Seit dem 1. April 2025 müssen Betreiberinnen und Betreiber von kritischen Infrastrukturen Cyberangriffe innerhalb von 24 Stunden nach der Entdeckung an das BACS melden. Die gesetzliche Grundlage hierfür ist das Informations-sicherheitsgesetz (ISG), in welchem geregelt ist wann eine Meldung erfolgen muss sowie Inhalt und Umfang der Meldung. Die Meldepflicht gilt ab sofort, ab Oktober können Verstösse zudem mit Bussen von bis zu CHF 100’000 geahndet werden.
Gemeldet werden müssen nur Vorfälle, welche:
➡️ Die Funktionsfähigkeit der kritischen Infrastruktur gefährden
➡️ Mit Erpressung, Drohung oder Nötigung verbunden sind
➡️ Manipulationen oder Datenabfluss zur Folge haben
➡️ Über längere Zeit unentdeckt blieben
(insbesondere bei Anzeichen, dass der Angriff der Vorbereitung weiterer Cyberangriffe diente).
Der Meldeprozess soll möglichst einfach gehalten werden, daher stellt das BACS auf seiner bestehenden Plattform, dem Cyber Security Hub (CSH), ein Meldeformular zur Verfügung. Können bei der Erstmeldung, binnen 24 Stunden, nicht alle Angaben gemacht werden, kann dies binnen einer Frist von 14 Tagen, nachgereicht respective vervollständigt werden.
Über das Meldeformular ist eine rasche Erfassung der nötigen Informationen möglich und auf Wunsch kann eine Weiterleitung an weitere Behörden, gegenüber denen ebenfalls eine Meldepflicht besteht wie z.B. FINMA oder an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), erfolgen.
Das BACS empfiehlt allen Organisationen, welche noch kein Login für den CSH besitzen, sich bereits jetzt zu registrieren. Somit sind die administrativen Hürden bereits im Vorfeld erledigt, dass eine rasche Meldung erfolgen kann, sollte es dennoch zu einem Cyberangriff kommen.
Weiterführende Informationen sind zudem der Online-Veranstaltung vom 20. März 2025 zu entnehmen, welche aufgezeichnet wurde und auf Youtube abrufbar ist.
Quellen:
ISG: https://www.fedlex.admin.ch/eli/fga/2023/85/de
CSH: https://security-hub.ncsc.admin.ch/
Meldepflicht Vorgehen: https://www.ncsc.admin.ch/ncsc/de/home/meldepflicht/meldepflicht-vorgehen.html
Managed SASE
Managed Infrastructure
Analytics as a Service
Information Security as Service
Security Strategie
Security Architektur
Technologieberatung
GRC
Security Awareness
Network Security
Content Security
Application Security
Cloud Security
Infrastructure Security
OT Security
Endpoint Security
Security Analytics
Team
Arbeiten bei ensec
Facts und Figures
