Die Betreiberinnen und Betreiber kritischer Infrastrukturen müssen Cyberangriffe ab dem 1. April dem Bundesamt für Cybersicherheit (Bacs) melden. Der Bundesrat hat eine entsprechende Gesetzesänderung in Kraft gesetzt, wie er mitteilt.

Damit den betroffenen Organisationen und Unternehmen für die Umstellung genügend Zeit bleibe, würde zunächst auf Bussen für die Missachtung der Meldepflicht verzichtet. Wie es weiter heisst, habe der Bundesrat die gesetzlichen Grundlagen für die Bussen erst per 1. Oktober 2025 in Kraft gesetzt. Damit gelte in den ersten sechs Monaten zwar die Pflicht, das Unterlassen von Meldungen werde aber noch nicht sanktioniert.

Der neue Gesetzestext sieht vor, dass ein Cyberangriff unter anderem dann gemeldet werden muss, wenn er die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet. Auch bei Manipulationen der Systeme, dem Datenabfluss oder wenn der Angriff mit Erpressung, Drohung oder Nötigung einhergeht, gilt die Meldepflicht.

Das Bacs will für die Pflichtmeldungen auf der bestehenden Plattform für den Austausch mit Betreiberinnen und Betreibern kritischer Infrastrukturen ein Formular aufschalten. Diejenigen Organisationen, die keinen Zugriff auf die Plattform haben, können ein E-Mail-Formular nutzen. Für beide Formulare gilt: Können bei der Erstmeldung innerhalb von 24 Stunden noch nicht alle Angaben gemacht werden, besteht eine Frist von 14 Tagen, um sie zu vervollständigen.

Wie es seitens des Bundesrats heisst, entspreche der Meldepflicht für Cyberangriffe in der Schweiz internationalen Standards. In den EU-Mitgliedstaaten gelte bereits seit 2018 eine Meldepflicht für Cybervorfälle bei kritischen Infrastrukturen.