April 2025: Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in der Schweiz
- Mit dem revidierten Informationssicherheitsgesetzt (ISG) gilt ab dem 1. April eine neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Betreiber sind nun verpflichtet, solche Angriffe innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS) zu melden.
- Die Meldepflicht dient dazu, die Cybersicherheit in der Schweiz zu stärken und dem BACS einen besseren Überblick über die aktuelle Bedrohungslage zu ermöglichen.
- Ab dem 1. Oktober 2025 werden Bussgelder fällig, falls der Betreiber einen Cybervorfall nicht meldet.
Folgende Checkliste kann jeder Organisation in der Schweiz helfen, die relevanten Fragen zur Betroffenheit in einem ersten Schritt zu klären:
Frage 1: Meldepflicht oder freiwillige Meldung von Cybervorfällen?
Prüfen Sie, ob Ihre Organisation nach ISG meldepflichtig ist. Folgende Sektoren sind meldepflichtig ISG Artikel 74b:
- Hochschulen
- Bundes-, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen
- Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung
- Unternehmen, die in den Bereichen Energieversorgung, Energiehandel, Energiemessung oder Energiesteuerung tätig sind
- Banken, Versicherungen
- Gesundheitseinrichtungen (siehe kantonale Spitallisten)
- Medizinische Laboratorien (siehe Epidemiengesetz)
- Pharmaunternehmen (Herstellung, Inverkehrbringen, Einfuhr von Arzneimitteln)
- Krankenversicherungen (Krankheit, Unfall, Arbeits- und Erwerbsunfähigkeit, Alter, Invalidität)
- Schweizerische Radio- und Fernsehgesellschaft
- Nachrichtenagenturen von nationaler Bedeutung
- Anbieterinnen von Postdiensten
- Eisenbahnunternehmen sowie Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen
- Zivilluftfahrt und Landesflughäfen
- Seeschifffahrt und Hafenbetreiber
- Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde
- Anbieterinnen von Fernmeldediensten
- Registerbetreiberinnen und Registrare von Internet-Domains
- Dienste und Infrastrukturen, die der Ausübung der politischen Rechte dienen
- Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben
- Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden
[ x ] Unsere Organisation ist meldepflichtig nach ISG Artikel 74b.
[ x ] Unsere Organisation ist nicht meldepflichtig. Wir melden aber freiwillig dem BACS Cybervorfälle.
Frage 2: Trifft eine Ausnahme der Meldepflicht zu?
Prüfen Sie, ob für Ihre Organisation Ausnahmeregeln gelten. Für bestimmte Sektoren sind in der Cybersicherheitsverordnungen (CSV) Ausnahmen der Meldepflicht aufgrund von Schwellenwerten definiert (z.B. Anzahl Mitarbeiter, Umsatz, Produktionsvolumen).
- Ausgewählte Beispiele für Ausnahmen
- Hochschulen mit weniger als 2000 Studierende
Ausnahmen (Schwellenwerte) für Netzbetreiber, Elektrizitätserzeuger, Elektrizitätsspeicherbetreiber oder Dienstleister im Elektrizitätsbereich, Betreiber von Gasleitungen- Ausnahmen für Eisenbahnunternehmen sowie Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen
- Ausnahmen für bestimmte medizinische Laboratorien und Pharmaunternehmen
etc.
[ Ja / Nein ] Für unsere Organisation gilt eine Ausnahme von der Meldepflicht.
Frage 3: Sind weitere Vorgaben des ISG für meine Organisation relevant?
Das ISG stellt neben der Meldepflicht auch weitere Anforderungen an Organisationen, die mit der Bundesverwaltung zusammenarbeiten und in diesem Kontext Daten verarbeiten.
[ Ja / Nein ] Unsere Organisation hat weitere Pflichten gemäss ISG.
Frage 4: Sind unsere Kunden von der ISG Meldepflicht betroffen?
Es kann auch der Fall eintreten, dass ihre Organisation nicht meldepflichtig ist, sie aber Kunden in meldepflichtigen Sektoren bedienen. In diesem Szenario könnte der Kunde von Ihnen bestimmte Nachweise für die Gewährleistung der Cybersicherheit vertraglich einfordern bzw. in öffentlichen Ausschreibungen als Kriterium fordern.
[ Ja/ Nein ] Unsere Organisation hat Kunden in meldepflichtigen Sektoren.
Frage 5: Ist unsere Organisation von den Cybersicherheitsgesetzen in der EU betroffen?
Falls Ihre Organisation Produkte und Dienstleistungen in die EU/EWR vertreibt müssen Sie prüfen, ob europäische Regulierungen für Ihre Organisation relevant sind u.a.
- EU NIS-2: Netz- und Informationssicherheit Richtline (ähnlich wie ISG, aber NIS-2 hat andere Definitionen von Sektoren).
- EU CRA: Der Cyber Resilience Act stellt Anforderungen an Produkte mit digitalen Elementen, die in der EU eingesetzt werden.
- EU AI Act : Cybersicherheitsanforderungen für Hochrisiko-KI-Systeme.
[ Ja/ Nein ] Unsere Organisation ist von weiteren EU Cybersicherheitsgesetzen betroffen.
Unsere krm Berater stehen Ihnen gerne für einen ISG Readyness Workshop zur Verfügung.
Autor: Dr. Daniel Burgwinkel
0 Kommentare