Seit dem 1. April gilt die Meldepflicht für Cyberattacken

Aufgrund der zunehmenden Bedrohung durch Cybervorfälle, und um eine bessere Übersicht über die Cyberbedrohungslage zu erhalten, hat der Bundesrat per 1. April 2025 die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Kraft gesetzt. Betreiberinnen und Betreiber kritischer Infrastrukturen, zu denen auch die Gemeinden gehören, sind damit verpflichtet, Cyberangriffe innerhalb von 24 Stunden nach ihrer Entdeckung dem Bundesamt für Cybersicherheit (BACS) zu melden. Die Meldepflicht hat zum Ziel, die Cybersicherheit in der Schweiz zu stärken. Sie ermöglicht dem BACS, Betroffene bei der Bewältigung von Cyberangriffen zu unterstützen und die Betreiberinnen von kritischen Infrastrukturen frühzeitig zu warnen.

Die Meldepflicht gilt für Behörden und Organisationen wie beispielsweise Energie- oder Trinkwasserversorgung, Transportunternehmen sowie kantonale und kommunale Verwaltungen. Ein Cyberangriff muss dann gemeldet werden, wenn er die Funktionsfähigkeit der kritischen Infrastruktur gefährdet, eine Manipulation oder einen Abfluss von Informationen verursacht oder mit Erpressung, Drohung oder Nötigung einhergeht.

Meldeformular des BACS auf bestehender Plattform
Das BACS stellt ein Meldeformular auf seiner bestehenden Plattform für den Informationsaustausch bereit. Alternativ können Organisationen, die keinen Zugang zur Plattform haben, ihre Meldungen über ein E-Mail-Formular einreichen, das auf der Webseite des BACS verfügbar ist. Innerhalb von 24 Stunden nach der Entdeckung ist eine erste Meldung erforderlich. Falls nicht alle Informationen sofort vorliegen, können diese innerhalb von 14 Tagen nachgereicht werden. Für die ersten sechs Monate, bis zum 1. Oktober 2025, bleibt das Unterlassen von Meldungen sanktionsfrei. Nach dieser Übergangszeit treten Bussenregelungen in Kraft.

Weitere Informationen finden Sie hier.