Insbesondere bei schwerwiegenden Cyberangriffen auf Schweizer Institutionen und Unternehmen ist es wichtig, dass alle betroffenen Akteure beim Bund, den Kantonen und privaten Organisationen und Unternehmen koordiniert zusammenarbeiten, um sie abzuwehren. Das Bundesamt für Cybersicherheit (Bacs) hat ein Konzept erarbeitet, das Leitlinien aufstellen und aufzeigen soll, wie sich der Bund organisiert, um die koordinierte Abwehr sicherzustellen.
Dabei, so das Bacs, spielen klare Zuständigkeiten und ein transparentes Vorgehen eine zentrale Rolle. Die rechtlichen Grundlagen zur Klärung der Aufgaben und Zuständigkeiten seien mit dem Inkrafttreten des
Informationssicherheitsgesetzes im Jahr 2024 sowie der
Cybersicherheitsverordnung und der Verordnung über die Krisenorganisation der Bundesverwaltung im Jahr 2025 geschaffen worden.
Das Konzept des Bacs beruht auf einer Einstufung des Schweregrads von Cyberangriffen in vier Stufen. Die Einstufung erfolge aus einer gesamtgesellschaftlichen Perspektive, so das Bacs. Ausschlaggebend sei, wie viele Organisationen in der Schweiz betroffen sind und welche Auswirkungen der Cybervorfall auf Wirtschaft und Bevölkerung hat. Je nach Einstufung sollen unterschiedliche Koordinationsprozesse aktiviert und spezifische Organisationen in die Vorfallbewältigung eingebunden werden.
Gering, moderat, erheblich und kritisch
Bei Vorfällen der Stufe "gering" will das Bacs nicht eingreifen. Auf der Stufe "moderat" will es die betroffenen Organisationen unterstützen, aber erst ab der Stufe "erheblich" wird es eine aktive Rolle in der Koordination übernehmen. Bei Vorfällen der höchsten Stufe "kritisch" soll schliesslich ein Antrag an den Bundesrat zur Einsetzung eines Krisenstabs gemäss den dafür vorgesehenen Prozessen erfolgen.
Vorfälle der Stufen gering und moderat seien Alltag und die Zusammenarbeit des Security-Amts mit Betreiberinnen kritischer Infrastrukturen und Behörden des Bundes und der Kantone bereits gut eingespielt, schreibt das Bacs. Die Prozesse auf den Stufen "erheblich" und "kritisch" seien aufgrund der nun bestehenden rechtlichen Grundlagen definiert worden. Die Zuständigkeiten und Aufgaben seien aber noch nicht allen Akteuren im gleichen Ausmass bekannt und die Prozesse müssten sich noch besser etablieren. Das jetzt präsentierte Konzept solle dazu einen Beitrag leisten. Man werde es nutzen, um alle über die Aufgaben und Zuständigkeiten bei der koordinierten Vorfallbewältigung zu informieren.