Meldepflicht bei Cyberangriffen: Schweizer Unternehmen riskieren Bussen bis CHF 100’000

Seit dem 1. Oktober 2025 drohen Schweizer Unternehmen Bussen bis CHF 100’000, wenn sie einen Cyberangriff nicht fristgerecht melden. Die Meldepflicht nach dem Informationssicherheitsgesetz (ISG) ist seit April 2025 in Kraft – doch die Realität zeigt: Viele Betreiber kritischer Infrastrukturen kennen ihre Pflichten nicht oder sind nicht vorbereitet. Gleichzeitig läuft eine weitere Frist: Bis Ende 2026 müssen betroffene Organisationen ein Informationssicherheits-Managementsystem (ISMS) etablieren.

Was die Meldepflicht verlangt

Das revidierte Informationssicherheitsgesetz (ISG) und die Cybersicherheitsverordnung (CSV) verpflichten Betreiber kritischer Infrastrukturen, Cyberangriffe innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS) zu melden. Die Erstmeldung muss wesentliche Informationen enthalten: Art des Vorfalls, betroffene Systeme und erste Einschätzung der Auswirkungen. Innerhalb von 14 Tagen ist eine ergänzende Detailmeldung nachzureichen.

Welche Vorfälle müssen gemeldet werden?

Meldepflichtig sind Cyberangriffe, die:

  • Die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährden
  • Zu einer Manipulation oder einem Abfluss von Informationen geführt haben
  • Über einen längeren Zeitraum unentdeckt geblieben sind
  • Mit Erpressung, Drohung oder Nötigung verbunden sind (z.B. Ransomware)

Das betrifft nicht nur erfolgreiche Angriffe. Auch Vorfälle, bei denen ein Angriff entdeckt und abgewehrt wurde, können meldepflichtig sein – sofern sie das Potenzial hatten, die kritische Infrastruktur zu beeinträchtigen.

Wen betrifft die Meldepflicht?

Der Begriff «kritische Infrastruktur» ist breiter gefasst als viele erwarten. Gemäss der BACS-Übersicht der meldepflichtigen Organisationen umfasst die Definition unter anderem:

  • IT-Dienstleister – Hosting-Provider, Managed Service Provider, Cloud-Anbieter
  • Hochschulen und Forschungseinrichtungen
  • Unternehmen in der Lebensmittelversorgung
  • Organisationen der öffentlichen Sicherheit
  • Medien und elektronische Kommunikation
  • Versicherungen, Banken und AHV/IV-Stellen
  • Hersteller von Hard- und Software

Auch KMU, die als Zulieferer für kritische Infrastrukturen tätig sind oder IT-Dienstleistungen erbringen, können unter die Meldepflicht fallen. Wer unsicher ist, sollte die eigene Einordnung rechtlich prüfen lassen.

Bussen bis CHF 100’000 – und persönliche Haftung

Seit dem 1. Oktober 2025 kann das BACS bei Nichtbefolgung Verfügungen erlassen und Verstösse mit Bussen bis CHF 100’000 ahnden. Ein oft übersehener Punkt: Die Busse richtet sich gemäss Art. 74h ISG gegen die verantwortliche natürliche Person – nicht gegen das Unternehmen als juristische Person. Für Geschäftsleitungen und IT-Verantwortliche bedeutet das ein erhebliches persönliches Risiko.

In den ersten sechs Monaten seit Inkrafttreten der Meldepflicht hat das BACS gemäss eigener Auswertung bereits über 12’000 Meldungen erhalten – im Schnitt rund 2’000 pro Monat. Der Grossteil betrifft Betrugsversuche, aber auch ernsthafte Angriffe auf kritische Infrastrukturen sind darunter.

ISMS-Pflicht bis Ende 2026

Parallel zur Meldepflicht müssen betroffene Organisationen gemäss der Informationssicherheitsverordnung (ISV) bis zum 31. Dezember 2026 ein Informationssicherheits-Managementsystem (ISMS) etablieren. Dieses muss mindestens folgende Elemente umfassen:

  • Systematische Risikoanalyse und -bewertung
  • Definierte Sicherheitsmassnahmen und deren Umsetzungsstand
  • Incident-Response-Prozesse mit klaren Verantwortlichkeiten
  • Regelmässige Überprüfung und Aktualisierung der Massnahmen
  • Dokumentation aller sicherheitsrelevanten Entscheidungen

Wer noch kein ISMS hat, sollte jetzt mit der Umsetzung beginnen. Die Einführung braucht erfahrungsgemäss sechs bis neun Monate – die Zeit wird also knapp.

Praktische Vorbereitung: 5 Schritte

1. Betroffenheit klären

Prüfen Sie, ob Ihr Unternehmen unter die Definition kritischer Infrastrukturen fällt. Die BACS-Übersicht listet alle betroffenen Sektoren auf. Berücksichtigen Sie auch indirekte Betroffenheit als Zulieferer oder IT-Dienstleister.

2. Incident-Response-Plan erstellen

Definieren Sie einen klaren Prozess für Cybervorfälle: Wer wird wann informiert? Wer entscheidet über die Meldung ans BACS? Wer ist für die 24-Stunden-Erstmeldung verantwortlich? Dokumentieren Sie Eskalationswege und Kontaktdaten – auch für Wochenenden und Feiertage.

3. Meldefähigkeit sicherstellen

Registrieren Sie sich auf der Meldeplattform des BACS. Machen Sie sich mit dem Meldeformular vertraut und führen Sie einen Testlauf durch. Im Ernstfall zählt jede Stunde – eine unbekannte Plattform unter Zeitdruck bedienen zu müssen, ist vermeidbar.

4. Erkennungsfähigkeit verbessern

Sie können nur melden, was Sie erkennen. Investieren Sie in die Erkennung von Sicherheitsvorfällen: Log-Monitoring, Endpoint Detection, Netzwerk-Anomalie-Erkennung. Ein regelmässiger Penetrationstest zeigt auf, wo Ihre blinden Flecken liegen.

5. Regelmässig üben

Führen Sie Tabletop-Übungen durch, bei denen ein Cyberangriff simuliert wird. Testen Sie den gesamten Prozess von der Erkennung über die interne Eskalation bis zur BACS-Meldung. Dokumentieren Sie Schwachstellen im Ablauf und verbessern Sie iterativ.

Was Zerberos für Sie tun kann

Die Meldepflicht erfordert mehr als ein Formular – sie erfordert funktionierende Prozesse, getestete Erkennungsfähigkeiten und klare Verantwortlichkeiten. Unsere Dienstleistungen unterstützen Sie gezielt:

  • Risk Assessment – Standortbestimmung Ihrer aktuellen Sicherheitslage und Gap-Analyse gegen ISG/CSV-Anforderungen
  • Penetrationstests – Identifikation von Schwachstellen, bevor Angreifer sie finden
  • Security Roadmap – Priorisierte Massnahmenplanung für die ISMS-Umsetzung bis Ende 2026
  • Incident-Response-Planung – Erstellung und Test von Meldeprozessen und Eskalationswegen

Die Sanktionen gelten bereits. Kontaktieren Sie uns für eine unverbindliche Erstberatung – damit der nächste Cybervorfall nicht auch noch ein Compliance-Problem wird.

Quellen und weiterführende Links

Autor: