Blogbeitrag anhören
Cyberangriffe nehmen weltweit zu – und machen auch vor der Schweiz nicht halt. Besonders gefährlich wird es, wenn kritische Infrastrukturen betroffen sind, etwa in der Energie- oder Gesundheitsversorgung. Um besser auf solche Vorfälle reagieren zu können, hat der Gesetzgeber gehandelt: Im April 2025 trat eine neue gesetzliche Meldepflicht in Kraft. Dieser Blogbeitrag informiert Sie darüber, wen die Regelung betrifft, was im Fall eines Cybervorfalls zu tun ist und wie Sie sich als Unternehmen rechtzeitig vorbereiten können. Wir richten uns mit diesem Beitrag gezielt an Organisationen, die potenziell meldepflichtig sind, und möchten Sie dazu ermutigen, jetzt aktiv zu werden.
Die Meldepflicht in Kürze
Mit der Revision des Informationssicherheitsgesetzes (ISG) führt die Schweiz ab April 2025 eine verbindliche Meldepflicht für Cybervorfälle ein. Ab Oktober 2025 wird das Missachten dieser Pflicht gar gebüsst. Diese betrifft Betreiberinnen und Betreiber kritischer Infrastrukturen – also Unternehmen, deren Dienstleistungen für das Funktionieren von Gesellschaft, Wirtschaft und Staat unverzichtbar sind. Dazu zählen unter anderem Organisationen aus den Bereichen:
- Energieversorgung
- Telekommunikation
- Gesundheitswesen
- Finanzwesen
- Transport und Verkehr
Weiter gehören aber auch Unternehmen dazu, welche Cloudcomputing, Sicherheitsdienste und Rechenzentren anbieten, weshalb auch die Leuchter IT Solutions AG unter die Meldepflicht fällt.
Wann besteht eine Meldepflicht?
Laut dem ISG muss ein Cybervorfall innert 24 Stunden nach dem Erkennen an das Bundesamt für Cybersicherheit (BACS) gemeldet werden, wenn einer der folgenden Punkte zutrifft:
- Die Funktionsfähigkeit der kritischen Infrastruktur ist gefährdet.
- Es kam zu einer Manipulation oder zum Abfluss von Informationen.
- Der Vorfall ist mit Erpressung, Drohung oder Nötigung verbunden.
- Der Angriff blieb über längere Zeit unentdeckt.
Zusätzlich können fehlende Informationen innerhalb von zwei Wochen nachgereicht werden.
Was muss gemeldet werden?
Die Meldung erfolgt über das dafür vorgesehene Online-Portal oder per E-Mail an das BACS. Enthalten sein sollen unter anderem:
- Art und Umfang des Vorfalls
- Betroffene Systeme
- Erste Einschätzung zur Ursache
- Bereits eingeleitete Sofortmaßnahmen
Warum ist diese Regelung wichtig?
Ziel der neuen gesetzlichen Pflicht ist es, Cyberbedrohungen frühzeitig zu erkennen und effizient zu bekämpfen. Gleichzeitig soll der Informationsaustausch zwischen Unternehmen und Behörden verbessert werden. Dies trägt dazu bei, künftige Angriffe zu verhindern und die Resilienz kritischer Systeme zu stärken.
Was bedeutet das für Ihr Unternehmen?
Wenn Ihr Unternehmen zu den Betreibern kritischer Infrastrukturen gehört, sind Sie verpflichtet, sich auf diese Regelung vorzubereiten. Das bedeutet konkret die internen Prozesse anpassen, sodass die Meldepflicht eingehalten wird.
Jetzt aktiv werden – Sicherheit beginnt mit Vorbereitung.
Bei Fragen oder Unklarheiten im Rahmen der Meldepflicht stehen wir gerne zur Verfügung.
Alle Informationen zu unserem SOC finden Sie unter Leuchter IT Cyber Security Operations Center - langfristig besser
