In diesem Beitrag beleuchten wir die rechtlichen Grundlagen, die konkrete Ausgestaltung der Meldepflicht, deren praktische Auswirkungen und geben Empfehlungen für die operative Umsetzung in betroffenen Organisationen.

1. Ziel und Zweck der neuen Meldepflicht

Die neue Meldepflicht dient vor allem der Verbesserung der Früherkennung und Abwehr von Cyberbedrohungen auf nationaler Ebene. Gemeldete Angriffe ermöglichen es dem Bundesamt für Cybersicherheit (BACS), Bedrohungslagen besser einzuschätzen, andere potenzielle Opfer frühzeitig zu warnen und gezielte Schutzmassnahmen zu entwickeln.

Zudem trägt die systematische Erfassung und Analyse von Cybervorfällen zur Entwicklung effektiver Präventionsstrategien bei – ein entscheidender Beitrag zur Stärkung der Schweizer Resilienz gegenüber digitalen Angriffen.

2. Wer untersteht der neuen Meldepflicht?

Die neue Meldepflicht bei Cyberangriffen gilt nicht pauschal für alle Unternehmen oder Behörden, sondern richtet sich gezielt an bestimmte Organisationen, die im öffentlichen Interesse kritische Infrastrukturen betreiben oder sicherheitsrelevante Aufgaben erfüllen. Die genaue Abgrenzung ergibt sich aus Art. 74c ISG in Verbindung mit der Cybersicherheitsverordnung (CSV).

2.1 Betreiber kritischer Infrastrukturen

Unter die Meldepflicht fallen Behörden (Bundes- und kantonale Behörden) und Organisationen (z.B. private Unternehmen), die unter die Definition kritischer Infrastrukturen gemäss Art. 74b ISG fallen. Als kritische Infrastrukturen zählen etwa:

• Energieversorgung (z. B. Strom-, Gas-, Fernwärmenetze);
• Wasserversorgung und Abwasserentsorgung;
• Gesundheitswesen (z. B. Spitäler, zentrale Labore);
• Finanzwesen (z. B. systemrelevante Banken, Zahlungsinfrastruktur);
• Transport und Verkehr (z. B. Eisenbahn, Luftverkehr, Logistik);
• Informations- und Kommunikationstechnologie (z. B. Cloudcomputing-Anbieter, Hosting-Anbieter, Internet-Provider, Telekom);
• Verwaltung und Justiz (soweit relevant für die nationale Sicherheit).

2.2 Ausnahmen von der Meldepflicht

Allerdings ist nicht jede Behörde oder Organisation in diesen Sektoren automatisch meldepflichtig. Vielmehr sieht Art. 12 der Cybersicherheitsverordnung einen umfangreichen Katalog mit qualitativen Kriterien und quantitativen Schwellenwerten vor, die Ausnahmen von der Meldepflicht regeln. So sind beispielsweise Pharmaunternehmen, die im meldepflichtigen Bereich weniger als 50 Personen beschäftigen und deren Jahresumsatz oder ihre Jahresbilanzsumme im meldepflichtigen Bereich 10 Millionen Franken nicht übersteigt, von der Meldepflicht ausgenommen. Ebenfalls nicht unter die Meldepflicht fallen Hochschulen, sofern sie über weniger als 2'000 Studierende verfügen. Zudem besteht auch keine Meldepflicht für Cyberangriffe, die sich auf Tätigkeiten einer Behörde oder eines Unternehmens auswirken, die nicht unter Art. 74b ISG fallen (z.B. Cyberangriff auf die Marketing-Abteilung).  

Behörden und Unternehmen, die kritische Infrastrukturen gemäss Art. 74b ISG betreiben, müssen also prüfen, ob allenfalls eine Ausnahme von der Meldepflicht gemäss Art. 12 CSV anwendbar ist. 

3. Was muss gemeldet werden?

Meldepflichtig sind sogenannte Cyberangriffe, die als absichtlich herbeigeführte Cybervorfälle definiert werden. Ein Cybervorfall liegt vor, wenn durch den Cybervorfall bei der Nutzung von Informatikmitteln die Vertraulichkeit, Integrität, Verfügbarkeit oder Nachvollziehbarkeit von Informationen beeinträchtigt wird.

Die Meldepflicht greift, wenn ein Cyberangriff (alternativ):

a) die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet. Dies ist etwa der Fall, wenn:      

• Mitarbeitende oder Dritte von Systemunterbrüchen betroffen sind; oder
• die betroffene Organisation oder Behörde ihre Tätigkeiten nur noch mit Hilfe von Notfallplänen aufrechterhalten kann.

b) zu einer Manipulation oder zu einem Abfluss von Informationen führt;

• geschäftsrelevante Informationen von Unbefugten eingesehen, verändert oder offengelegt werden; oder

• eine Meldung wegen einer Verletzung der Datensicherheit gemäss Art. 24 DSG erforderlich ist.

   

c) über einen längeren Zeitraum unentdeckt blieb, insbesondere wenn Anzeichen dafür bestehen, dass er zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde;

• dies ist erfüllt, wenn der Vorfall mehr als 90 Tage zurückliegt.

   

d) mit Erpressung, Drohung oder Nötigung verbunden ist.

• dies ist erfüllt, wenn sich diese Handlungen (d.h. Erpressung, Drohung oder Nötigung) gegen eine meldepflichtige Behörde oder Organisation richten oder gegen Personen, die für eine solche Behörde oder Organisation tätig sind.

4. Inhalt der Meldung

Die Meldung muss Informationen zur meldepflichtigen Behörde oder Organisation, zur Art und Ausführung des Cyberangriffs, zu seinen Auswirkungen, zu ergriffenen Massnahmen und, soweit bekannt, zum geplanten weiteren Vorgehen enthalten. Zudem muss die Meldung folgende konkreten Angaben enthalten:

a) Informationen zum Cyberangriff:

• Datum und Uhrzeit der Feststellung des Angriffs;
• Datum und Uhrzeit des Angriffs; und
• Angaben zum Angreifer.

b) Information, ob der Cyberangriff mit Erpressung, Drohung oder Nötigung verbunden war und ob Strafanzeige erstattet wurde.

c) Informationen zu den Auswirkungen des Cyberangriffs enthalten:

• Schweregrad der Beeinträchtigung der Verfügbarkeit, Integrität und Vertraulichkeit der Informationen; und
• Auswirkung des Cyberangriffs auf die Funktionsfähigkeit der Organisation oder Behörde.

d) Erfolgt die Meldung nicht über das Kommunikationssystem des BACS, so muss sie zusätzlich folgende Informationen zur meldepflichtigen Behörde oder Organisation enthalten:

• Firma, Name oder Bezeichnung und Adresse; und
• Kontaktangaben der meldenden Person.

Wer die Meldepflicht für eine Behörde oder Organisation zu erfüllen hat, muss im Rahmen der Meldung keine Angaben machen, die sie oder ihn strafrechtlich belasten.

5. Fristen und Meldestelle

Die Meldung muss innerhalb von 24 Stunden nach Entdeckung des Cybervorfalls erfolgen. Sofern zu diesem Zeitpunkt nicht alle Informationen vorliegen, muss die Meldung binnen 14 Tagen ergänzt werden.

Die Meldung ist an das Bundesamt für Cybersicherheit (BACS) zu richten. Es stehen zwei Meldekanäle zur Verfügung:

• Webformular auf der Website des BACS;
• Cyber Security Hub (CSH) mit dediziertem Account für Unternehmen.

6. Sanktionen bei Pflichtverletzungen

Bei Verletzungen der Meldepflicht drohen Bussen bis zu CHF 100'000.00. Allerdings können solche Bussen erst dann ausgesprochen werden, wenn eine rechtskräftig verfügte Anordnung des BACS (z.B. zur Vornahme einer Meldung) missachtet wird.

7. Abgrenzung zur Meldepflicht gemäss DSG

Die neue Meldepflicht bei Cyberangriffen für kritische Infrastrukturen gemäss ISG ist nicht deckungsgleich mit der Pflicht zur Meldung von Datensicherheitsverletzungen gemäss dem Bundesgesetz über den Datenschutz («DSG»). Die wesentlichen Unterschiede sind wie folgt:

• Meldepflicht bei Cyberangriffen für kritische Infrastrukturen gemäss ISG (Meldung an das BACS): Fokussiert auf die Funktionsfähigkeit kritischer Infrastrukturen. Relevanz auch ohne Personenbezug.
• Meldepflicht bei Datensicherheitsverletzungen gemäss DSG (Meldung an den EDÖB): Relevanz bei hohem Risiko für die Grundrechte und die Persönlichkeit betroffener Personen (nur bei Datensicherheitsverletzungen bezüglich Personendaten).

Wenn bei einem Cyberangriff auf eine kritische Infrastruktur auch Personendaten betroffen sind, kann sowohl eine Meldung an das BACS wie auch an den EDÖB erforderlich sein (Doppelmeldung). Das BACS kann aufgefordert werden, die Weiterleitung der Meldung an den EDÖB zu übernehmen.

8. Handlungsempfehlungen für Unternehmen

Aus unserer Beratungserfahrung empfehlen wir zur wirksamen Umsetzung der neuen Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen folgende Massnahmen:

a) Etablierung eines Meldeprozesses:

• Erstellen Sie einen Meldeprozess, der den gesamten Ablauf von der Entdeckung eines Cyberangriffs bis zur Meldung an die zuständigen Behörden abdeckt.
• Legitimation des Prozesses: Stellen Sie sicher, dass alle Mitarbeitenden die Bedeutung der Meldepflicht verstehen und den Prozess aktiv unterstützen.

b) Festlegung von Zuständigkeiten:

• Bestimmen Sie ein Team, das speziell für die Reaktion auf Cybervorfälle verantwortlich ist.
• Dieses Team sollte aus Fachpersonen mit Expertise in IT-Sicherheit, Kommunikation und Recht bestehen.

c) Implementierung technischer Überwachungstools:

• Setzen Sie Systeme zur kontinuierlichen Überwachung Ihrer IT-Infrastruktur ein, die verdächtige Aktivitäten frühzeitig erkennen können.
• Stellen Sie sicher, dass diese Tools so konfiguriert sind, dass sie relevante Daten für die Analyse und Meldung von Vorfällen liefern.

d) Dokumentation und Analyse:

• Führen Sie detaillierte Aufzeichnungen über identifiziere Cybervorfälle, einschliesslich Zeitstempel, betroffener Systeme und Art des Cybervorfalls.
• Analysieren Sie die Ursachen und Auswirkungen von Vorfällen, um zukünftige Angriffe zu verhindern.

9. Fazit

Die neue Meldepflicht gemäss Art. 74a ISG markiert einen Paradigmenwechsel im Umgang mit Cyberbedrohungen für kritische Infrastrukturen in der Schweiz. Organisationen sind gefordert, technische, organisatorische und rechtliche Vorkehrungen zu treffen, um im Ereignisfall rasch und gesetzeskonform reagieren zu können.

Die Pflicht bietet jedoch nicht nur Herausforderungen, sondern auch Chancen: Eine engere Zusammenarbeit mit den Behörden, eine erhöhte Aufmerksamkeit für Cybersicherheitsthemen und ein strukturierter Umgang mit IT-Risiken können langfristig die Widerstandsfähigkeit gegenüber Cyberangriffen erheblich steigern.