Meldepflicht für kritische Infrastrukturen

Ein Cyberangriff ist ein Ereignis im Zusammenhang mit der Nutzung von Informatikmitteln, das die Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen oder die Nachvollziehbarkeit ihrer Bearbeitung beeinträchtigt und absichtlich ausgelöst wird [3].

Ein Cyberangriff muss gemeldet werden, wenn er:

• die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet [4];
• zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat [5];
• über einen längeren Zeitraum, das heisst mehr als 90 Tage, unentdeckt blieb, insbesondere wenn Anzeichen dafür bestehen, dass er zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde [6]; oder
• mit Erpressung, Drohung oder Nötigung verbunden ist [7].

Beispiele für Angriffsarten umfassen unter anderem:

• Erfolgreich im System installierte Schadsoftware;
• Verschlüsselungstrojaner;
• Angriffe auf die Verfügbarkeit; oder
• unerlaubtes Eindringen in das Datenverarbeitungssystem durch das Ausnutzen von Schwachstellen [8].

Meldepflicht für Betreiber kritischer Infrastrukturen

Kritische Infrastrukturen werden in neun Sektoren eingeteilt: Behörden, Energie, Entsorgung, Finanzen, Gesundheit, Information und Kommunikation, Nahrung, öffentliche Sicherheit und Verkehr [9]. Die von der Meldepflicht betroffenen Behörden und Organisationen dieser Sektoren werden in Artikel 74b Absatz 1 ISG ausdrücklich umschrieben. Darunter fallen z.B. Unternehmen, die in Bereichen wie der Energie­versorgung [10], dem Energiehandel, der Energiemessung oder der Energie­steuerung tätig sind, mit Ausnahme der Bewilligungs­inhaber gemäss dem Kernenergiegesetz, sofern der Cyberangriff auf eine Kernanlage abzielt [11]. Ebenfalls erfasst werden Hersteller von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden, wenn diese Produkte über Fern­wartungs­zugänge verfügen oder zur Steuerung und Überwachung von betriebs­techni­schen Systemen und Prozessen oder zur Gewährleistung der öffentlichen Sicherheit eingesetzt werden [12].

Die meldepflichtigen Stellen müssen dafür sorgen, dass dem BACS Cyber­angriffe auf ihre Informatik­mittel gemeldet werden. Der Begriff «ihre Informatik­mittel» umfasst alle Informatik­mittel, die für die Erfüllung der Aufgaben der kritischen Infra­struktur eingesetzt werden – unabhängig davon, ob sie intern betrieben oder von Dritten bereitgestellt werden. Nutzt eine melde­pflichtige Behörde oder Organisation beispiels­weise eine SaaS-Lösung und kommt es dort zu einem Cyberangriff mit Auswirkungen auf deren Daten oder Funktionen, ist die betreffende Organisation oder Behörde zur Meldung verpflichtet. Arbeiten die verpflichteten Behörden und Organisationen mit Dritten zusammen, so sorgen sie dafür, dass die Anforde­rungen und Massnahmen gemäss ISG in den entsprechenden Vereinbarungen und Verträgen festgehalten werden [13].

Die Meldepflicht kann auch durch einen beauftragten Dritten erfüllt werden. Ist eine IT-Dienstleisterin für mehrere meldepflichtige Stellen tätig, kann sie im Auftrag mehrerer Kunden Cyberangriffe auf deren Systeme an das BACS melden. Wird ein Dritter mit der Meldung beauftragt, bleibt die Meldepflicht dennoch bei der ursprünglichen meldepflichtigen Stelle. Sollte der beauftragte Dritte es versäumen, einen Cyberangriff an das BACS zu melden, trägt die meldepflichtige Behörde oder Organisation die Verantwortung für eine Verletzung der Meldepflicht [14].

Ausnahmen von der Meldepflicht: Schwellenwerte

Nicht jede Behörde und Organisation nach Artikel 74b Absatz 1 ISG ist automatisch meldepflichtig. Der Bundesrat hat Ausnahmen von der Meldepflicht vorgesehen, wenn durch Cyberangriffe ausgelöste Funktionsstörungen nur geringe Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat [15]. So werden z.B. in der Verordnung über die Cybersicherheit (CSV) [16] Schwellenwerte festgelegt, die bestimmen, wann eine der betreffenden Organisationen unter die Meldepflicht fällt.

Soweit keine besonderen Schwellwerte vorgesehen sind, sind Behörden und Organisationen von der Meldepflicht ausgenommen, sofern sie im betroffenen Bereich weniger als 50 Personen beschäftigen und ihr Jahresumsatz oder ihre Jahres­bilanz­summe im betroffenen Bereich 10 Millionen Franken nicht übersteigt [17].

Von der Meldepflicht befreit sind ferner Netzbetreiber, Elektrizitätserzeuger, Elektrizitäts­speicher­betreiber oder Dienstleister im Elektrizitäts­bereich, die weder das Schutzniveau A noch B einhalten müssen [18]. Damit ist die Höhe des Schutzniveaus abhängig von der Grösse respektive dem Einfluss des Akteurs auf die Versorgungssicherheit [19].

Die Schwellwerte der Netzbetreiber orientieren sich an der Strom­versorgungs­ver­ordnung (StromVV) [20] und sind wie folgt definiert:

• Schutzniveau A: Netzbetreiber, die mindestens 450 GWh/Jahr transportieren.
• Schutzniveau B: Netzbetreiber und Dienstleister mit mindestens 112 GWh/Jahr oder Stromerzeuger mit Anlagen von mindestens 100 MW Gesamtleistung [21].

Sofern ein Unternehmen sowohl Anlagen zur Erzeugung als auch zur Speicherung von Elektrizität betreibt und diese Anlagen über dasselbe System fernsteuerbar sind, werden die Leistungen zusammengerechnet. Dienstleister der Netzbetreiber, Elektrizitätserzeuger und Speicherbetreiber sind ebenfalls von der Ausnahmeregelung erfasst. Nicht zu den Dienstleistern gehören Herstellerinnen von Hard- oder Software, für die es keine Ausnahmeregelung gibt [22].

Von der Meldepflicht ausgenommen sind ebenfalls Betreiber von Gasleitungen [23], welche im Durchschnitt der letzten fünf Jahre eine transportierte Energie von weniger als 400 GWh/Jahr aufweisen [24].

Allerdings sind auch Unternehmen, die der Meldepflicht nicht unterliegen, dazu aufgefordert, freiwillig über das entsprechende Formular die Behörden zu informieren, um zur allgemeinen IT-Sicherheit beizutragen [25].

Frist zur Meldung

Die Meldung muss innerhalb von 24 Stunden nach Entdeckung des Angriffs erfolgen. Sind innerhalb der Meldefrist von 24 Stunden nach der Entdeckung des Cyberangriffs nicht alle erforderlichen Informationen bekannt, so gewährt das BACS der betreffenden Behörde oder Organisation eine Frist von 14 Tagen zur Ergänzung der Meldung  [26].

Inhalt der Meldung

Die Meldung muss Informationen zur Behörde oder der meldenden Organisation, zur Art und Ausführung des Cyberangriffs, zu seinen Auswirkungen, zu ergriffenen Massnahmen und, soweit bekannt, zum geplanten weiteren Vorgehen enthalten [27].

Form der Meldung

Für die Meldung von Cybervorfällen an das BACS wurde ein Online-Formular erstellt. Um darauf zuzugreifen, müssen sich die Unternehmen beim Cyber Security Hub anmelden. Eine Schritt-für-Schritt-Anleitung hinsichtlich der Meldepflicht ist ebenfalls zugänglich. Organisationen, die sich nicht auf dieser Plattform anmelden wollen, können ihre Meldung per E-Mail an die Adresse notification@ncsc.ch schicken.

Verhältnis zu anderen Meldepflichten

Die neue Meldepflicht nach ISG ergänzt bestehende andere Meldepflichten, etwa diejenige nach Artikel 24 des Datenschutzgesetzes (DSG) [28]. Um den Verwaltungsaufwand gering zu halten, können Unternehmen dieselbe Meldung gleichzeitig an mehrere Behörden übermitteln. Das BACS nimmt auch Meldungen entgegen, die ursprünglich einer anderen Meldepflicht unterlagen. Dies soll sicherstellen, dass Meldungen effizient gebündelt und nicht mehrfach erstattet werden müssen [29].

Artikel 24 Absatz 5^bis DSG sieht deshalb neu vor, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte die Meldung einer Verletzung der Datensicherheit an das BACS weiterleiten kann. Vorausgesetzt ist, dass der Verantwortliche, der zur Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) verpflichtet ist, vorgängig sein Einverständnis zur Weiterleitung gegeben hat.

Sanktionen

Bestehen Anzeichen für eine Verletzung der Meldepflicht, so wird das BACS den meldepflichtigen Betreiber kritischer Infrastrukturen darüber informieren und ihm eine angemessene Frist setzen, um der Meldepflicht nachzukommen. Kommt der meldepflichtige Betreiber kritischer Infrastrukturen seiner Pflicht innert dieser Frist nicht nach, so erlässt das BACS eine Verfügung [30].

Ab dem 1. Oktober 2025 kann mit Busse bis zu 100'000 Franken bestraft werden, wer einer vom BACS (unter Hinweis auf die Strafdrohung) erlassenen rechtskräftigen Verfügung oder dem Entscheid einer Rechtsmittelinstanz vorsätzlich nicht Folge leistet [31]. Damit bleibt den Behörden und Organisationen genügend Zeit, sich auf die neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen vorzubereiten.

Eine solche Busse richtet sich gegen natürliche Personen. Dies führt dazu, dass Verantwortliche CEOs, CFOs oder CIOs direkt sanktioniert werden können. Fällt eine Busse von höchstens 20'000 Franken in Betracht und würde die Ermittlung strafbarer Personen Untersuchungsmassnahmen bedingen, die im Hinblick auf die verwirkte Strafe unverhältnismässig wären, so kann die Behörde von einer Verfolgung dieser Personen absehen und an ihrer Stelle den Geschäftsbetrieb zur Bezahlung der Busse verurteilen [32].

Fazit

Die Revision des ISG und die Einführung der CSV stellen einen bedeutenden Schritt zur Stärkung der Cybersicherheit in der Schweiz dar. Durch die Meldepflicht für Cyberangriffe sollen kritische Infrastrukturen besser geschützt und potenzielle Bedrohungen frühzeitig erkannt werden [33].

Die neue Gesetzgebung schafft zudem klare Vorgaben und Ausnahmen, die den unterschiedlichen Bedürfnissen und Risiken der betroffenen Sektoren Rechnung tragen. Insgesamt wird damit die Resilienz der Schweizer Wirtschaft und die Sicherheit der Bevölkerung nachhaltig gestärkt.

Aktuell sollten die betroffenen Behörden und Organisationen ihre internen Meldeprozesse prüfen und gegebenenfalls anpassen sowie die Mitarbeitenden entsprechend schulen.

Falls ein Dritter im Auftrag des Meldepflichtigen die Meldung erstatten soll, muss der Meldepflichtige mit diesem vorausschauend entsprechende Vereinbarungen abschliessen, da nach der Entdeckung eines Cyberangriffs aufgrund der kurzen Meldefrist von 24 Stunden nur wenig Zeit für die Meldung bleibt und gleichzeitig erhebliche Ressourcen für die Bewältigung des Vorfalls benötigt werden [34].

Referenzen

[1] Art. 74e Abs. 1 Informationssicherheitsgesetz (ISG).

[2] Art. 74a Abs. 4 ISG.

[3] Art. 5 lit. d und e ISG.

[4] Art. 74d lit. a ISG. Die Funktionsfähigkeit einer kritischen Infrastruktur gilt als gefährdet, wenn Mitarbeitende oder Dritte von Systemunterbrüchen betroffen sind oder die betroffene Organisation oder Behörde ihre Tätigkeiten nur noch mit Hilfe von Notfallplänen aufrechterhalten kann (Art. 14 Abs. 1 lit. a und b CSV).

[5] Art. 74d lit. b ISG. Eine Manipulation oder ein Abfluss von Informationen liegt vor, wenn geschäftsrelevante Informationen von Unbefugten eingesehen, verändert oder offengelegt werden oder eine Meldung von Verletzungen der Datensicherheit nach Art. 24 DSG erfolgt ist (Art. 14 Abs. 2 lit. a und b CSV). Der Begriff «geschäftsrelevante Informationen» ist weit gefasst. Es handelt sich um Informationen, deren Veränderung oder Offenlegung zu Fehlern in Geschäftsprozessen, zu falschen Entscheidungen oder sogar zu Sicherheitsrisiken führen (Erläuterungen zur Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV), Mai 2024, S. 27). Gemäss Auskunft des BACS sind damit Informationen gemeint, die für die Geschäftstätigkeit oder den Betrieb der kritischen Infrastruktur wesentlich sind. Dies können beispielsweise Kundendaten, Betriebsgeheimnisse, strategische Dokumente oder andere für den Betrieb relevante Informationen sein.

[6] Art. 74d lit. c ISG i.V.m. Art. 14 Abs. 3 CSV.

[7] Ein Cyberangriff gilt als mit Erpressung, Drohung oder Nötigung verbunden, wenn sich diese Handlungen gegen eine meldepflichtige Behörde oder Organisation richten oder gegen Personen, die für eine solche Behörde oder Organisation tätig sind (Art. 74d lit. d ISG i.V.m. Art. 14 Abs. 4 CSV).

[8] www.ncsc.admin.ch/ncsc/de/home/meldepflicht/meldepflichtige-cyberangriffe.html

[9] www.babs.admin.ch/de/die-kritischen-infrastrukturen

[10] Gemäss Art. 6 Energiegesetz (EnG) umfasst die Energieversorgung die «Gewinnung, Umwandlung, Lagerung und Speicherung, Bereitstellung, Transport, Übertragung sowie Verteilung von Energieträgern und Energie bis zur Endverbraucherin und zum Endverbraucher, einschliesslich der Ein‑, Aus- und Durchfuhr».

[11] Art. 74b Abs. 1 lit. d ISG; Ferner gilt die Meldepflicht für den Bund, die Kantone (Art. 74b Abs. 1 lit. b ISG), die Hochschulen (Art. 74b Abs. 1 lit. a ISG), Gesundheitseinrichtungen (Art. 74b Abs. 1 lit. lit. f ISG) und Flughäfen (Art. 74b Abs. 1 lit. b ISG).

[12] Art. 74b Abs. 1 lit. u ISG.

[13] Art. 9 Abs. 1 ISG.

[14] Botschaft zur Änderung des Informationssicherheitsgesetzes (Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen), BBl 2023 84, 32.

[15] Art. 74c ISG.

[16] Cybersicherheitsverordnung (CSV).

[17] Art. 74b Abs. 1 lit. g, h, l und p ISG i.V.m. Art. 12 Abs. 2 CSV.

[18] Art. 12 Abs. 1 lit. b Ziff. 1 CSV.

[19] Erläuterungen zur Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV), Mai 2024, S. 23 f.

[20] Stromversorgungsverordnung (StromVV).

[21] Anhang 1a StromVV.

[22] Art. 74b Abs. 1 lit. u ISG; Erläuterungen zur Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV), Mai 2024, S. 23 f.

[23] Art. 2 Abs. 3 Rohrleitungssicherheitsverordnung (RLSV).

[24] Art. 12 Abs. 1 lit. b Ziff. 2 CSV.

[25] www.kmu.admin.ch/kmu/de/home/aktuell/news/2025/cyberangriffe-kritische-infrastrukturen-meldepflicht.html

[26] Art. 74e Abs. 1 ISG i.V.m. Art. 16 Abs. 1 CSV.

[27] Art. 74e Abs. 2 ISG.

[28] Datenschutzgesetz (DSG).

[29] Vgl. Botschaft zur Änderung des Informationssicherheitsgesetzes (Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen), BBl 2023 84, 7.

[30] Art. 74g Abs. 2 ISG.

[31] Art. 74h Abs. 1 ISG.

[32] Art. 74h Abs. 3 ISG.

[33] Vgl. Botschaft zur Änderung des Informationssicherheitsgesetzes (Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen), BBl 2023 84, 2.

[34] Botschaft zur Änderung des Informationssicherheitsgesetzes (Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen), BBl 2023 84, 32.