KRITIS: Meldepflicht für Cyberangriffe ab April

Redaktion / MG,
Linkedin

Nun auch in der Schweiz: Der Bundesrat hat eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Kraft gesetzt.

Die Betreiber von kritischen Infrastrukturen (KRITIS) werden verpflichtet, dem Bundesamt für Cybersicherheit (BACS) Cyberangriffe 24 Stunden nach deren Entdeckung zu melden. Die Meldungen sollen es dem BACS ermöglichen, Betroffene bei der Bewältigung von Cyberangriffen zu unterstützen und andere KRITIS-Betreiber frühzeitig zu warnen.

Der Bundesrat hat die dafür erforderliche Änderung des Bundesgesetzes über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) vom 29. September 2023 per 1. April 2025 in Kraft gesetzt. Das ISG legt fest, dass meldepflichtige Behörden und Organisationen wie beispielsweise die Energie- oder Trinkwasserversorgung, Transportunternehmen und die Verwaltungen von Kantonen und Gemeinden Cyberangriffe innerhalb von 24 Stunden nach der Entdeckung an das BACS melden müssen.

Ein Cyberangriff muss unter anderem gemeldet werden, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet, zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat oder mit Erpressung, Drohung oder Nötigung verbunden ist. Wird der Meldepflicht nicht Folge geleistet, sieht das Gesetz Bussen vor.

Sanktionen erst ab Oktober

Damit den Betroffenen genügend Zeit bleibt, sich auf die neue Meldepflicht einzustellen, hat der Bundesrat beschlossen, die gesetzlichen Grundlagen für die Bussen erst per 1. Oktober 2025 in Kraft zu setzen. In den ersten 6 Monaten gilt somit die Meldepflicht, die Unterlassung von Meldungen wird aber noch nicht sanktioniert.

Um den Meldeprozess möglichst einfach zu gestalten, stellt das BACS auf seiner bestehenden Plattform für den Informationsaustausch mit Betreiberinnen und Betreiber kritischer Infrastrukturen ein Meldeformular zur Verfügung. Organisationen, welche keinen Zugriff auf die Plattform haben, können alternativ die Meldungen auch per E-Mail-Formular abgeben, welches auf der Website des BACS zur Verfügung stehen wird. Können bei der Erstmeldung innerhalb von 24 Stunden noch nicht alle Angaben gemacht werden, besteht eine Frist von 14 Tagen, um die Meldung zu vervollständigen.