Ein Gesetzesrahmen und eine Pflicht in Zeiten mit erhöhtem Cyberrisiko
Das neue Informationssicherheitsgesetz des Bundes und seine vier Ausführungsverordnungen gelten seit bald einem Jahr. Im ersten Halbjahr 2025 wird dieses Werk mit der Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen ergänzt. Unter «kritischen Infrastrukturen» werden Dienstleistungs- und Versorgungssysteme verstanden, die essenziell für die Wirtschaft bzw. die Lebensgrundlagen der Bevölkerung sind. Der Zeitpunkt des Inkrafttretens der Meldepflicht steht jetzt noch nicht fest. Das dürfte aber im ersten Semester 2025 erfolgen.
Eine Meldepflicht wofür?
Die Meldepflicht hat zum Ziel, die Cybersicherheit in der Schweiz zu stärken:
- Sie dient dazu, dass das Bundesamt für Cybersicherheit (BACS) Angriffsmuster auf kritische Infrastrukturen frühzeitig erkennen und mögliche betroffene Betriebe und Verwaltungseinheiten warnen kann.
- Auch ermöglichen Meldungen, dass das BACS Betrieben und Verwaltungseinheiten geeignete Präventions- und Abwehrmassnahmen empfehlen kann.
Ein Grossteil der Leistungserbringer für Menschen mit Unterstützungsbedarf gehört zu den kritischen Infrastrukturen.
Die Meldepflicht gilt für Institutionen für Menschen mit Unterstützungsbedarf, wenn sie:
- Gesundheitsleistungen erbringen
- Leistungsverträge mit den kantonalen Behörden unterzeichnet haben und sie dann gemäss kantonalem Recht als Ausführungsstellen der kantonalen Behörden gelten
- Leistungen zur Absicherung gegen die Folgen von Krankheit, Alter, Invalidität oder Hilflosigkeit erbringen
Die neue Meldepflicht in Kürze
Die Eckwerte der Meldepflicht lauten wie folgt:
- Das BACS ist als zentrale Meldestelle für Cyberangriffe vorgesehen.
- Die Meldung sollte innert 24 Stunden nach der Entdeckung des Cyberangriffs erfolgen.
- Durch die Meldung eines Cyberangriffs haben die Betriebe Anspruch auf die Unterstützung des BACS bei der Vorfallbewältigung.
- Die Meldung kann elektronisch via Webseite des BACS erfolgen.
- Vorfälle sind von der Meldepflicht ausgenommen, wenn die ausgelösten Funktionsstörungen nur geringe Auswirkungen zur Folge haben.
Das BACS erteilt den Betrieben auf Ersuchen Auskunft darüber, ob sie der Meldepflicht unterstellt sind. Angriffe können – wie heute schon – auf jeden Fall freiwillig gemeldet werden.
BACS-Informationsportal mit Meldestelle
BACS: Informationen für Unternehmen