgung, Finanzen, Gesundheit, Information und Kommunikation, Nahrung, öffentliche Sicherheit und Verkehr.
Für die Meldung von Cybervorfällen an das BACS wurde ein Online-Formular erstellt. Um darauf zuzugreifen, müssen sich die Unternehmen beim Cyber Security Hub anmelden. Organisationen, die sich nicht auf dieser Plattform anmelden wollen, können ihre Meldung per E-Mail an die Adresse notification@ncsc.ch schicken.
Wenn nicht alle Informationen über den Cyberangriff vor Ablauf der 24 Stunden verfügbar sind, kann die Meldung innert einer Frist von 14 Tagen vervollständigt werden. Damit die Unternehmen Zeit haben, sich darauf einzustellen, werden Versäumnisse in den ersten sechs Monaten nicht sanktioniert. Ab dem 1. Oktober 2025 wird bei Verstössen gegen die Meldepflicht jedoch ein Bussgeld fällig.
Bestimmte Unternehmen in diesem Bereich sind allerdings von der Meldepflicht befreit. Die Ausnahme gilt für Firmen mit weniger als 50 Beschäftigten, deren Jahresumsatz bzw. Jahresbilanz im Bereich der kritischen Infrastruktur weniger als CHF 10 Millionen beträgt.
Jedoch sind auch Unternehmen, die der Meldepflicht nicht unterliegen, dazu aufgefordert, freiwillig über das entsprechende Formular die Behörden zu informieren, um zur allgemeinen IT-Sicherheit beizutragen.
Letzte Änderung 19.03.2025
