Seit dem 1. April 2025 sind die Betreiber von kritischer Infrastruktur verpflichtet, Cyberangriffe innert 24 Stunden nach deren Entdeckung an das Bundesamt für Cybersicherheit BACS zu melden. Unternehmen, die der obligatorischen Meldepflicht nicht unterliegen, sind aufgefordert, dem Bundesamt für Cybersicherheit BACS Cybervorfälle freiwillig zu melden. Und: Die unzähligen Phishingmails sollte man kommentarlos an reports@antiphishing.ch weiterleiten.

Von den Hochschulen über die Spitäler, SBB und Post bis zu Cloudanbietern

Laut «Artikel 74b Meldepflichtige Behörden und Organisationen» des «Informationssicherheitsgesetz ISG (Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen)» zählen die folgenden Bereiche zur meldepflichtigen kritischen Infrastruktur:

• Hochschulen

• Bundes-, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen

• Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung

• Unternehmen, die in der Energieversorgung tätig sind

• Unternehmen, die dem Bankengesetz, dem Versicherungsaufsichtsgesetz, dem Finanzmarktinfrastrukturgesetz unterstehen

• Gesundheitseinrichtungen, die auf der kantonalen Spitalliste aufgeführt sind

• medizinische Laboratorien mit einer Bewilligung aufgrund des Epidemiegesetzes

• Unternehmen, die für die Herstellung, das Inverkehrbringen und die Einfuhr von Arzneimitteln eine Bewilligung haben

• Organisationen, die Leistungen zur Absicherung gegen die Folgen von Krankheit, Unfall, Arbeits- und Erwerbsunfähigkeit, Alter, Invalidität und Hilflosigkeit erbringen

• die Schweizerische Radio- und Fernsehgesellschaft

• Nachrichtenagenturen von nationaler Bedeutung

• Anbieter von Postdiensten aufgrund des Postgesetzes

• Konzessionierte Transportunternehmen aller Art

• Unternehmen der Zivilluftfahrt sowie die Landesflughäfen

• Unternehmen der Rheinschifffahrt samt dem Hafen Basel

• Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen

•  Registrierte Anbieter von Fernmeldediensten

• Registerbetreiber und Registrare von Internet-Domains

• Anbieter und Betreiber von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen

• Anbieter und Betreiber von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben

• Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Hard- oder Software einen Fernwartungszugang hat.

Unternehmen im Bereich der kritischen Infrastruktur, die weniger als 50 Mitarbeitende beschäftigen und deren Jahresumsatz weniger als zehn Millionen Franken beträgt, sind von der obligatorischen Meldepflicht von Cybervorfällen befreit.

Meldestelle für Cyberattacken auf kritische Infrastruktur ist der Cyber Security Hub

Für die meldepflichtigen Betreiber von kritischer Infrastruktur hat das Bundesamt für Cybersicherheit BACS den Cyber Security Hub CSH geschaffen. Dieser dient als Instrument für den Austausch und das Management von Informationen über Cyberbedrohungen, Cybervorfälle und Cybersicherheitspraktiken.

Das Bundesamt für Cybersicherheit bittet, Cybervorfälle freiwillig zu melden

Unternehmen, die der obligatorischen Meldepflicht nicht unterliegen, sind aufgefordert, dem Bundesamt für Cybersicherheit BACS ihre Cybervorfälle freiwillig zu melden. Dafür hat das BACS den Chat «Ich möchte freiwillig einen Cybervorfall melden» geschaffen. Alternativ kann man auch ein Mail an die E-Mailadresse incidents@ncsc.ch senden.