Ab sofort gilt in der Schweiz eine Meldepflicht für Cyberangriffe – und das innert 24 Stunden. Die neue gesetzliche Vorgabe betrifft vor allem Betreiber kritischer Infrastrukturen. Doch was bedeutet das konkret? Wer ist betroffen? Was muss gemeldet werden – und innerhalb welcher Frist? Und wie kann man sich heute schon darauf vorbereiten?

Im folgenden Beitrag geben wir einen Überblick über die wichtigsten Fakten zur Meldepflicht bei Cyberangriffen und zeigen auf, wie axelion Sie als Partner dabei unterstützen kann.

Wer ist betroffen?

Zur Meldepflicht verpflichtet sind Betreiber sogenannter kritischer Infrastrukturen – also Einrichtungen, deren Ausfall die Gesellschaft oder Wirtschaft erheblich beeinträchtigen würde. Dazu zählen insbesondere:

• Kritische Infrastrukturen (Energieversorger, Gesundheitswesen, Banken und Telekommunikation)
• IT-Dienstleister, die Rechenzentren betreiben, Cloud-Computing anbieten oder digitale Sicherheitsdienste bereitstellen
• Hersteller von Hard- und Software mit Fernwartungszugang
• Unternehmen, die IT-Sicherheitsleistungen für kritische Infrastrukturen erbringen

Was muss gemeldet werden?

Nicht jeder IT-Zwischenfall ist automatisch meldepflichtig. Die Verordnung definiert verschiedene Kriterien, anhand derer beurteilt wird, ob ein Vorfall zu melden ist. Dazu zählen unter anderem alle Cyberangriffe, die zu Systemausfällen, Datenverlust oder Datenmanipulation führen, sowie Cyberangriffe, die längere Zeit unentdeckt bleiben oder mit Erpressung, Drohung oder Nötigung verbunden sind. Die Einschätzung der Meldepflicht liegt letztlich beim betroffenen Unternehmen wo Fachwissen und schnelles Handeln gefragt ist.

So läuft der Meldeprozess ab:

Kommt es zu einem meldepflichtigen Vorfall, greift ein klar strukturierter Prozess. Dieser verlangt eine erste Reaktion innert kürzester Zeit – ein gut vorbereitetes Notfallkonzept ist daher essenziell.

Die wichtigsten Schritte im Überblick:

• Cyberangriff entdecken
• Innert 24h Erstmeldung an das Bundesamt für Cybersicherheit (BACS)
  Zum BACS-Meldeportal
• Vervollständigung der Meldung innerhalb von 14 Tagen

Wer ist verantwortlich für die Meldung?

Die Verantwortung für die rechtzeitige und korrekte Meldung liegt bei den Verantwortlichen für Informationssicherheit innerhalb der Organisation. In der Regel betrifft dies:

• CIOs / IT-Leiter*innen
• IT-Sicherheitsverantwortliche
• Geschäftsführer*innen kleinerer Einrichtungen, wenn keine explizite IT-Funktion vorhanden ist

Wichtig: Die Pflicht zur Meldung kann nicht an externe Dienstleister ausgelagert werden – auch wenn diese z. B. das Netzwerk betreuen. Eine saubere interne Zuständigkeit muss deshalb frühzeitig geregelt werden.

Wie unterstützt axelion?

Auch wenn die gesetzliche Verantwortung bei Ihnen liegt – wir stehen Ihnen zur Seite. Als erfahrener Digitalisierungspartner unterstützen wir Sie nicht nur technisch, sondern auch organisatorisch bei der Einhaltung der neuen gesetzlichen Anforderungen. Unsere Leistungen umfassen:

• Wir helfen beim Ausfüllen des Meldeformulars
• Wir beraten zu technischen Details und Inhalten
• Wenn unsere Systeme betroffen sind (z. B. Cloud-Dienste), übermitteln wir eine ergänzende Meldung – in enger Absprache mit Ihnen

Gut vorbereitet sein

Unsicher, ob Ihre Organisation betroffen ist, was im Fall eines Cybervorfalls zu tun ist oder Ihr Unternehmen einer Meldepflicht unterliegt? Dies lässt sich zum Beispiel durch eine Betroffenheitsanalyse oder über das Bundesamt für Cybersicherheit (BACS) herausfinden.

Klären Sie offene Fragen lieber heute als morgen und ziehen Sie Ihr axelion-Crew frühzeitig in Ihre Prozesse mit ein. Ihr persönlicher Ansprechpartner bei axelion steht Ihnen beratend zur Seite – präventiv und im Ernstfall.

Wichtige Links & weiterführende Informationen

Medienmitteilung des Bundesrats zur Meldepflicht

Meldepflicht für Cyberangriffe auf kritische Infrastrukturen gilt ab 1. April