Neue Meldepflicht bei Cyberangriffen

Betreiber kritischer Infrastrukturen, darunter auch Fernmeldedienstanbieter, unterstehen ab dem 1. April 2025 neu einer Meldepflicht bei Cyberangriffen. Die Pflicht gilt nur für Cyberangriffe mit Schadensfolge, nicht aber für abgewehrte Angriffe ohne Auswirkungen.

Die neue Meldepflicht im Falle eines Cyberangriffs[1] gilt für alle Anbieterinnen von Fernmeldediensten (FDA), die konzessionierte Funkfrequenzen oder nationale Adressierungselemente nutzen und beim BAKOM registriert sind. Unter die neue Meldepflicht fallen damit alle Suissedigital-Mitglieder, die Mobilfunk- oder Festnetztelefoniedienste sowie Cloudcomputing-Services und Rechenzentren anbieten.

In folgenden Fällen ist bei einem Cyberangriff eine Meldung an das Bundesamt für Cybersicherheit BACS zwingend:

  1. Die Funktionsfähigkeit der betroffenen kritischen Infrastruktur ist gefährdet (d.h. Mitarbeitende oder Dritte sind von Systemunterbrüchen betroffen und/oder technische oder organisatorische Massnahmen – Notfallpläne – müssen zur Aufrechterhaltung der Tätigkeiten aktiviert werden) oder
  2. geschäftsrelevante Informationen wurden kompromittiert oder es liegt eine Verletzung der Datensicherheit vor (die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt und damit nach Datenschutzgesetz, Art. 24 DSG, gemeldet wurde) oder
  3. der Cyberangriff blieb über mehr als 90 Tage unentdeckt (und weist Anzeichen dafür auf, dass dieser zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde) oder
  4. der Cyberangriff ist mit einer Erpressung, Drohung oder Nötigung gegen die Firma oder gegen Mitarbeitende der Firma oder Personen, die für die Firma tätig sind, verbunden.

Der Cyberangriff ist innert 24 Stunden nach Entdeckung entweder mit dem Meldeformular über das Kommunikationssystem auf dem Cyber Security Hub des BACS (was eine vorgängige Registrierung voraussetzt und zu empfehlen ist) oder über den Meldebutton (mit E-Mail) auf der BACS-Startseite zu melden. Sämtliche relevanten Informationen müssen dann innerhalb von zwei Wochen zur Verfügung gestellt werden.

Im Sinne einer Übergangsregelung wird die Unterlassung von zwingenden Meldungen bis 1. Oktober 2025 nicht sanktioniert, danach droht bei Missachtung eine Busse von bis zu CHF 100'000.

Wichtig zu wissen:

  • Die Meldepflicht dient ausschliesslich dazu, dass das BACS Angriffsmuster auf kritische Infrastrukturen frühzeitig erkennen und dadurch mögliche Betroffene warnen und ihnen geeignete Präventions- und Abwehrmassnahmen empfehlen kann.
  • Das BACS kann Betreiber kritischer Infrastrukturen bei der Bewältigung von Cybervorfällen beraten und unterstützen, wenn die Beschaffung gleichwertiger Unterstützung auf dem Markt nicht rechtzeitig möglich ist.
  • Für den Austausch und den Schutz von Informationen (inkl. Personendaten, Adressierungselemente) sind gesetzliche Grundlagen sowie eine Ausnahme vom Öffentlichkeitsgesetz vorgesehen.
  • Im Rahmen der Meldung müssen keine Angaben gemacht werden, welche die meldende Person strafrechtlich belasten könnten.
  • Dem BACS können Informationen zu Cyberbedrohungen und -vorfällen sowie entdeckte Schachstellen auch freiwillig mitgeteilt werden.

Für Fragen und Unterstützung können Sie sich gerne an Stefan Flück, Leiter Rechtsdienst, wenden (stefan.flueck[at]suissedigital.ch, Tel. 031 328 27 28).

[1] Ein Cyberangriff ist ein absichtlich herbeigeführter Cybervorfall, ein Ereignis im Zusammenhang mit der Nutzung von Informatikmitteln, das die Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen oder die Nachvollziehbarkeit ihrer Bearbeitung beeinträchtigt (vgl. Art. 5 Bst. d und e Informationssicherheitsgesetz ISG).

Downloads