Meldepflicht kritische Infrastrukturen ab 1. April 2025

März 7, 2025

Der Abendhimmel erstreckt sich in einem tiefen Dunkelblau über fast das gesamte Bild. Sterne funkeln zahlreich am Himmel und verleihen der Szene eine mystische, beinahe unendliche Tiefe. Der Großteil des Hintergrunds ist in dieses dunkle Blau getaucht, das die nächtliche Ruhe und die Unermesslichkeit des Universums widerspiegelt. Links unten, nahe dem schwarzen Grund, befindet sich ein kleiner, dunkelvioletter Fleck. Dieser Fleck strahlt nach außen aus, wobei er allmählich heller wird. Die Farbtöne verändern sich sanft von tiefem Violett über verschiedene Schattierungen von Lila, bis sie schließlich fast weiß sind. Dieser Übergang verleiht dem Fleck eine fast magische Ausstrahlung. Nach etwa einem Drittel der Bildfläche verschmilzt dieser leuchtende Verlauf nahtlos mit dem tiefen Dunkelblau des restlichen Himmels. Im Vordergrund ragen mehrere Strommasten in die Höhe, ihre Strukturen zeichnen sich klar gegen den dunklen Himmel ab. Diese Masten sind durch lange Leitungen miteinander verbunden. Die Leitungen sind jedoch nicht dunkel oder unsichtbar; sie glühen in einem intensiven Orange und Rot, als ob sie vor Energie brennen. Dieses Glühen verleiht ihnen ein lebendiges, fast ätherisches Aussehen und schafft einen faszinierenden Kontrast zu den kühlen Tönen des Himmels. Das Glühen der Leitungen zieht das Auge des Betrachters entlang ihrer Länge, von einem Mast zum nächsten. Dieses leuchtende Band von Energie führt durch die nächtliche Szenerie und verstärkt den Eindruck von Dynamik und verborgener Kraft. Die warme Farbe der glühenden Leitungen harmoniert überraschend gut mit dem kühlen Blau des Himmels und dem violetten Leuchten des Flecks, wodurch ein visuelles Gleichgewicht entsteht. Der Boden unter den Masten ist dunkel und nur schwach erkennbar, was die Masten und Leitungen noch mehr hervorhebt. Im Hintergrund könnten schemenhafte Konturen von Bäumen oder Hügeln zu erahnen sein, die der Szene zusätzliche Tiefe verleihen. Diese Elemente tragen dazu bei, dass die Szenerie sowohl real als auch surreal wirkt, als ob man in einen Moment jenseits der normalen Realität eintaucht. Es ist ein stiller, aber kraftvoller Anblick, der die Schönheit und das Geheimnis der Nacht in einem einzigen Bild einfängt.

 

Am 1. Januar 2024 trat das neue Informationssicherheitsgesetz (ISG) in Kraft, welches die wichtigsten gesetzlichen Grundlagen zur Sicherheit von Informationen und IT-Mitteln des Bundes in einem Gesetz zusammenfasst. Ein zentrales Element dieses Gesetzes ist die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen, die am 1. April 2025 in Kraft tritt. Betreiber kritischer Infrastrukturen sind ab diesem Zeitpunkt verpflichtet, das Bundesamt für Cybersicherheit (BACS) innerhalb von 24 Stunden nach Entdeckung eines Cyberangriffs zu informieren. Diese Regelung soll die Sicherheit und Widerstandsfähigkeit essenzieller Einrichtungen erhöhen.

Wer ist betroffen?

Die Meldepflicht gilt für eine Vielzahl von Organisationen, insbesondere für kritische Infrastrukturen in der Schweiz. Dazu gehören unter anderem:

  • Öffentliche Stellen (Bund, Kantone, Gemeinden)
  • Bildungseinrichtungen (Hochschulen, Universitäten)
  • Finanzsektor (Banken, Versicherungen)
  • Gesundheitswesen (Spitäler, pharmazeutische Unternehmen)
  • IT-Dienstleister (Cloud-Anbieter, Netzbetreiber)
  • Energieversorgung (Strom- und Gasnetzbetreiber, Elektrizitätswerke)
  • Transport und Logistik (ÖV-Betreiber, Flughäfen, Bahnen)
Schwellwerte

In der CSV werden für verschiedene Sektoren wie die Energieversorgung und das Transportwesen spezifische Schwellenwerte für die Meldepflicht festgelegt. Behörden oder Organisationen, die diese Schwellenwerte unterschreiten, sind nicht meldepflichtig.

Von der Meldepflicht befreit sind demnach Netzbetreiber, Elektrizitätserzeuger, Elektrizitätsspeicherbetreiber oder Dienstleister im Elektrizitätsbereich, die weder das Schutzniveau A noch B einhalten müssen. Die Höhe des Schutzniveaus ist abhängig von der Grösse respektive dem Einfluss des Akteurs auf die Versorgungssicherheit und wird durch entsprechende Schwellenwerte bestimmt. Entsprechend sollen nur die Elektrizitätsunternehmen der beiden höchsten Schutzniveaus A und B der Meldepflicht un
terstellt werden.

Die Schwellenwerte orientieren sich an der Stromversorgungsverordnung (StromVV) zum Schutz vor Cyberbedrohungen, welche am 1. Juli 2024 in Kraft getreten ist und vorsieht, dass bestimmte Akteure der Elektrizitätsbranche bei der Umsetzung des Minimalstandards ein bestimmtes Schutzniveau erreichen müssen:

  • Schutzniveau A: Für Netzbetreiber, die mindestens 450 GWh/Jahr transportieren;
  • Schutzniveau B: Für Netzbetreiber und Dienstleister die mindestens 112 GWh/Jahr transportieren und die Erzeuger, mit Ausnahme der Kernkraftwerksbetreiber, und die Speicherbetreiber, sofern sie Anlagen mit einer Leistung von insgesamt mindestens 100 MW betreiben und diese über ein einziges System steuern können.

Dienstleister der Netzbetreiber, Elektrizitätserzeuger und Speicherbetreiber sind ebenfalls von der Ausnahmeregelung erfasst. Hersteller von Hard- oder Software sind von der Ausnahme ausgenommen. Kleinere Akteure, welche die weniger hohen Anforderungen des Schutzniveaus C erfüllen müssen, werden von der Meldepflicht ausgenommen.

Die verschiedenen Schutzniveaus zur Erfüllung des IKT-Minimalstandards sind in der StromVV unter Anhang 1a zu finden.

Ausgenommen von der Meldepflicht sind ebenfalls die Betreiber von Gasleitungen, die im Durchschnitt der letzten fünf Jahre weniger als 400 GWh/Jahr transportierten.

Zu meldende Cyberangriffe

Ein Cyberangriff muss gemeldet werden, wenn er:

  • die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet;
  • zu einer Manipulation oder einem Abfluss von Informationen geführt hat;
  • über einen längeren Zeitraum unentdeckt blieb, besonders wenn er zur Vorbereitung weiterer Cyberangriffe diente;
  • mit Erpressung, Drohung oder Nötigung verbunden ist.

Die Kriterien zur Bestimmung der meldepflichtigen Angriffe wurden so gewählt, dass sie für die Behörden und Organisationen möglichst direkt erkennbar sind.

> Die Funktionsfähigkeit einer kritischen Infrastruktur gilt als gefährdet, wenn:

  • Mitarbeitende oder Dritte von Systemunterbrüchen betroffen sind; oder
  • die betroffene Organisation oder Behörde ihre Tätigkeiten nur noch mit Hilfe von Notfallplänen aufrechterhalten kann.

> Eine Manipulation oder ein Abfluss von Informationen liegen vor, wenn:

  • geschäftsrelevante Informationen von Unbefugten verändert oder offengelegt werden; oder
  • eine Verletzung der Datensicherheit nach Artikel 24 des Datenschutzgesetzes vom 25. September 2020 vorliegt.

> Ein Cyberangriff gilt als über einen längeren Zeitraum unentdeckt, wenn der Vorfall mehr als 90 Tage zurückliegt.

> Ein Cyberangriff gilt als mit Erpressung, Drohung oder Nötigung verbunden, wenn sich diese Handlungen gegen die meldepflichtige Behörde oder Organisation oder gegen deren Verantwortliche oder Mitarbeitende, einschliesslich ehemaliger Verantwortlicher oder Mitarbeitender, oder gegen für die meldepflichtige Behörde oder Organisation tätige Personen richten.

Frist zur Erfassung der Meldung

Ein Cyberangriff muss nach dessen Entdeckung innerhalb von 24 Stunden dem BACS gemeldet werden. Eine weitere Frist von 14 Tagen besteht, um die Meldung zu vervollständigen. Beide Fristen sind nicht verlängerbar.

Meldeprozess und Sanktionen

Die Meldung erfolgt über ein sicheres elektronisches System des BACS. Wird diese Frist nicht eingehalten, erlässt das BACS einen Entscheid mit einer erneuten Frist und droht Sanktionen an. Wer vorsätzlich eine rechtskräftige Anordnung des BACS oder eines Rechtsmittelorgans ignoriert, kann mit einer Geldstrafe von bis zu 100.000 CHF belegt werden.

IKT-Minimalstandards als Schutzmassnahme

Neben der Meldepflicht wird allen Betreibern kritischer Infrastrukturen empfohlen, ihre IT-Sicherheitsmaßnahmen an den IKT-Minimalstandards auszurichten. Diese Standards dienen als Leitfaden zur Verbesserung der Cybersicherheit und sind bereits für bestimmte Sektoren verpflichtend:

  • Seit 1. Juli 2024 für die Strombranche
  • Ab 1. Juli 2025  für Gasversorger

Diese Sicherheitsstandards bieten auch Unternehmen außerhalb der Pflichtbereiche eine wertvolle Grundlage zur Erhöhung ihrer IT-Resilienz. Das Bundesamt für wirtschaftliche Landesversorgung (BWL) hat hierfür branchenspezifische Leitlinien entwickelt (weitere Informationen).

Durch die Einführung des ISG und der damit verbundenen Meldepflicht soll die Schweiz ihre Cybersicherheitsstrategie weiter stärken und kritische Infrastrukturen besser vor Angriffen schützen.

Fazit

Die Revision des Informationssicherheitsgesetzes (ISG) und die Einführung der Cybersicherheitsverordnung (CSV) stellen einen bedeutenden Schritt zur Stärkung der Cybersicherheit in der Schweiz dar. Durch die Meldepflicht für Cyberangriffe und die klaren Regelungen zur Informationsweitergabe sollen kritische Infrastrukturen besser geschützt und potenzielle Bedrohungen frühzeitig erkannt werden.

Die neue Gesetzgebung schafft zudem klare Vorgaben und Ausnahmen, die den unterschiedlichen Bedürfnissen und Risiken der betroffenen Sektoren Rechnung tragen. Insgesamt wird damit die Resilienz der Schweizer Wirtschaft und die Sicherheit der Bevölkerung nachhaltig gestärkt.

Aktuell sollten deshalb die internen Meldeprozesse geprüft und gegebenenfalls angepasst werden sowie die Mitarbeitenden dahingehend geschult werden.

Materialien

Weitere Informationen finden Sie unter den folgenden Links:

Medienmitteilung des Bundesrates und weitere Hinweise
Meldepflicht für Cyberangriffe auf kritische Infrastrukturen gilt ab 1. April

Meldeformular BACS: BACS Report

Revision des ISG: BBl 2023 2296 – Bundesgesetz über die Informatio… | Fedlex (admin.ch)

Informationen zum IKT Minimalstandard: IKT-Minimalstandards

Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.

Ihr Kontakt

Portrait Dr. iur. Michèle Balthasar
Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alex Wild

Student

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.