Der Bundesrat hat an seiner Sitzung vom 7. März 2025 die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen per 1. April in Kraft gesetzt. Bertreiber kritischer Infrastrukturen – zum Beispiel Energie- und Trinkwasserversorgung, Transportunternehmen, Kantons- und Gemeindeverwaltungen – müssen Angriffe innert 24 Stunden nach der Entdeckung dem Bundesamt für Cybersicherheit (BACS) melden. Dazu dient ein Meldeformular, das auf der Plattform des BACS bereitsteht. Falls bei der Erstmeldung innerhalb von 24 Stunden noch nicht alle Angaben gemacht werden konnten, muss die Meldung innert 14 Tagen vervollständigt werden.
Cyberangriffe sind unter anderem dann zu melden, wenn sie die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährden, eine Manipulation oder einen Abfluss von Informationen nach sich ziehen oder mit Erpressung, Drohung oder Nötigung verbunden sind. Bleibt in solchen Fällen eine Meldung aus, sieht das Gesetz Bussen vor. Die gesetzliche Grundlage für diese Bussen tritt allerdings erst per 1. Oktober 2025 in Kraft, damit sich die betroffenen Betreiber an die Meldepflicht gewöhnen können: Die Meldepflicht gilt zwar ab dem 1. April, in den ersten sechs Monaten wird die Unterlassung von Meldungen aber noch nicht mit einer Busse sanktioniert.
(ubi)
