Am 1. April 2025 tritt in der Schweiz die neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Kraft. Betroffene Organisationen müssen sicherheitsrelevante Vorfälle innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS) melden. In diesem Beitrag erfahren Sie, was Gemeinden dazu wissen müssen.

Das Wichtigste in Kürze

  • Am 1. April 2025 tritt in der Schweiz die neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Kraft.
  • Die Meldepflicht gilt für alle Gemeinden. Es gibt keine Ausnahmen.
  • Meldepflichtig sind alle Cyberangriffe, die zu Systemunterbrüchen, Datenabfluss oder Datenmanipulation führen, sowie Cyberangriffe, die längere Zeit unentdeckt bleiben oder mit Erpressung, Drohung oder Nötigung verbunden sind.
  • Die Erstmeldung an das BACS muss innerhalb von 24 Stunden nach Entdeckung des Cyberangriffs erfolgen.
  • Gemeinden sollten sich frühzeitig im Cyber Security Hub registrieren, um im Notfall Zugriff auf das Meldeformular zu haben.

    Neue Meldepflicht ab 01.04.2025

    Am 7. März 2025 hat der Bundesrat die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen beschlossen. Sie tritt am 1. April 2025 in Kraft und verpflichtet Betreiber kritischer Infrastukturen, Cyberangriffe innerhalb von 24 Stunden nach ihrer Entdeckung an das BACS (Bundesamt für Cybersicherheit) zu melden.

    Die Meldungen haben zum Ziel:

    • Betroffene bei der Bewältigung von Cyberangriffen zu unterstützen
    • Frühzeitige Warnungen für andere Organisationen zu ermöglichen
    • Die Sicherheit von kritischen Infrastrukturen in der Schweiz zu stärken

    Zusätzlich zur Meldepflicht wurde die Cybersicherheitsverordnung (CSV) verabschiedet, die Ausführungsbestimmungen und Ausnahmen regelt.

    Grundlegendes zur Meldepflicht für Gemeinden

    Die neue Meldepflicht für Cyberangriffe gilt ab dem 01. April 2025. Sie gilt ausnahmslos für alle Gemeinden.

    Welche Cyberangriffe sind meldepflichtig?

    Jeder Cyberangriff ist meldepflichtig, wenn mindestens eine der folgenden Fragen mit Ja beantwortet wird:

    • Führt/Führte der Angriff zu Systemunterbrüchen bei Mitarbeitenden?
    • Führt/Führte der Angriff zu Systemunterbrüchen bei Dritten (z.B. Einschränkung der Dienste gegenüber der Bevölkerung)?
    • Müssen/Mussten durch den Angriff Notfallpläne aktiviert werden?
    • Führt/Führte der Angriff zu Manipulationen von Informationen?
    • Führt/Führte der Angriff zum Abfluss von Daten?
    • Blieb der Angriff für mehr als 90 Tage unentdeckt?
    • Gibt es Anzeichen für Spionage?
    • Gibt es Anzeichen für Vorbereitungshandlungen für weitere Angriffe?
    • Ist der Angriff mit Erpressung, Drohung und/oder Nötigung verbunden?

    Wie schnell muss ein Cyberangriff gemeldet werden?

    Die Erstmeldung an das BACS muss innerhalb von 24 Stunden nach Entdeckung des Cyberangriffs erfolgen.

    Sie muss nicht alle Details enthalten – wichtig ist, dass die Gemeinde den Vorfall so früh wie möglich meldet. Anschliessend hat sie 14 Tage Zeit, um die Meldung zu vervollständigen.

    Wie erfolgt die Meldung im Falle eines Cyberangriffs?

    Am einfachsten erfolgt die Meldung eines Cyberangriffs über den Cyber Security Hub des BACS. Das Vorgehen ist dann wie folgt:

    • Registrierung im Cyber Security Hub (sollte jetzt schon beantragt werden, siehe Hinweis unten)
    • Meldung über das Online-Formular einreichen
    • Bearbeitung und Ergänzung der Meldung innerhalb von 14 Tagen

    Alternativ kann eine Meldung auch per E-Mail erfolgen, wobei die Verantwortung für die Vollständigkeit dann bei der Gemeinde liegt.

    Welche Informationen müssen in der Meldung enthalten sein?

    Die Meldung an das BACS enthält unter anderem folgende Fragen:

    Allgemeine Informationen zum Cyberangriff
    • Datum und Uhrzeit der Feststellung des Cyberangriffs
    • Dauert der Angriff noch an?
    • Wissen Sie, wann der Angriff durchgeführt wurde? Falls ja, wann (Datum/Uhrzeit)?
    • Art des Cyberangriffs (z.B. DDoS, Verschlüsselung, etc.)
    • Angriffsmethode
    • Steht der Angriff in Zusammenhang mit Drohungen, Erpressung oder Nötigung?
    • Wurde aufgrund dieses Angriffs Strafanzeige erstattet?
    Hintergrundinformationen zum Cyberangriff
    • Möchten Sie weitere Informationen über den Cyberangriff bereitstellen? Wenn ja, welche?
      (Anmerkung: Hier kann auch „Nein“ ausgewählt werden, wenn die Gemeinde bspw. keine weiteren Hintergrundinformationen dazu hat.)
    Auswirkungen des Cyberangriffs auf Ihre Organisation
    • Wie stark ist die Verfügbarkeit der Informationen und/oder Systeme Ihrer Organisation durch den Angriff beeinträchtigt (gar nicht, leicht, mittel, stark)?
    • Wie stark ist die Integrität der Informationen Ihrer Organisation durch den Angriff beeinträchtigt (gar nicht, leicht, mittel, stark)?
    • Wie stark ist die Vertraulichkeit der Informationen Ihrer Organisation durch den Angriff beeinträchtigt (gar nicht, leicht, mittel, stark)?
    • Beeinträchtigt der Angriff den Betrieb Ihrer Organisation?
    Durchgeführte oder geplante Massnahmen
    • Hat Ihre Organisation Massnahmen ergriffen, um den Cyberangriff abzuwehren? Wenn ja, welche?
    • Hat Ihre Organisation Massnahmen geplant, um den Cyberangriff abzuwehren? Wenn ja, welche?

    Was passiert, wenn man die Meldung abschickt?

    Wird die Meldung über den Cyber Security Hub erfasst und abgeschickt, bleibt sie zunächst im Entwurfsmodus und kann innerhalb der nächsten 14 Tage noch ergänzt werden.

    Folgen bei Nichtmeldung eines Cyberangriffs

    Aufgrund der kurzfristigen Einführung der Meldepflicht für Cyberangriffe gibt es bis zum 1. Oktober 2025 eine Übergangsfrist – in dieser Zeit werden keine Sanktionen verhängt. Betreiber kritischer Infrastrukturen sind jedoch auch in dieser Zeit bereits meldepflichtig.

    Ab dem 1. Oktober 2025 gilt ein gestaffeltes Verfahren:

    • Hinweis durch das BACS: Die Gemeinde wird vom BACS über die versäumte Meldung informiert und muss die Meldung nachreichen.
    • Verfügung: Kommt die Gemeinde der Meldepflicht trotzdem nicht nach, erlässt das BACS eine Verfügung über die umzusetzenden Pflichten.
    • Strafanzeige: Ignoriert die Gemeinde auch die Verfügung, erstattet das BACS Strafanzeige und es drohen Bussen bis zu CHF 100’000.

    Fragen und Antworten zur Meldepflicht für Cyberangriffe

    Wo findet man die aktuelle Cybersicherheitsverordnung?

    Die aktuelle Cybersicherheitsverordnung ist unter folgendem Link zu finden: Verordnung über die Cybersicherheit

    Sind Lösegeld-Trojaner / Ransomware-Angriffe meldepflichtig?

    Ja, da es sich dabei um Erpressung / Drohung / Nötigung handelt.

    Ist ein gehackter Account meldepflichtig?

    Das hängt davon ab, wie man den Begriff „gehackt“ definiert:

    • Wenn nur die Zugangsdaten kompromittiert wurden, aber kein Missbrauch erkennbar ist, ist der Vorfall nicht meldepflichtig.
    • Hat sich ein Angreifer Zugang zu einem Account verschafft, ist der Vorfall meldepflichtig, insbesondere wenn ein Informationsabfluss nicht ausgeschlossen werden kann.
    Ist E-Mail-Spoofing meldepflichtig?

    E-Mail-Spoofing ist eine Grauzone. Es wird empfohlen, den Vorfall zu melden.

    Ist Betrug meldepflichtig?

    Nein, Betrug ist in der Regel kein Angriff mit technischem Hintergrund. Daher ist er nicht meldepflichtig. Eine freiwillige Meldung an das NCSC ist aber - wie bisher - auch weiterhin möglich.

    Sind DDoS-Angriffe auf Webseiten meldepflichtig?

    Ja, weil dadurch Services für die Öffentlichkeit nicht mehr erreichbar sind.

    Wer ist meldepflichtig, wenn die Gemeinde-Webseite nicht mehr erreichbar ist: die Gemeinde oder der Provider?

    Meldepflichtig ist die Organisation, deren Webseite betroffen ist - in diesem Fall also die Gemeinde.

    Wer ist meldepflichtig, wenn die Gemeinde die Infrastruktur des Kantons (zum Beispiel das Netzwerk des Kantons) nutzt und diese Infrastruktur betroffen ist: die Gemeinde oder der Kanton?

    Meldepflichtig ist die Organisation, welche die kritische Infrastruktur betreibt - in diesem Fall also der Kanton.

    Sind Angriffe, die von Virenscannern abgewehrt werden, meldepflichtig?

    Nein, da sie abgewehrt werden, gelten sie nicht als tatsächlich erfolgte Angriffe.

    Sind Angriffe, die vor dem 01.04.2025 entdeckt wurden, nachträglich meldepflichtig?

    Nein, es besteht keine nachträgliche Meldepflicht. Nur Vorfälle, die ab dem 01.04.2025 entdeckt werden, müssen gemeldet werden. Vorfälle, die sich vor dem 01.04.2025 ereignet haben, aber erst ab dem 01.04.2025 entdeckt werden, müssen jedoch gemeldet werden.

    Wie sieht es aus, wenn Anbieter wie z.B. Microsoft angegriffen werden? Müssen solche Vorfälle auch gemeldet werden?

    In diesem Fall ist Microsoft meldepflichtig, nicht die Gemeinde.

    Angenommen sensible Systeminformationen der Gemeinde wurden im Darknet veröffentlicht, es gibt aber keine Hinweise auf unbefugte Zugriffe, Datenabfluss oder Missbrauch. Ist das meldepflichtig?

    Nein, wenn kein unbefugter Zugriff, Datenabfluss oder Missbrauch stattgefunden hat, ist der Vorfall nicht meldepflichtig, da es sich nicht um einen tatsächlich erfolgten Angriff handelt. Die notwendigen Massnahmen zur Verhinderung eines zukünftigen Angriffs müssen aber natürlich getroffen werden.

    Wo findet man die aktuelle Cybersicherheitsverordnung?

    Die aktuelle Cybersicherheitsverordnung ist unter folgendem Link zu finden: Verordnung über die Cybersicherheit

    Sind Lösegeld-Trojaner / Ransomware-Angriffe meldepflichtig?

    Ja, da es sich dabei um Erpressung / Drohung / Nötigung handelt.

    Ist ein gehackter Account meldepflichtig?

    Das hängt davon ab, wie man den Begriff „gehackt“ definiert:

    • Wenn nur die Zugangsdaten kompromittiert wurden, aber kein Missbrauch erkennbar ist, ist der Vorfall nicht meldepflichtig.
    • Hat sich ein Angreifer Zugang zu einem Account verschafft, ist der Vorfall meldepflichtig, insbesondere wenn ein Informationsabfluss nicht ausgeschlossen werden kann.
    Ist E-Mail-Spoofing meldepflichtig?

    E-Mail-Spoofing ist eine Grauzone. Es wird empfohlen, den Vorfall zu melden.

    Ist Betrug meldepflichtig?

    Nein, Betrug ist in der Regel kein Angriff mit technischem Hintergrund. Daher ist er nicht meldepflichtig. Eine freiwillige Meldung an das NCSC ist aber - wie bisher - auch weiterhin möglich.

    Sind DDoS-Angriffe auf Webseiten meldepflichtig?

    Ja, weil dadurch Services für die Öffentlichkeit nicht mehr erreichbar sind.

    Wer ist meldepflichtig, wenn die Gemeinde-Webseite nicht mehr erreichbar ist: die Gemeinde oder der Provider?

    Meldepflichtig ist die Organisation, deren Webseite betroffen ist - in diesem Fall also die Gemeinde.

    Wer ist meldepflichtig, wenn die Gemeinde die Infrastruktur des Kantons (zum Beispiel das Netzwerk des Kantons) nutzt und diese Infrastruktur betroffen ist: die Gemeinde oder der Kanton?

    Meldepflichtig ist die Organisation, welche die kritische Infrastruktur betreibt - in diesem Fall also der Kanton.

    Sind Angriffe, die von Virenscannern abgewehrt werden, meldepflichtig?

    Nein, da sie abgewehrt werden, gelten sie nicht als tatsächlich erfolgte Angriffe.

    Sind Angriffe, die vor dem 01.04.2025 entdeckt wurden, nachträglich meldepflichtig?

    Nein, es besteht keine nachträgliche Meldepflicht. Nur Vorfälle, die ab dem 01.04.2025 entdeckt werden, müssen gemeldet werden. Vorfälle, die sich vor dem 01.04.2025 ereignet haben, aber erst ab dem 01.04.2025 entdeckt werden, müssen jedoch gemeldet werden.

    Wie sieht es aus, wenn Anbieter wie z.B. Microsoft angegriffen werden? Müssen solche Vorfälle auch gemeldet werden?

    In diesem Fall ist Microsoft meldepflichtig, nicht die Gemeinde.

    Angenommen sensible Systeminformationen der Gemeinde wurden im Darknet veröffentlicht, es gibt aber keine Hinweise auf unbefugte Zugriffe, Datenabfluss oder Missbrauch. Ist das meldepflichtig?

    Nein, wenn kein unbefugter Zugriff, Datenabfluss oder Missbrauch stattgefunden hat, ist der Vorfall nicht meldepflichtig, da es sich nicht um einen tatsächlich erfolgten Angriff handelt. Die notwendigen Massnahmen zur Verhinderung eines zukünftigen Angriffs müssen aber natürlich getroffen werden.

    Die Gemeinderäte arbeiten mit Privatgeräten und haben damit Zugriff auf kritische Infrastrukturen der Gemeinde. Ist ein Cyberangriff auf ein solches Privatgerät meldepflichtig?

    Nein, das ist nicht meldepflichtig, da kein Angriff auf die Infrastruktur der Gemeinde stattgefunden hat. Dennoch sollte der Vorfall natürlich untersucht werden.

    Ist ein DDoS-Middlebox-Abuse meldepflichtig?

    Nein, wenn im Zusammenhang damit kein Kriterium für die Meldepflicht erfüllt ist, ist er als solcher nicht meldepflichtig.

    Fragen und Antworten zur formellen Meldung für Cyberangriffe

    Muss trotzdem noch eine Meldung an andere Behörden wie z.B. den Datenschutzbeauftragten erfolgen?

    Ja, die Meldung von Datenschutzvorfällen ist unabhängig von der Meldepflicht für Cyberangriffe. Das Formular bietet jedoch die Möglichkeit, eine Kopie der Meldung an andere Behörden (wie z.B. den EDÖB) weiterzuleiten.

    Wenn eine Gemeinde von einem IT-Dienstleister betreut wird, sollte dann die Gemeinde selbst oder der IT-Dienstleister die Meldung erfassen?

    Im Falle eines Cyberangriffs auf die Gemeinde ist die Gemeinde meldepflichtig. Das bedeutet, dass die Meldung grundsätzlich durch die Gemeinde zu erfolgen hat.

    Je nach Situation kann es aber auch sinnvoll sein, dass der IT-Dienstleister die Meldung erfasst. In diesem Fall muss dies aber gegenüber dem BACS klar kommuniziert werden. Zudem braucht es einen Nachweis, dass die Gemeinde dem IT-Dienstleister den Auftrag zur Meldung des Cyberangriffs erteilt hat (z.B. in Form einer E-Mail der zuständigen Person bei der Gemeinde an die zuständige Person beim IT-Dienstleister mit dem klaren Auftrag, den Vorfall dem BACS zu melden).

    Muss die Meldung über einen persönlichen Account eingereicht werden oder kann dazu auch ein Gruppenpostfach (z.B. info@…) verwendet werden?

    Die Meldung muss über einen persönlichen Account erfolgen.

    Wird die Bevölkerung automatisch informiert, wenn ein Cyberangriff gemeldet wird, bei dem sensible Daten abgeflossen sind?

    Die Kommunikation mit der Bevölkerung muss in einem solchen Fall sehr ernst genommen werden. Das BACS informiert die Bevölkerung jedoch nicht ohne vorherige Rücksprache mit der betroffenen Organisation.

    Unter folgendem Link finden betroffene Gemeinden Hinweise und Tipps des BACS zur Krisenkommunikation: Cyberangriff - wie kommunizieren?

    Fragen und Antworten zur Unterstützung vom BACS bei Cyberangriffen

    Unterstützt das BACS Gemeinden bei einem Cyberangriff?

    Gemeinden können im Formular angeben, dass sie Hilfe vom BACS wünschen. Dies ist jedoch keine Soforthilfe und die Anfragen werden nur während der Bürozeiten bearbeitet. Für Notfälle ist im Meldeformular eine Pikett-Nummer angegeben. Auch hier wird jedoch keine Soforthilfe garantiert.

    Wie kann das BACS bei einem Cyberangriff helfen, wenn man im Formular um Hilfe bittet?

    Das BACS unterstützt die Gemeinden ausschliesslich in technischer Hinsicht. Dazu gehören beispielsweise die Unterstützung bei analytischen Tätigkeiten, Hinweise auf zu ergreifende Massnahmen oder die Zusammenarbeit mit den IT-Spezialisten der Gemeinde. Sie verhandeln aber nicht mit allfälligen Erpressern über Lösegeldforderungen oder ähnliches. Solche Situationen sind den Strafverfolgungsbehörden zu melden.

    Inwiefern können die Mitarbeitenden des BACS bei einem Cyberangriff helfen, wenn man die Pikett-Nummer anruft?

    Hierbei ist der Zeitpunkt sehr entscheidend:

    Wenn ein Angreifer bereits im Netz ist, die Daten aber noch nicht verschlüsselt sind, kann das BACS unter Umständen verhindern, dass die Daten verschlüsselt werden. Dazu ist aber extrem schnelles Handeln notwendig.

    Oft werden Angriffe aber erst entdeckt, wenn z.B. Daten bereits verschlüsselt wurden. In diesem Fall kann auch das BACS die Daten nicht mehr entschlüsseln und der Handlungsspielraum des BACS ist sehr eingeschränkt.

    Weiterführende Links