Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen

Am 23. Dezember 2015 fiel in der Ukraine plötzlich der Strom aus. Rund 230’000 Menschen sassen im Dunkeln. Der Grund: Hacker, die vermutlich im Auftrag des russischen Geheimdiensts handelten, hatten die Computersysteme der Stromversorger angegriffen. Sie schalteten insgesamt 30 Umspannwerke aus. Es war der erste dokumentierte Fall, bei dem ein Cyberangriff eine Stromversorgung ausser Kraft setzte. Ähnliche Angriffe gab es seither mehrfach. 2021 legten Kriminelle in den USA mit einem Cybererpressungsangriff die grösste Treibstoffpipeline des Landes lahm. Das Benzin wurde knapp, ganze Regionen waren betroffen.

Diese Beispiele zeigen: Während kritische Infrastrukturen früher physisch isoliert und nur vor Ort sabotiert werden konnten, sind sie heute über vernetzte Steuerungssysteme und Internetschnittstellen von überall auf der Welt angreifbar. Cyberangriffe auf kritische Infrastrukturen wie Energieversorgung, Gesundheitswesen oder Finanzdienstleistungen können Wirtschaft und Gesellschaft massiv beeinträchtigen. Auch in der Schweiz können kritische Infrastrukturen Ziel von Cyberangriffen werden. Das Bundesamt für Cybersicherheit hat den Auftrag, die Cybersicherheit von kritischen Infrastrukturen zu stärken. Um eine bessere Übersicht über die Bedrohungslage zu erhalten und um die Betreiberinnen von kritischen Infrastrukturen frühzeitig zu warnen, hat der Bundesrat am 1. April 2025 eine Meldepflicht für Cybervorfälle eingeführt.

Von der Freiwilligkeit zur Pflicht

Bis zur Einführung der Meldepflicht setzte die Schweiz auf Freiwilligkeit: Betreiber kritischer Infrastrukturen konnten dem Bundesamt für Cybersicherheit Cyberangriffe melden. Schon vor Einführung der Meldepflicht bestand ein enges Vertrauensverhältnis zwischen dem Bundesamt für Cybersicherheit und vielen Betreiberinnen kritischer Infrastrukturen. Diese Zusammenarbeit erleichterte den erfolgreichen Start der Meldepflicht.

Die Meldepflicht wurde mit der Revision des Informationssicherheitsgesetzes eingeführt. Betreiberinnen kritischer Infrastrukturen müssen Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung dem Bundesamt für Cybersicherheit melden. In den ersten sechs Monaten gingen bereits 164 Meldungen ein – im Schnitt eine Meldung pro Tag. Am stärksten betroffen war bislang das Finanzwesen, gefolgt von der IT-Branche und dem Energiesektor. Weitere Meldungen stammen von den Behörden, dem Gesundheitssektor, den Telekommunikationsunternehmen sowie vereinzelt aus dem Postwesen, dem Transportsektor, der Medienbranche, der Nahrungsmittelversorgung und der Technologiebranche.[1]

Der Schweizer Weg: Fokus auf Früherkennung

International gibt es einen klaren Trend zu strengeren Cybersicherheitsvorschriften. Die EU hat mit ihrer NIS-2-Richtlinie bereits 2023 die Regeln verschärft. Rund 29’000 Unternehmen in 18 Sektoren müssen dort umfangreiche Sicherheitsmassnahmen umsetzen: Sie müssen Risiken managen, technische Schutzmassnahmen installieren und ihre Lieferketten absichern. Die EU-Behörden kontrollieren die Einhaltung dieser Vorschriften. Wer sich nicht an die Vorgaben hält, zahlt als Strafe bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes des betroffenen Unternehmens.

Die Schweiz geht einen anderen Weg. Die neue Meldepflicht dient ausschliesslich der Früherkennung von Angriffsmustern und der rechtzeitigen Warnung anderer Betroffener. Der Bundesrat stellte von Anfang an klar: Das Bundesamt für Cybersicherheit kontrolliert die Unternehmen nicht und macht ihnen keine Vorschriften, wie sie sich schützen müssen.[2] Es geht nur darum, dass Angriffe gemeldet werden. Bei Verstössen drohen Bussen bis zu 100’000 Franken. Zudem sind die Sanktionen bewusst zurückhaltend: Bussen werden nur als letztes Mittel gegen Organisationen verhängt und erst wenn mehrfache Aufforderungen vorsätzlich missachtet werden.

Der Unterschied zur EU ist also grundlegend: Während die EU den Unternehmen vorschreibt, welche Sicherheitsmassnahmen sie ergreifen müssen, um Angriffe zu verhindern, konzentriert sich die Schweiz darauf, Angriffe schnell zu erkennen und andere zu warnen.

Wer muss melden?

Die Meldepflicht gilt für viele verschiedene Organisationen. Das Informationssicherheitsgesetz orientiert sich dabei an der nationalen Strategie zum Schutz kritischer Infrastrukturen und listet 21 Kategorien auf. Dazu gehören aus dem Bereich der öffentlichen Hand und Bildung etwa Hochschulen sowie Bundes-, Kantons- und Gemeindebehörden. Im Bereich Sicherheit und Gesundheit müssen Rettungsdienste, Spitäler und medizinische Labors melden. Auch Energieversorger wie Stromanbieter sowie Verkehrsunternehmen wie Bahngesellschaften und Busunternehmen sind betroffen. Im Finanz- und Kommunikationsbereich gehören Banken, Medien und Telefongesellschaften zu den Meldepflichtigen. Schliesslich auch die digitale Infrastruktur, die Internetdomain-Betreiber, Cloudanbieter sowie Hard- und Softwarehersteller umfasst.

Damit die Regelung verhältnismässig bleibt, sieht die Cybersicherheitsverordnung detaillierte Ausnahmen vor. Kleine Organisationen sind von der Meldepflicht befreit, wenn ein Cyberangriff auf sie nur geringe Auswirkungen auf Wirtschaft oder Bevölkerung hätte. So sind im Bildungsbereich Hochschulen mit weniger als 2000 Studierenden ausgenommen. Im Energiesektor gelten Schwellenwerte: Kleinere Netzbetreiber und Gasversorger, die bestimmte Mengen nicht erreichen, sind befreit. Bei Verkehrsunternehmen sind solche ohne Systemaufgaben oder ohne gemeinsam durch Bund und Kantone bestellte Angebote ausgenommen. Auch Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren mit Sitz in der Schweiz, die ausschliesslich für die eigene Organisation arbeiten, müssen nicht melden. Das gilt aber nur, sofern sie ihre Leistungen weder teilweise noch vollumfänglich gegen Bezahlung für Dritte erbringen.

Des Weiteren gilt für Einrichtungen und Unternehmen aus den Bereichen Gesundheitswesen, Arzneimittelversorgung, Postdienste sowie Grundversorgung der Bevölkerung mit unentbehrlichen Gütern zudem eine allgemeine Kleinunternehmerregelung: Organisationen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Franken sind befreit. Diese differenzierten Ausnahmen zeigen, dass die Meldepflicht auf jene Organisationen beschränkt wird, deren Ausfall tatsächlich erhebliche Auswirkungen auf die Gesellschaft hätte.

Was muss gemeldet werden?

Nicht jeder Cyberangriff löst eine Meldepflicht aus. Das Gesetz nennt vier Situationen, in denen gemeldet werden muss. Erstens wenn die Funktionsfähigkeit gefährdet ist, also wenn Systeme ausfallen und die Organisation nur noch mit Notfallplänen arbeiten kann. Zweitens wenn Unbefugte auf wichtige Daten zugreifen oder die Datensicherheit verletzt wird. Drittens wenn ein Angriff lange unentdeckt blieb, nämlich über 90 Tage, und so möglicherweise weitere Angriffe vorbereitet werden. Viertens bei Erpressung, wenn Angreifer also drohen, erpressen oder nötigen, wie das bei Ransomware-Attacken[3] der Fall ist. Nicht meldepflichtig sind hingegen technische Fehlfunktionen oder normale IT-Probleme. Es geht nur um absichtliche Angriffe.

Organisationen müssen einen Angriff innerhalb von 24 Stunden nach seiner Entdeckung beim Bundesamt für Cybersicherheit melden. Dies geschieht im Idealfall über ein sicheres elektronisches System, den sogenannten Cyber Security Hub, der eine rasche Bearbeitung der Meldung gewährleistet. Falls nicht sofort alle Informationen verfügbar sind, können Organisationen diese innerhalb von 14 Tagen nachreichen. Diese zweistufige Regelung berücksichtigt, dass es Zeit braucht, um komplexe Angriffe zu verstehen. Die Meldung muss die betroffene Organisation nennen, Art und Ausführung des Angriffs beschreiben, seine Auswirkungen schildern und die bereits ergriffenen Massnahmen aufführen. Organisationen können auch spezialisierte IT-Sicherheitsfirmen mit der Meldung beauftragen, bleiben aber rechtlich verantwortlich.

Wer einen Angriff meldet, bekommt zudem Hilfe vom Bundesamt für Cybersicherheit. Es kann technische Analysen erstellen, bei der Behebung von Schwachstellen beraten und andere potenzielle Betroffene warnen. Diese Unterstützung ist ein direkter Nutzen für die meldenden Organisationen.

1. Siehe Medienmitteilung des Bundesamts für Cybersicherheit vom 29. September 2025. []
2. Siehe Botschaft zur Änderung des Informationssicherheitsgesetzes, S. 33. []
3. Eine Ransomware-Attacke ist ein Cyberangriff, bei dem Daten oder Systeme verschlüsselt werden, sodass man nicht mehr darauf zugreifen kann. Die Angreifer fordern danach ein Lösegeld (engl. ransom), um die Daten wieder freizugeben. []