Der Bundesrat hat am 7. März 2025 nach längerer Verzögerung nun das Inkrafttreten der längst verabschiedeten Revision des Informationssicherheitsgesetzes ("ISG") bestimmt, welche eine Meldepflicht für Cybervorfälle von bestimmten Organisationen und Behörden vorsieht. Dieser Entscheid liess auf sich warten, weil der Bundesrat noch die dazugehörige Cyberschutzverordnung ("CSV") finalisieren musste.

Die betroffenen Unternehmen müssen jetzt aber rasch handeln. Die Gesetzesänderung gilt bereits ab dem 1. April 2025. Immerhin gewährt der Bundesrat noch eine faktische Schonfrist bis am 1. Oktober 2025 – bis dahin ist das Unterlassen einer Meldung nicht strafbar.

Von der Revision sind IT-Dienstleister in mehrfacher Hinsicht betroffen: Sie können direkt unter die Meldepflicht fallen. Zudem können sie neu unter dem ISG verpflichtet werden, identifizierte Schwachstellen zu beheben.

Betroffen sind zunächst Behörden und Organisationen, die öffentlich-rechtliche Aufgaben im Bereich der Sicherheit, der Rettung, der Versorgung von Trinkwasser, Gas und Strom oder der Abwasseraufbereitung und Abfallentsorgung wahrnehmen. Dazu gehören insbesondere auch Unternehmen, die im Bereich des Energiehandels, der Energiemessung oder der Energiesteuerung tätig sind. Aber auch Gesundheitseinrichtungen, die auf der Spitalliste eines Kantons sind, medizinische Laboratorien und Vorsorgeeinrichtungen zählen dazu.

Der Meldepflicht unterstehen aber auch private Branchen: Banken, Versicherungen, Unternehmen, die im Bereich des Arzneimittelhandels (Herstellung, Inverkehrbringen und Einfuhr von Arzneimitteln) tätig sind, Verkehrsbetriebe (Eisenbahn- und Luftfahrtunternehmen, Flughäfen, Unternehmen im Bereich der kommerziellen Schifffahrt). Im Bereich der Kommunikation sind es registrierte Postdienste und registrierte Anbieterinnen von Fernmeldediensten sowie Registrare von Internet-Domains sowie Registerbetreiberinnen. In der Medienbranche unterstehen die SRG und Nachrichtenagenturen von nationaler Bedeutung der Meldepflicht.

Der Meldepflicht unterstehen auch Cloudcomputing-Dienstleister, Suchmaschinen-Anbieter, Unternehmen, die für Dritte Rechenzentren, digitale Sicherheits- und Vertrauensdienste anbieten sowie bestimmte Hersteller von Hard- oder Software, welche von kritischen Infrastrukturen genutzt werden. Bei Hard- und Softwareherstellern muss dabei ein Fernwartungszugang bestehen oder die Soft- bzw. Hardware muss entweder (i) der Steuerung oder Überwachung von betriebstechnischen Systemen und Prozessen oder (ii) der Gewährleistung der öffentlichen Sicherheit dienen.

Schliesslich unterstehen auch Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde, der Meldepflicht.

Gewisse Kleinunternehmen müssen die Meldepflicht nicht umsetzen (vgl. Art. 12 CSV). Für IT-Dienstleister greift diese Ausnahme aber grundsätzlich nicht.

Meldepflichtig sind Cyberangriffe, welche (i) die Funktionsfähigkeit einer kritischen Infrastruktur gefährden, (ii) zu einer Manipulation oder einem Abfluss von Informationen geführt haben, (iii) die über einen längeren Zeitraum (90 Tage) unentdeckt blieben oder (iv) die mit Erpressung, Drohung oder Nötigung verbunden sind.

Die Meldung hat an das Bundesamt für Cybersicherheit (Bacs) innert 24 Stunden ab Entdeckung über ein Online-Formular zu erfolgen. Sie muss (i) den Zeitpunkt des Angriffs und dessen Entdeckung, (ii) die bekannten Angaben zum Angreifer und (iii) Art der Schwachstelle bzw. des Angriffs und dessen Auswirkungen enthalten. Falls der Cyberangriff mit einer Drohung, Erpressung oder Nötigung verbunden ist, ist mitzuteilen, ob eine Strafanzeige erfolgte. Wenn nicht alle Informationen zu Beginn vorliegen (was meistens der Fall sein wird), so sind diese jeweils umgehend nachzuliefern. Wichtig: Es besteht keine Pflicht, sich durch die Meldung strafrechtlich zu belasten.

Bei einer Verletzung der Meldepflicht kann das Bacs anordnen, dass die Meldepflicht erfüllt werden muss (Art. 74g ISG). Wird diese Anordnung ignoriert, können Bussen bis zu 100'000 Franken ausgesprochen werden.

Ja. In der Schweizer Gesetzgebung sind in der letzten Zeit mehrere Meldepflichten für Datenschutz- und Datensicherheitsverletzungen eingeführt worden. Diese bezwecken auf den ersten Blick Ähnliches. Die Vorfälle sollen früh erkannt werden und mit der notwendigen Ernsthaftigkeit behandelt werden. Aber: Die Meldepflichten sind rechtlich unterschiedlich ausgestaltet, was bei der entsprechenden Meldung zu berücksichtigen ist.

Relevant für IT-Dienstleister ist neben der neu eingeführten Meldepflicht unter dem ISG insbesondere die Meldepflicht nach Datenschutzgesetz ("DSG"): Gemäss Art. 24 Abs. 1 DSG haben Verantwortliche "so rasch als möglich" dem Edöb eine Verletzung der Datensicherheit zu melden, deren Folgen voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt. Der Edöb hat hierzu ein Onlineformular eingerichtet. Die Auftragsdatenbearbeiter müssen dem Verantwortlichen sogar jede Verletzung der Datensicherheit melden (Art. 24 Abs. 2 DSG). Zusätzlich bestehen sektorielle Meldepflichten für den Finanzmarkt und für Medizinprodukte.

Dem Bundesrat schwebt vor, dass die Meldungen nach ISG und nach DSG möglichst einfach und unkompliziert an beide Behörden gleichzeitig erfolgen soll. Es gibt aber einen konzeptionellen Unterschied dieser zwei Meldungen:

Während also durch die Meldung nach ISG an das Bacs nur in Ausnahmefällen mit negativen Konsequenzen zu rechnen ist (primär, wenn es eine Fernmeldeanlage betrifft oder damit eine Schwachstelle einer Soft- oder Hardware aufgedeckt wird) und es sich – im Sinne der Sache – lohnen kann, auf eigene Verfehlungen hinzuweisen, ist bei einer Meldung an den Edöb mehr Vorsicht geboten. Denn die Meldung von eigenen Verfehlungen kann zur Eröffnung eines administrativen Verfahrens führen.

Sofern das Bacs, zum Beispiel basierend auf der Meldung eines Cybervorfalls, eine Schwachstelle einer Soft- oder Hardware erkannt hat, so informiert es umgehend den entsprechenden Hersteller und setzt diesem eine Frist zur Behebung dieser Schwachstelle. Diese beträgt in der Regel 90 Tage. Je nach Komplexität der Schwachstelle und Bedeutung oder Dringlichkeit kann diese Frist verlängert oder verkürzt werden. Wird die Schwachstelle nicht innert Frist behoben, kann das Bacs die Schwachstelle veröffentlichen. Betreiber von kritischen Infrastrukturen können bereits vor Ablauf dieser Frist informiert werden.

Missachtet der Soft- oder Hardwarehersteller diese Frist, kann er zudem von Vergabeverfahren ausgeschlossen werden. Auch kann ihm ein bereits erteilter Zuschlag entzogen werden oder er kann von einem Verzeichnis gestrichen werden (neuer Art. 44 Abs. 1 lit. f BoeB).