Meldepflicht für Cyberangriffe ab April 2025
Blog

Ab 1. April 2025: Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in der Schweiz

Ab dem 1. April 2025 sind Betreiber kritischer Infrastrukturen verpflichtet, Cyberangriffe innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS) zu melden. Diese neue Regelung basiert auf der Cybersicherheitsverordnung und hat das Ziel, die Resilienz der Schweiz gegenüber Cyberbedrohungen stärken. 

Pflichten für Behörden und Organisationen

Angesichts der zunehmenden Bedrohung durch Cybervorfälle und zur besseren Einschätzung der Cybersicherheitslage hat der Bundesrat die Meldepflicht per 1. April 2025 eingeführt. Betroffene Organisationen müssen einen Cyberangriff innerhalb von 24 Stunden nach Entdeckung an das BACS melden. Ziel ist es, die nationale Cybersicherheit zu stärken, betroffene Organisationen bei der Bewältigung zu unterstützen und weitere Einrichtungen frühzeitig zu warnen. Die Meldepflicht betrifft Behörden und Organisationen gemäß Art. 74b Abs. 1 ISG – darunter z. B. Energie- oder Trinkwasserversorger, Transportunternehmen, kantonale und kommunale Verwaltungen sowie Unternehmen im Bereich der Arzneimittelproduktion und -verteilung. Ausgenommen sind Organisationen, die die Voraussetzungen nach Art. 12 CSV erfüllen.

Welche Ereignisse sind meldepflichtig?

Ein Vorfall ist meldepflichtig, wenn er die Funktionsfähigkeit einer kritischen Infrastruktur gefährdet. Dies umfasst unter anderem den Diebstahl oder die Manipulation sensibler Daten – unabhängig davon, ob dies kürzlich geschah oder über einen längeren Zeitraum unentdeckt blieb. Auch Erpressungsversuche, Drohungen oder Nötigungen im Zusammenhang mit Cyberangriffen sind meldepflichtig.

Beispiele für meldepflichtige Vorfälle:

  • Installation von Schadsoftware im System
  •  Einsatz von Verschlüsselungstrojanern
  •  Angriffe auf die Verfügbarkeit von IT-Systemen
  • Unerlaubtes Eindringen durch Ausnutzung von Schwachstellen
  • Kompromittierung digitaler Identitäten mit Systemzugang

Vorgehen im Meldefall: So melden Sie einen Cyberangriff

Das BACS stellt eine Plattform für den Informationsaustausch zur Verfügung. Alternativ kann die Meldung per E-Mail-Formular erfolgen. Innerhalb von 24 Stunden nach Entdeckung eines Cyberangriffs muss eine erste Meldung übermittelt werden. Unvollständige Angaben können innerhalb von 14 Tagen nachgereicht werden.

Meldungen bleiben bis zum 1. Oktober 2025 sanktionsfrei. Danach können Bußgelder von bis zu CHF 100’000 gemäß Art. 74h Abs. 1 ISG verhängt werden.

Nach Eingang der Meldung analysiert das BACS die Informationen, bietet bei Bedarf Unterstützung an und leitet Daten auf Wunsch an weitere Stellen weiter. Ziel ist eine möglichst umfassende Lageeinschätzung, um ähnliche Angriffe frühzeitig zu erkennen und weitere Organisationen zu warnen.

Krisenmanagement bei betroffenen Organisationen

Parallel zur Meldung an das BACS führen betroffene Organisationen ihre Notfallmaßnahmen fort. Dazu zählen:

  • Isolierung und Eindämmung des Angriffs
  • Beweissicherung
  •  Information von Mitarbeitenden, Kunden, Lieferanten und relevanten Behörden
  • Rasche Wiederherstellung betroffener Systeme zur Aufrechterhaltung des Betriebs

Organisationen, die vom BACS über eine verschärfte Bedrohungslage informiert wurden, müssen ihre Schutzmaßnahmen erhöhen – z. B. durch verstärkte Überwachung von System- und Benutzeraktivitäten sowie Deaktivierung unnötiger Zugänge oder Verbindungen.

 

Risikobasierte Vorbereitung als Schlüssel zum Erfolg

Organisationen sind gefordert, sich frühzeitig auf den Ernstfall vorzubereiten – um finanzielle, operative und reputative Schäden zu vermeiden und die gesetzlichen Anforderungen zu erfüllen.

Bewährte Methoden zur Erhöhung der Cyber-Resilienz umfassen:

  • Risikobasierte Erfassung des IST-Zustands technischer und organisatorischer Prozesse
  •  Ableitung gezielter Sicherheitsmaßnahmen
  • Umsetzung eines Grundschutzes nach CIS Controls IG1
  •  Weiterentwicklung bestehender Maßnahmen auf Basis von IG2, IG3 oder branchenspezifischen Standards

Besonderes Augenmerk gilt der Notfallplanung, Mitarbeitersensibilisierung, Krisenkommunikation und dem Incident-Response-Management. Angriffe müssen frühzeitig erkannt und auf Basis eines Notfallplans und definierten Playbooks schnell und effektiv reagiert werden. Auch bei einer kompromittierten Infrastruktur muss die Kommunikation mit Behörden, Partnern und Stakeholdern möglich sein. Zusätzlich kann durch geeignete Maßnahmen ein Teil des Risikos an Cyberversicherungen übertragen werden.

 

Weitere Meldepflichten

Auch Organisationen, die nicht direkt unter die neue Regelung fallen, können freiwillig eine Meldung an das BACS übermitteln. Zudem gelten für regulierte Branchen eigene Vorgaben – etwa nach FINMA-Rundschreiben, DORA, NIS2 oder dem revidierten Datenschutzgesetz (revDSG) bzw. der DSGVO.

Sind Sie von der neuen Meldepflicht betroffen – und wirklich auf den Ernstfall vorbereitet?

Wir unterstützen Sie bei der Erkennung und Bewältigung von Cyberangriffen, der Entwicklung wirksamer Notfallpläne sowie der Krisenkommunikation. Jetzt Kontakt aufnehmen – gemeinsam stärken wir Ihre Cyber-Resilienz.

Security Operations Center | IT-Sicherheit stärken

CSIRT | Erfolgreiches Incident Management

Beratung anfragen
Kategorie Tags
AI Assessment & Advisory Cloud Platform Security Cloud Platform Security Cyber Defense Cyber Resilient Workplace IAM Identity & Access Management Identity & Access Management NIS2 NIS2 Optional Security & IT Solutions SITS Zero Trust
Cyber Resilient Workplace
10. April 2025
Wie widerstandsfähig ist Ihre Unternehmens-IT wirklich?
Mehr erfahren
SITS
09. April 2025
Ab 1. April 2025: Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in der Schweiz
Mehr erfahren
Cyber Defense
28. März 2025
Managed SOC: Vorteile, Kosten & Top-Anbieter finden (Checkliste)
Mehr erfahren
Cloud Platform Security
09. Dezember 2024
Sicherheit von Identitäten: Aktuelle Trends
Mehr erfahren
Cloud Platform Security
28. November 2024
Microsoft Entra: Porträt einer vielseitigen Produktfamilie
Mehr erfahren
Identity & Access Management
13. November 2024
Identität trifft Resilience
Mehr erfahren
NIS2
04. November 2024
NIS2 & Penetrationstests: Technik NIS2-konform in Griff kriegen
Mehr erfahren
Identity & Access Management
21. Oktober 2024
Resilienz durch Identität
Mehr erfahren
Identity & Access Management
04. Oktober 2024
Verschlüsselung in den Griff bekommen
Mehr erfahren
Cyber Defense
06. September 2024
Microsoft Sentinel als Azure SIEM – Vorteile & Kosten
Mehr erfahren
AI
16. April 2024
KI-Attacken abwehren: So lassen sich Daten und Systeme schützen
Mehr erfahren
Assessment & Advisory
15. April 2024
ISO-27001-Zertifizierung ohne Umwege
Mehr erfahren
Assessment & Advisory
10. April 2024
Mit Managed Services gegen den Fachkräftemangel
Mehr erfahren
Security & IT Solutions
09. April 2024
Workload Security mit SASE, so funktioniert’s
Mehr erfahren
Cloud Platform Security
09. April 2024
DevOps-Sicherheit: Belastungstest für Kultur und Technologie
Mehr erfahren
Identity & Access Management
05. April 2024
Biometrie – mehr Sicherheit ohne Passwort?
Mehr erfahren