Meldepflicht für Cyberangriffe tritt am 1. April in Kraft Betreiber kritischer Infrastrukturen müssen schwerwiegende Cyberangriffe neu dem Bund melden. Wer dies unterlässt, muss allerdings erst ab Oktober mit Bussen rechnen.

Betreiber kritischer Infrastrukturen müssen schwerwiegende Cyberangriffe neu dem Bund melden. Wer dies unterlässt, muss allerdings erst ab Oktober mit Bussen rechnen.

Betreiber kritischer Infrastrukturen müssen Cyberangriffe mit grossem Schadenspotenzial ab dem 1. April dem Bund melden. Der Bundesrat setzt eine entsprechende Gesetzesänderung und die zugehörige Verordnung auf diesen Zeitpunkt hin in Kraft.

Für den Fall, dass Behörden, Organisationen oder Unternehmen die Meldepflicht missachten, sieht das Gesetz Bussen vor. Die gesetzlichen Grundlagen dafür treten allerdings erst am 1. Oktober in Kraft, wie der Bundesrat zum Entscheid vom Freitag mitteilte. In den ersten sechs Monaten gilt somit zwar die Meldepflicht, das Unterlassen von Meldungen wird aber noch nicht sanktioniert.

Das Bundesparlament hatte die Änderung des Informationssicherheitsgesetzes im September 2023 angenommen. Die Meldepflicht gilt zum Beispiel für Bundesrat und Parlament, die Bundesanwaltschaft, die Armee, sowie für Hochschulen, Banken, Gesundheits- und Energieversorger, die SRG und Bahnunternehmen.

Pflicht zur Meldung innerhalb von 24 Stunden

Gemäss dem Erlass müssen Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung an das Bundesamt für Cybersicherheit (BACS) gemeldet werden, das frühere Nationale Zentrum für Cybersicherheit (NCSC).

Ein Cyberangriff muss unter anderem mitgeteilt werden, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet ist. Zudem gilt die Pflicht beispielsweise, wenn Daten manipuliert wurden oder abgeflossen sind, oder wenn Cyberkriminelle Betroffene erpressen, bedrohen oder zu nötigen versuchen.