Ab dem 1. April 2025 wird die Schweiz die Meldung von Cyberangriffen auf kritische Infrastrukturen verpflichtend machen. Die Regelung basiert auf dem revidierten Informationssicherheitsgesetz (ISA) und verlangt von Betreibern in Bereichen wie Energie, Wasserversorgung, Transport und öffentlicher Verwaltung, innerhalb von 24 Stunden nach Entdeckung eines Angriffs eine Meldung an das Nationale Zentrum für Cybersicherheit (NCSC) zu senden.
Die Meldepflicht gilt für Vorfälle, die die Funktionalität kritischer Infrastrukturen gefährden, zu Datenmanipulation oder -lecks führen oder Erpressung beinhalten. Verstöße werden zunächst nicht geahndet, aber ab dem 1. Oktober 2025 drohen Geldstrafen. Meldungen können über das Cyber Security Hub des NCSC oder per E-Mail mit einem speziellen Formular erfolgen. Eine neue Cybersicherheitsverordnung wird Ausnahmen definieren und eine Koordination mit anderen Aufsichtsbehörden wie FINMA und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ermöglichen.
Expertenanalyse:
Mit dieser längst überfälligen Maßnahme passt sich die Schweiz endlich internationalen Standards an, insbesondere der NIS-Richtlinie der EU. Die sechsmonatige Übergangsfrist ohne Sanktionen wirft jedoch Fragen auf: Unternehmen könnten die Regelung in den ersten Monaten ignorieren, da keine unmittelbaren Strafen drohen. Die Regierung setzt darauf, dass Firmen aus Eigeninteresse handeln—eine Annahme, die sich als trügerisch erweisen könnte.
Die neue Meldepflicht erhöht zwar die Transparenz und verbessert die Reaktionsfähigkeit auf Cybervorfälle, aber ihre Wirksamkeit hängt davon ab, ob Unternehmen sie als bürokratische Last oder als entscheidende Sicherheitsmaßnahme betrachten. Angesichts der wachsenden Cyberbedrohungen sollten sich Betreiber weniger Sorgen um mögliche Geldstrafen machen—sondern eher darum, was passiert, wenn sie angegriffen werden und nicht vorbereitet sind.
Lesen Sie den vollständigen Artikel hier.
