Betreiber kritischer Infrastrukturen wie etwa Kraftwerke oder Spitäler müssen Cyberangriffe mit grossem Schadenspotenzial ab dem 1. April dem Bund melden. Der Bundesrat setzt eine entsprechende Gesetzesänderung und die zugehörige Verordnung auf diesen Zeitpunkt hin in Kraft.
Für den Fall, dass Behörden, Organisationen oder Unternehmen die Meldepflicht missachten, sieht das Gesetz Bussen vor. Die gesetzlichen Grundlagen dafür treten allerdings erst am 1. Oktober in Kraft, wie der Bundesrat am Freitag mitteilte. In den ersten sechs Monaten gelte somit zwar die Meldepflicht, das Unterlassen von Meldungen werde aber noch nicht sanktioniert.
Das Bundesparlament hatte die Änderung des Informationssicherheitsgesetzes im September 2023 angenommen. Die Meldepflicht gilt zum Beispiel für Bundesrat und Parlament, die Bundesanwaltschaft, die Armee, sowie für Hochschulen, Banken, Gesundheits- und Energieversorger, die SRG und Bahnunternehmen.
Gemäss dem Erlass müssen Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung an das Bundesamt für Cybersicherheit (BACS) gemeldet werden, das frühere Nationale Zentrum für Cybersicherheit (NCSC). Solche Meldungen sollen über ein spezielles Online-Formular oder per E-Mail erfolgen, wie es heisst.
Ein Cyberangriff muss unter anderem mitgeteilt werden, wenn die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet ist. Zudem gilt die Pflicht beispielsweise, wenn Daten manipuliert wurden oder abgeflossen sind, oder wenn Cyberkriminelle Betroffene erpressen, bedrohen oder zu nötigen versuchen – so wie es etwa bei Ransomware-Attacken vorkommt.
Das BACS präzisiert:
Die Einführung der Meldepflicht für Cyberangriffe in der Schweiz entspreche internationalen Standards. Seit 2018 gelte in allen EU-Mitgliedstaaten eine Meldepflicht für Cybervorfälle gemäss der NIS-Richtlinie.
(dsc/sda)
