Meldepflicht für Cyberangriffe auf kritische Infrastrukturen gilt ab sofort

Aufgrund der zunehmenden Bedrohung durch Cybervorfälle und um eine besser Übersicht über die Cyberbedrohungslage zu erhalten, hat der Bundesrat am 7. März 2025 die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen per 1. April in Kraft gesetzt. Betreiberinnen und Betreiber kritischer Infrastrukturen sind damit verpflichtet, Cyberangriffe innerhalb von 24 Stunden nach ihrer Entdeckung dem BACS zu melden. Die Meldepflicht hat zum Ziel, die Cybersicherheit in der Schweiz zu stärken. Sie ermöglicht dem BACS, Betroffene bei der Bewältigung von Cyberangriffen zu unterstützen und die Betreiberinnen von kritischen Infrastrukturen frühzeitig zu warnen.

Die Meldepflicht gilt für Behörden und Organisationen wie beispielsweise Energie- oder Trinkwasserversorgung, Transportunternehmen sowie kantonale und kommunale Verwaltungen. Ein Cyberangriff muss dann gemeldet werden, wenn er die Funktionsfähigkeit der kritischen Infrastruktur gefährdet, eine Manipulation oder einen Abfluss von Informationen verursacht oder mit Erpressung, Drohung oder Nötigung einhergeht.

Meldeformular des BACS auf bestehender Plattform

Das BACS stellt ein Meldeformular auf seiner bestehenden Plattform für den Informationsaustausch bereit. Alternativ können Organisationen, die keinen Zugang zur Plattform haben, ihre Meldungen über ein E-Mail-Formular einreichen, das auf der Website des BACS verfügbar ist. Innerhalb von 24 Stunden nach der Entdeckung ist eine erste Meldung erforderlich. Falls nicht alle Informationen sofort vorliegen, können diese innerhalb von 14 Tagen nachgereicht werden. Für die ersten sechs Monate, bis zum 1. Oktober 2025, bleibt das Unterlassen von Meldungen sanktionsfrei. Nach dieser Übergangszeit treten Bussenregelungen in Kraft.