Am 1. April 2025 tritt in der Schweiz die neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Kraft. Betroffene Unternehmen und Organisationen müssen sicherheitsrelevante Vorfälle innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS) melden. In diesem Beitrag erfahren Sie, was Unternehmen und Organisationen dazu wissen müssen.

Das Wichtigste in Kürze

  • Am 1. April 2025 tritt in der Schweiz die neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Kraft.
  • Die Meldepflicht gilt für diverse Unternehmen und Organisationen, deren Infrastruktur vom Bund als kritisch eingestuft wird.
  • Meldepflichtig sind alle Cyberangriffe, die zu Systemunterbrüchen, Datenabfluss oder Datenmanipulation führen, sowie Cyberangriffe, die längere Zeit unentdeckt bleiben oder mit Erpressung, Drohung oder Nötigung verbunden sind.
  • Die Erstmeldung an das BACS muss innerhalb von 24 Stunden nach Entdeckung des Cyberangriffs erfolgen.
  • Betroffene Unternehmen und Organisationen sollten sich frühzeitig im Cyber Security Hub registrieren, um im Notfall Zugriff auf das Meldeformular zu haben.

    Neue Meldepflicht ab 01.04.2025

    Am 7. März 2025 hat der Bundesrat die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen beschlossen. Sie tritt am 1. April 2025 in Kraft und verpflichtet Betreiber kritischer Infrastukturen, Cyberangriffe innerhalb von 24 Stunden nach ihrer Entdeckung an das BACS (Bundesamt für Cybersicherheit) zu melden.

    Die Meldungen haben zum Ziel:

    • Betroffene bei der Bewältigung von Cyberangriffen zu unterstützen
    • Frühzeitige Warnungen für andere Organisationen zu ermöglichen
    • Die Sicherheit von kritischen Infrastrukturen in der Schweiz zu stärken

    Zusätzlich zur Meldepflicht wurde die Cybersicherheitsverordnung (CSV) verabschiedet, die Ausführungsbestimmungen und Ausnahmen regelt.

    Grundlegendes zur Meldepflicht für Unternehmen und Organisationen

    Die neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen gilt ab dem 01. April 2025

    Welche Unternehmen und Organisationen sind meldepflichtig?

    Nachfolgend finden Sie eine Übersicht der Fachbereiche, deren Infrastruktur gemäss Artikel 74b Absatz 1 ISG als kritisch eingestuft wurde. Die Ausnahmen sind in Artikel 12 CSV geregelt. Durch Anklicken der Überschriften können Sie die entsprechenden Gesetzestexte im Detail einsehen.

    Unternehmen und Organisationen, die in diesen Bereichen tätig sind, sind für die genannten Bereiche meldepflichtig.

    Hochschulen

    Artikel 74b Absatz 1 Buchstabe a ISG:

    Die Meldepflicht gilt für:

    • Hochschulen nach Artikel 2 Absatz 2 des Hochschulförderungs- und -koordinationsgesetzes vom 30. September 2011

    Artikel 12 Absatz 1 Buchstabe a CSV:

    Die folgenden Behörden und Organisationen sind unter den nachstehenden Voraussetzungen von der Meldepflicht ausgenommen:

    • Hochschulen nach Artikel 74b Absatz 1 Buchstabe a ISG, sofern sie über weniger als 2000 Studierende verfügen
    Behörden

    Artikel 74b Absatz 1 Buchstabe b ISG:

    Die Meldepflicht gilt für:

    • Bundes-, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen, mit Ausnahme der Gruppe Verteidigung, wenn die Armee Assistenzdienst nach Artikel 67 oder Aktivdienst nach Artikel 76 des Militärgesetzes vom 3. Februar 1995 leistet
    Sicherheit, Trinkwasser, Abwasser und Abfallentsorgung

    Artikel 74b Absatz 1 Buchstabe c ISG:

    Die Meldepflicht gilt für:

    • Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung
    Energiebranche

    Artikel 74b Absatz 1 Buchstabe d ISG:

    Die Meldepflicht gilt für:

    • Unternehmen, die in den Bereichen Energieversorgung nach Artikel 6 Absatz 1 des Energiegesetzes vom 30. September 2016, Energiehandel, Energiemessung oder Energiesteuerung tätig sind, mit Ausnahme der Bewilligungsinhaber gemäss Kernenergiegesetz vom 21. März 2003, sofern ein Cyberangriff auf eine Kernanlage erfolgt

    Artikel 12 Absatz 1 Buchstabe b CSV:

    Die folgenden Behörden und Organisationen sind unter den nachstehenden Voraussetzungen von der Meldepflicht ausgenommen:

      • Unternehmen nach Artikel 74b Absatz 1 Buchstabe d ISG, sofern sie:
        1. als Netzbetreiber, Elektrizitätserzeuger, Elektrizitätsspeicherbetreiber oder Dienstleister im Elektrizitätsbereich nach Artikel 5a Absatz 1 und Anhang 1a der Stromversorgungsverordnung vom 14. März 2008 weder das Schutzniveau A noch das Schutzniveau B einhalten müssen, oder
        2. als Betreiber von Gasleitungen nach Artikel 2 Absatz 3 der Rohrleitungssicherheitsverordnung vom 4. Juni 2021 im Durchschnitt der letzten fünf Jahre eine transportierte Energie von weniger als 400 GWh/Jahr aufweisen
    Finanzsektor und Versicherungen

    Artikel 74b Absatz 1 Buchstabe e ISG:

    Die Meldepflicht gilt für:

    • Unternehmen, die dem Bankengesetz vom 8. November 1934, dem Versicherungsaufsichtsgesetz vom 17. Dezember 2004 oder dem Finanzmarktinfrastrukturgesetz vom 19. Juni 2015 unterstehen
    Gesundheitseinrichtungen

    Artikel 74b Absatz 1 Buchstabe f ISG:

    Die Meldepflicht gilt für:

    • Gesundheitseinrichtungen, die auf der kantonalen Spitalliste nach Artikel 39 Absatz 1 Buchstabe e des Bundesgesetzes vom 18. März 1994 über die Krankenversicherung aufgeführt sind
    Medizinische Labors

    Artikel 74b Absatz 1 Buchstabe g ISG:

    Die Meldepflicht gilt für:

    • medizinische Laboratorien mit einer Bewilligung nach Artikel 16 Absatz 1 des Epidemiengesetzes vom 28. September 2012

    Artikel 12 Absatz 2 CSV:

    • Behörden und Organisationen nach Artikel 74b Absatz 1 Buchstaben g, h, l und p ISG sind von der Meldepflicht ausgenommen, sofern sie im betroffenen Bereich weniger als 50 Personen beschäftigen und ihr Jahresumsatz oder ihre Jahresbilanzsumme im betroffenen Bereich 10 Millionen Franken nicht übersteigt.
    Arzneimittelherstellung, -vertrieb und -import

    Artikel 74b Absatz 1 Buchstabe g ISG:

    Die Meldepflicht gilt für:

    • Unternehmen, die für die Herstellung, das Inverkehrbringen und die Einfuhr von Arzneimitteln eine Bewilligung nach dem Heilmittelgesetz vom 15. Dezember 2000 haben

    Artikel 12 Absatz 2 CSV:

    • Behörden und Organisationen nach Artikel 74b Absatz 1 Buchstaben g, h, l und p ISG sind von der Meldepflicht ausgenommen, sofern sie im betroffenen Bereich weniger als 50 Personen beschäftigen und ihr Jahresumsatz oder ihre Jahresbilanzsumme im betroffenen Bereich 10 Millionen Franken nicht übersteigt.
    Sozialversicherungen

    Artikel 74b Absatz 1 Buchstabe i ISG:

    Die Meldepflicht gilt für:

    • Organisationen, die Leistungen zur Absicherung gegen die Folgen von Krankheit, Unfall, Arbeits- und Erwerbsunfähigkeit, Alter, Invalidität und Hilflosigkeit erbringen
    Schweizerische Radio- und Fernsehgesellschaft

    Artikel 74b Absatz 1 Buchstabe j ISG:

    Die Meldepflicht gilt für:

    • die Schweizerische Radio- und Fernsehgesellschaft
    Nachrichtenagenturen

    Artikel 74b Absatz 1 Buchstabe k ISG:

    Die Meldepflicht gilt für:

    • Nachrichtenagenturen von nationaler Bedeutung
    Postdienste

    Artikel 74b Absatz 1 Buchstabe l ISG:

    Die Meldepflicht gilt für:

    • Anbieterinnen von Postdiensten, die nach Artikel 4 Absatz 1 des Postgesetzes vom 17. Dezember 2010 bei der Postkommission registriert sind

    Artikel 12 Absatz 2 CSV:

    • Behörden und Organisationen nach Artikel 74b Absatz 1 Buchstaben g, h, l und p ISG sind von der Meldepflicht ausgenommen, sofern sie im betroffenen Bereich weniger als 50 Personen beschäftigen und ihr Jahresumsatz oder ihre Jahresbilanzsumme im betroffenen Bereich 10 Millionen Franken nicht übersteigt.
    Öffentlicher Verkehr

    Artikel 74b Absatz 1 Buchstabe m ISG:

    Die Meldepflicht gilt für:

    • Eisenbahnunternehmen nach Artikel 5 oder 8c des Eisenbahngesetzes vom 20. Dezember 1957 sowie Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen mit einer Konzession nach Artikel 6 des Personenbeförderungsgesetzes vom 20. März 2009

    Artikel 12 Absatz 1 Buchstabe c CSV:

    Die folgenden Behörden und Organisationen sind unter den nachstehenden Voraussetzungen von der Meldepflicht ausgenommen:

      • Eisenbahnunternehmen sowie Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen nach Artikel 74b Absatz 1 Buchstabe m ISG, sofern sie:
        1. nicht mit Systemaufgaben (Art. 37 des Eisenbahngesetzes vom 20. Dezember 1957 [EBG]) beauftragt sind,
        2. über eine Personenbeförderungskonzession nach Artikel 6 des Personenbeförderungsgesetzes vom 20. März 2009 (PBG) verfügen, aber keine durch Bund und Kantone gemeinsam bestellten Angebote erbringen (Art. 28–31c PBG),
        3. über eine Infrastrukturkonzession nach Artikel 5 EBG verfügen, diese aber nicht erteilt wurde, weil ein öffentliches Interesse am Bau und Betrieb der Infrastruktur besteht (Art. 6 Abs. 1 Bst. a EBG)
    Luftfahrt

    Artikel 74b Absatz 1 Buchstabe n ISG:

    Die Meldepflicht gilt für:

    • Unternehmen der Zivilluftfahrt, die über eine Bewilligung des Bundesamtes für Zivilluftfahrt verfügen, sowie die Landesflughäfen gemäss Sachplan Infrastruktur der Luftfahrt

    Artikel 12 Absatz 1 Buchstabe d CSV:

    Die folgenden Behörden und Organisationen sind unter den nachstehenden Voraussetzungen von der Meldepflicht ausgenommen:

      • Unternehmen nach Artikel 74b Absatz 1 Buchstabe n ISG, sofern sie:
        1. nach den Artikeln 2 und 4 und Anhang II der Durchführungsverordnung (EU) 2023/203 oder nach Artikel 2 und dem Anhang der Delegierten Verordnung (EU) 2022/1645 kein Information Security Management System einrichten müssen,
        2. die Vorgaben nach Ziffer 1.7 des Anhangs der Durchführungsverordnung (EU) 2015/1998 in ihrem Security-Programm nach Artikel 2, 12, 13 oder 14 der Verordnung (EG) Nr. 300/2008 nicht umsetzen müssen
    Schifffahrt & Hafenbetrieb

    Artikel 74b Absatz 1 Buchstabe o ISG:

    Die Meldepflicht gilt für:

    • Unternehmen, die nach dem Seeschifffahrtsgesetz vom 23. September 1953 Güter auf dem Rhein befördern, sowie Unternehmen, welche die Registrierung, Ladung oder Löschung im Hafen Basel betreiben
    Güterversorgung

    Artikel 74b Absatz 1 Buchstabe p ISG:

    Die Meldepflicht gilt für:

    • Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde

    Artikel 12 Absatz 2 CSV:

    • Behörden und Organisationen nach Artikel 74b Absatz 1 Buchstaben g, h, l und p ISG sind von der Meldepflicht ausgenommen, sofern sie im betroffenen Bereich weniger als 50 Personen beschäftigen und ihr Jahresumsatz oder ihre Jahresbilanzsumme im betroffenen Bereich 10 Millionen Franken nicht übersteigt.
    Fernmeldedienste

    Artikel 74b Absatz 1 Buchstabe q ISG:

    Die Meldepflicht gilt für:

    • Anbieterinnen von Fernmeldediensten, die beim Bundesamt für Kommunikation nach Artikel 4 Absatz 1 FMG registriert sind
    Domain-Registrare

    Artikel 74b Absatz 1 Buchstabe r ISG:

    Die Meldepflicht gilt für:

    • Registerbetreiberinnen und Registrare von Internet-Domains nach Artikel 28b FMG
    Systeme zur politischen Teilhabe

    Artikel 74b Absatz 1 Buchstabe s ISG:

    Die Meldepflicht gilt für:

    • Anbieterinnen und Betreiberinnen von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen
    Digitale Dienste & Cloud

    Artikel 74b Absatz 1 Buchstabe t ISG:

    Die Meldepflicht gilt für:

    • Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben

    Artikel 12 Absatz 1 Buchstabe e CSV:

    Die folgenden Behörden und Organisationen sind unter den nachstehenden Voraussetzungen von der Meldepflicht ausgenommen:

    • Anbieterinnen und Betreiberinnen nach Artikel 74b Absatz 1 Buchstabe t ISG, sofern sie ihre Leistungen weder teilweise noch vollumfänglich gegen Entgelt für Dritte erbringen.
    Hersteller von IT-Systemen

    Artikel 74b Absatz 1 Buchstabe u ISG:

    Die Meldepflicht gilt für:

    Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Hard- oder Software einen Fernwartungszugang hat oder zu einem der folgenden Zwecken eingesetzt wird:

    1. Steuerung und Überwachung von betriebstechnischen Systemen und Prozessen,
    2. Gewährleistung der öffentlichen Sicherheit.

    Artikel 74b Absätze 2 und 3 ISG besagen zudem:

    2 Bei Behörden und Organisationen, die auch Tätigkeiten ausüben, die nicht unter Absatz 1 fallen, besteht keine Meldepflicht für Cyberangriffe, die sich ausschliesslich auf diese Tätigkeiten auswirken.

    3 Die Meldepflicht nach Absatz 1 gilt für Cyberangriffe, die sich in der Schweiz auswirken, auch wenn sich die betroffenen Informatikmittel im Ausland befinden.

    Welche Cyberangriffe sind meldepflichtig?

    Jeder Cyberangriff ist meldepflichtig, wenn mindestens eine der folgenden Fragen mit Ja beantwortet wird:

    • Führt/Führte der Angriff zu Systemunterbrüchen bei Mitarbeitenden?
    • Führt/Führte der Angriff zu Systemunterbrüchen bei Dritten (z.B. Einschränkung der Dienste gegenüber der Bevölkerung)?
    • Müssen/Mussten durch den Angriff Notfallpläne aktiviert werden?
    • Führt/Führte der Angriff zu Manipulationen von Informationen?
    • Führt/Führte der Angriff zum Abfluss von Daten?
    • Blieb der Angriff für mehr als 90 Tage unentdeckt?
    • Gibt es Anzeichen für Spionage?
    • Gibt es Anzeichen für Vorbereitungshandlungen für weitere Angriffe?
    • Ist der Angriff mit Erpressung, Drohung und/oder Nötigung verbunden?

    Wie schnell muss ein Cyberangriff gemeldet werden?

    Die Erstmeldung an das BACS muss innerhalb von 24 Stunden nach Entdeckung des Cyberangriffs erfolgen.

    Sie muss nicht alle Details enthalten – wichtig ist, dass die betroffene Organisation den Vorfall so früh wie möglich meldet. Anschliessend hat sie 14 Tage Zeit, um die Meldung zu vervollständigen.

    Wie erfolgt die Meldung im Falle eines Cyberangriffs?

    Am einfachsten erfolgt die Meldung eines Cyberangriffs über den Cyber Security Hub des BACS. Das Vorgehen ist dann wie folgt:

    • Registrierung im Cyber Security Hub (sollte jetzt schon beantragt werden, siehe Hinweis unten)
    • Meldung über das Online-Formular einreichen
    • Bearbeitung und Ergänzung der Meldung innerhalb von 14 Tagen

    Alternativ kann eine Meldung auch per E-Mail erfolgen, wobei die Verantwortung für die Vollständigkeit dann bei der betroffenen Organisation liegt.

    Welche Informationen müssen in der Meldung enthalten sein?

    Die Meldung an das BACS enthält unter anderem folgende Fragen:

    Allgemeine Informationen zum Cyberangriff
    • Datum und Uhrzeit der Feststellung des Cyberangriffs
    • Dauert der Angriff noch an?
    • Wissen Sie, wann der Angriff durchgeführt wurde? Falls ja, wann (Datum/Uhrzeit)?
    • Art des Cyberangriffs (z.B. DDoS, Verschlüsselung, etc.)
    • Angriffsmethode
    • Steht der Angriff in Zusammenhang mit Drohungen, Erpressung oder Nötigung?
    • Wurde aufgrund dieses Angriffs Strafanzeige erstattet?
    Hintergrundinformationen zum Cyberangriff
    • Möchten Sie weitere Informationen über den Cyberangriff bereitstellen? Wenn ja, welche?
      (Anmerkung: Hier kann auch „Nein“ ausgewählt werden, wenn die Organisation oder das Unternehmen bspw. keine weiteren Hintergrundinformationen dazu hat.)
    Auswirkungen des Cyberangriffs auf Ihre Organisation
    • Wie stark ist die Verfügbarkeit der Informationen und/oder Systeme Ihrer Organisation durch den Angriff beeinträchtigt (gar nicht, leicht, mittel, stark)?
    • Wie stark ist die Integrität der Informationen Ihrer Organisation durch den Angriff beeinträchtigt (gar nicht, leicht, mittel, stark)?
    • Wie stark ist die Vertraulichkeit der Informationen Ihrer Organisation durch den Angriff beeinträchtigt (gar nicht, leicht, mittel, stark)?
    • Beeinträchtigt der Angriff den Betrieb Ihrer Organisation?
    Durchgeführte oder geplante Massnahmen
    • Hat Ihre Organisation Massnahmen ergriffen, um den Cyberangriff abzuwehren? Wenn ja, welche?
    • Hat Ihre Organisation Massnahmen geplant, um den Cyberangriff abzuwehren? Wenn ja, welche?

    Was passiert, wenn man die Meldung abschickt?

    Wird die Meldung über den Cyber Security Hub erfasst und abgeschickt, bleibt sie zunächst im Entwurfsmodus und kann innerhalb der nächsten 14 Tage noch ergänzt werden.

    Folgen bei Nichtmeldung eines Cyberangriffs

    Aufgrund der kurzfristigen Einführung der Meldepflicht für Cyberangriffe gibt es bis zum 1. Oktober 2025 eine Übergangsfrist – in dieser Zeit werden keine Sanktionen verhängt. Betreiber kritischer Infrastrukturen sind jedoch auch in dieser Zeit bereits meldepflichtig.

    Ab dem 1. Oktober 2025 gilt ein gestaffeltes Verfahren:

    • Hinweis durch das BACS: Die Organisation wird vom BACS über die versäumte Meldung informiert und muss die Meldung nachreichen.
    • Verfügung: Kommt die Organisation der Meldepflicht trotzdem nicht nach, erlässt das BACS eine Verfügung über die umzusetzenden Pflichten.
    • Strafanzeige: Ignoriert die Organisation auch die Verfügung, erstattet das BACS Strafanzeige und es drohen Bussen bis zu CHF 100’000.

    Fragen und Antworten zur Meldepflicht für Cyberangriffe

    Wo findet man die aktuelle Cybersicherheitsverordnung?

    Die aktuelle Cybersicherheitsverordnung ist unter folgendem Link zu finden: Verordnung über die Cybersicherheit

    Sind Lösegeld-Trojaner / Ransomware-Angriffe meldepflichtig?

    Ja, da es sich dabei um Erpressung / Drohung / Nötigung handelt.

    Ist ein gehackter Account meldepflichtig?

    Das hängt davon ab, wie man den Begriff „gehackt“ definiert:

    • Wenn nur die Zugangsdaten kompromittiert wurden, aber kein Missbrauch erkennbar ist, ist der Vorfall nicht meldepflichtig.
    • Hat sich ein Angreifer Zugang zu einem Account verschafft, ist der Vorfall meldepflichtig, insbesondere wenn ein Informationsabfluss nicht ausgeschlossen werden kann.
    Ist E-Mail-Spoofing meldepflichtig?

    E-Mail-Spoofing ist eine Grauzone. Es wird empfohlen, den Vorfall zu melden.

    Ist Betrug meldepflichtig?

    Nein, Betrug ist in der Regel kein Angriff mit technischem Hintergrund. Daher ist er nicht meldepflichtig. Eine freiwillige Meldung an das NCSC ist aber - wie bisher - auch weiterhin möglich.

    Sind DDoS-Angriffe auf Webseiten meldepflichtig?

    Ja, weil dadurch Services für die Öffentlichkeit nicht mehr erreichbar sind.

    Wer ist meldepflichtig, wenn die Unternehmenswebseite nicht mehr erreichbar ist: das Unternehmen oder der Provider?

    Meldepflichtig ist die Organisation, deren Webseite betroffen ist - in diesem Fall also das Unternehmen.

    Sind Angriffe, die von Virenscannern abgewehrt werden, meldepflichtig?

    Nein, da sie abgewehrt werden, gelten sie nicht als tatsächlich erfolgte Angriffe.

    Sind Angriffe, die vor dem 01.04.2025 entdeckt wurden, nachträglich meldepflichtig?

    Nein, es besteht keine nachträgliche Meldepflicht. Nur Vorfälle, die ab dem 01.04.2025 entdeckt werden, müssen gemeldet werden. Vorfälle, die sich vor dem 01.04.2025 ereignet haben, aber erst ab dem 01.04.2025 entdeckt werden, müssen jedoch gemeldet werden.

    Wie sieht es aus, wenn Anbieter wie z.B. Microsoft angegriffen werden? Müssen solche Vorfälle auch gemeldet werden?

    In diesem Fall ist Microsoft meldepflichtig, nicht das Unternehmen / die Organisation.

    Angenommen sensible Systeminformationen eines Unternehmens wurden im Darknet veröffentlicht, es gibt aber keine Hinweise auf unbefugte Zugriffe, Datenabfluss oder Missbrauch. Ist das meldepflichtig?

    Nein, wenn kein unbefugter Zugriff, Datenabfluss oder Missbrauch stattgefunden hat, ist der Vorfall nicht meldepflichtig, da es sich nicht um einen tatsächlich erfolgten Angriff handelt. Die notwendigen Massnahmen zur Verhinderung eines zukünftigen Angriffs müssen aber natürlich getroffen werden.

    Fragen und Antworten zur formellen Meldung für Cyberangriffe

    Muss trotzdem noch eine Meldung an andere Behörden wie z.B. den EDÖB oder die FINMA erfolgen?

    Ja, die Meldepflicht gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sowie gegenüber der FINMA ist unabhängig von der Meldepflicht für Cyberangriffe. Das Formular bietet jedoch die Möglichkeit, eine Kopie der Meldung an andere Behörden (wie z.B. den EDÖB oder die FINMA) weiterzuleiten.

    Wenn eine Organisation von einem IT-Dienstleister betreut wird, sollte dann die Organisation selbst oder der IT-Dienstleister die Meldung erfassen?

    Im Falle eines Cyberangriffs auf eine Organisation ist die betroffene Organisation meldepflichtig. Das bedeutet, dass die Meldung grundsätzlich durch die Organisation zu erfolgen hat.

    Je nach Situation kann es aber auch sinnvoll sein, dass der IT-Dienstleister die Meldung erfasst. In diesem Fall muss dies aber gegenüber dem BACS klar kommuniziert werden. Zudem braucht es einen Nachweis, dass die Organisation dem IT-Dienstleister den Auftrag zur Meldung des Cyberangriffs erteilt hat (z.B. in Form einer E-Mail der zuständigen Person bei der Organisation an die zuständige Person beim IT-Dienstleister mit dem klaren Auftrag, den Vorfall dem BACS zu melden).

    Muss die Meldung über einen persönlichen Account eingereicht werden oder kann dazu auch ein Gruppenpostfach (z.B. info@…) verwendet werden?

    Die Meldung muss über einen persönlichen Account erfolgen.

    Kann ein Unternehmen auch einen Cyberangriff auf ein Tochterunternehmen melden?

    Ja, es sollte im Cyber Security Hub möglich sein, das Mutterunternehmen als mitverantwortliche Stelle einzutragen. Falls dieser Wunsch in Ihrem Unternehmen besteht, klären Sie das am besten direkt beim BACS ab.

    Fragen und Antworten zur Unterstützung vom BACS bei Cyberangriffen

    Unterstützt das BACS Organisationen bei einem Cyberangriff?

    Organisationen können im Formular angeben, dass sie Hilfe vom BACS wünschen. Dies ist jedoch keine Soforthilfe und die Anfragen werden nur während der Bürozeiten bearbeitet. Für Notfälle ist im Meldeformular eine Pikett-Nummer angegeben. Auch hier wird jedoch keine Soforthilfe garantiert.

    Wie kann das BACS bei einem Cyberangriff helfen, wenn man im Formular um Hilfe bittet?

    Das BACS unterstützt die Organisationen und Unternehmen ausschliesslich in technischer Hinsicht. Dazu gehören beispielsweise die Unterstützung bei analytischen Tätigkeiten, Hinweise auf zu ergreifende Massnahmen oder die Zusammenarbeit mit den IT-Spezialisten der Organisation. Sie verhandeln aber nicht mit allfälligen Erpressern über Lösegeldforderungen oder ähnliches. Solche Situationen sind den Strafverfolgungsbehörden zu melden.

    Inwiefern können die Mitarbeitenden des BACS bei einem Cyberangriff helfen, wenn man die Pikett-Nummer anruft?

    Hierbei ist der Zeitpunkt sehr entscheidend:

    Wenn ein Angreifer bereits im Netz ist, die Daten aber noch nicht verschlüsselt sind, kann das BACS unter Umständen verhindern, dass die Daten verschlüsselt werden. Dazu ist aber extrem schnelles Handeln notwendig.

    Oft werden Angriffe aber erst entdeckt, wenn z.B. Daten bereits verschlüsselt wurden. In diesem Fall kann auch das BACS die Daten nicht mehr entschlüsseln und der Handlungsspielraum des BACS ist sehr eingeschränkt.

    Weiterführende Links

    Ist ein Datenabfluss durch Mitarbeitende meldepflichtig?

    Ja, wenn der Datenabfluss absichtlich herbeigeführt wurde, z.B. Datendiebstahl durch eine interne Person, handelt es sich um einen meldepflichtigen Cyberangriff.

    Bei unbeabsichtigten oder versehentlichen Vorfällen (z.B. Fehlversand durch Mitarbeitende) besteht grundsätzlich keine Meldepflicht. Wir empfehlen jedoch, solche Fälle dann direkt beim BACS abzuklären.

    Muss zusätzlicher Aufwand betrieben werden, um weitere Informationen für die Meldung zu beschaffen?

    Nein. Alle Informationen, die sich im Rahmen der Bewältigung ergeben, sollten gemeldet werden. Es ist jedoch nicht notwendig, aktiv nach weiteren Informationen zu suchen, wenn die Systeme wieder sicher in Betrieb sind.

    Gilt die 24-Stunden-Frist auch an Wochenenden?

    Ja. Die 24-Stunden-Frist gilt unabhängig vom Wochentag.
    Wird ein meldepflichtiger Cyberangriff beispielsweise am Freitag um 17:00 Uhr entdeckt, muss die Meldung bis spätestens am Samstag um 17:00 Uhr erfolgen.

    Sind die eingereichten Meldungen öffentlich zugänglich (BGÖ)?

    Nein, die Meldungen unterliegen nicht dem Öffentlichkeitsprinzip (BGÖ).
    Das Bundesamt für Cybersicherheit (BACS) ist nicht verpflichtet, Informationen offenzulegen. Damit wird sichergestellt, dass das Vertrauen in das Meldeverfahren gewahrt bleibt und eine offene Kommunikation durch die meldenden Organisationen gewährleistet ist.

    Wie erfasst man eine Meldung, wenn die IT-Systeme durch den Angriff nicht mehr zugänglich sind?

    Grundsätzlich gibt es drei Möglichkeiten, der Meldepflicht nachzukommen:
    Empfohlen wird der reguläre Weg über das Online-Formular auf dem Cyber Security Hub, es gibt aber auch die Möglichkeit, den Vorfall per E-Mail oder über die Webseite des BACS zu melden.

    • Steht im Notfall kein Internet zur Verfügung, empfiehlt sich die Nutzung eines mobilen Hotspots oder eines Smartphones.
    • Steht im Notfall kein Firmencomputer zur Verfügung, empfiehlt sich die Nutzung eines Smartphones, Tablets oder eines privaten Computers.
    • Steht im Notfall der E-Mail-Dienst nicht zur Verfügung und Sie haben noch kein Konto beim Cyber Security Hub, empfiehlt sich eine Meldung über die Website des BACS. Weisen Sie in der Meldung darauf hin, dass der E-Mail-Dienst nicht zur Verfügung steht und geben Sie wenn möglich, im Formular eine alternative Kontaktmöglichkeit an, unter der Sie vorübergehend erreichbar sind.

    Wichtig ist, dass die Meldung innert 24 Stunden nach Entdeckung des Vorfalls beim BACS eingeht.

    Hinweis: Ob Meldungen über E-Mail-Adressen ausserhalb der Unternehmensdomain akzeptiert werden, sollte im Zweifelsfall direkt mit dem BACS geklärt werden.

    Wann beginnt die 24-Stunden-Frist konkret zu laufen?

    Die Frist beginnt, sobald die meldepflichtige Organisation selbst Kenntnis von dem Vorfall erlangt.
    Wird ein Cyberangriff beispielsweise zuerst von einem IT-Dienstleister oder einem Hosting-Provider entdeckt, beginnt die Frist nicht automatisch zu diesem Zeitpunkt, sondern erst, wenn die meldepflichtige Organisation davon Kenntnis erlangt.

    Die Frist beginnt ausserdem erst mit der Entdeckung eines Cyberangriffs, nicht mit dessen Durchführung.

    Beispiel:
    Eine Organisation wird am Montag um 09:00 Uhr Opfer eines Cyberangriffs. Der IT-Dienstleister entdeckt den Angriff am Montag um 22:00 Uhr, leitet erste Massnahmen ein, informiert die meldepflichtige Organisation aber erst am Dienstag um 08:00 Uhr. In diesem Fall beginnt die 24-Stunden-Frist am Dienstag um 08:00 Uhr zu laufen, da die Organisation erst zu diesem Zeitpunkt Kenntnis davon hatte.