Die neue Meldepflicht für Cyberangriffe in der Schweiz: Alles, was Sie wissen müssen

New reporting obligation for cyberattacks in Switzerland

Am 1. Januar 2025 trat in der Schweiz eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Kraft, geregelt durch das Informationssicherheitsgesetz (ISG) und die Cyber-Sicherheitsverordnung (CSO). Diese Verpflichtung zielt darauf ab, die nationale Resilienz gegenüber Cyberbedrohungen zu erhöhen, Angriffsmuster frühzeitig zu erkennen und den Austausch von Informationen zu fördern (Art. 73a ISG).

Was umfasst die neue Meldepflicht?

Die Meldepflicht betrifft Organisationen, die «wesentliche gesellschaftliche Funktionen» sicherstellen. Zu den betroffenen Sektoren zählen Betreiber kritischer Infrastrukturen wie Energie, Gesundheitswesen, Finanzen, Telekommunikation und Transport (Art. 74b ISG). Ebenso fallen Anbieter von Cloud-Diensten, Suchmaschinen und sicherheitskritischer Hard- und Software unter die Regelung, sofern Angriffe ihre Funktionsfähigkeit erheblich beeinträchtigen könnten (Art. 74d ISG).

Formanforderungen und Fristen

Die gesetzlichen Anforderungen an die Meldung umfassen:

  • Meldeinhalt: Informationen über die Art des Angriffs, seine Auswirkungen und ergriffene Massnahmen (Art. 74e Abs. 2 ISG).
  • Frist: Die Meldung muss innerhalb von 24 Stunden nach Entdeckung des Angriffs erfolgen, mit Möglichkeit zur späteren Ergänzung (Art. 74e Abs. 3 ISG).
  • System: Das Nationale Zentrum für Cybersicherheit (NCSC) stellt ein sicheres Meldesystem bereit (Art. 74f ISG).

Warum ist die Meldepflicht wichtig?

Die zunehmende Digitalisierung erhöht die Angriffsflächen für Cyberbedrohungen. Ziele der neuen Vorschriften sind Transparenz, Prävention und Resilienz. Ähnlich wie bei der NIS2-Richtlinie der EU, die vergleichbare Meldepflichten für Betreiber wesentlicher Dienste und digitale Dienstanbieter festlegt (Art. 23 NIS2), zielt die Schweizer Regelung darauf ab, das Bedrohungsmanagement zu stärken und die Zusammenarbeit auf nationaler und europäischer Ebene zu fördern. NIS2 betrifft jedoch eine breitere Palette an Unternehmen und Branchen und fordert teilweise strengere Sanktionen, Schweizer Unternehmen mit EU-Bezug kann es indes indirekt auch beeinflussen, und sollte von den betroffenen Firmen geprüft werden.

Konsequenzen bei Nichteinhaltung

Unternehmen, die ihrer Meldepflicht nicht nachkommen, riskieren Bussgelder von bis zu 100.000 CHF (Art. 74h ISG) und können bei wiederholtem Verstoss von öffentlichen Ausschreibungen ausgeschlossen werden. Diese Sanktionen spiegeln die strengen Vorgaben der NIS2-Richtlinie wider, die in der EU ähnliche Strafen bei Nichteinhaltung vorsieht.

Wie können Unternehmen sich vorbereiten?

  1. Analyse der Sicherheitslage: Identifizieren Sie Schwachstellen und bewerten Sie Ihre Systeme.
  2. Einsatz moderner Technologien: Lösungen wie ExeonTrace helfen, Bedrohungen effektiv zu erkennen und gesetzeskonforme Meldungen zu erleichtern.
  3. Schulung der Mitarbeitenden: Teams sollten die neuen Anforderungen kennen und darauf vorbereitet sein.
  4. Zusammenarbeit mit dem NCSC: Nutzen Sie die bereitgestellten Tools und Informationen zur Optimierung Ihrer Prozesse.

Ausnahmen

In der Cybersicherheitsverordnung hat der Bundesrat zahlreiche Ausnahmen von der Meldepflicht für Cyberangriffe auf kritische Infrastrukturen definiert, unter anderem für kleinere Unternehmen, Behörden mit geringer Einwohnerzahl und Organisationen unterhalb von branchenspezifischen Schwellenwerten. Zudem wird ein Steuerungsausschuss Nationale Cyber-Strategie (StA NCS) eingesetzt, der die Cyber-Strategie alle fünf Jahre überprüft, ihre Umsetzung evaluiert und dem Bundesrat Vorschläge unterbreitet.

Exeon Analytics: Ihre Schweizer Network Detection & Response Lösung

Exeon NDR for elevated cybersecurity and compliance

Exeon Analytics unterstützt Unternehmen dabei, die neuen Meldepflichten effizient zu erfüllen und ihre Cybersicherheit zu stärken. Unsere KI-gestützte NDR-Plattform ExeonTrace bietet:

  • Echtzeit-Bedrohungserkennung: Intelligente Analysen identifizieren Anomalien frühzeitig.
  • Automatisierte Berichterstellung: Präzises Reporting erleichtert die Einhaltung gesetzlicher Anforderungen.
  • Vollständige Netzwerktransparenz: Überwachung auch verschlüsselter Daten ohne zusätzliche Hardware.
  • Sicherheits-Compliance: Alle Vorfälle werden umfassend dokumentiert, um Vorschriften zu erfüllen.
  • Schweizer Qualität: Als Schweizer Unternehmen verstehen wir die lokalen Anforderungen.

Fazit

Die neue Meldepflicht ist ein bedeutender Schritt zur Stärkung der Cybersicherheit in der Schweiz. Sie stellt Unternehmen vor neue Herausforderungen, bietet aber auch die Chance, ihre Resilienz zu verbessern.

Mit Exeon Analytics an Ihrer Seite können Sie nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch Ihre gesamte Cyberabwehrstrategie optimieren. Kontaktieren Sie uns, um Ihre Sicherheitsmassnahmen zukunftssicher zu gestalten.

Wenn Sie mehr erfahren möchten, sehen Sie sich in dieser geführten Videotour an, wie ExeonTrace Ihre Cybersicherheitsstrategie unterstützt: ein vollständiger Überblick über die Erkennung von Bedrohungen.

Gregor Erismann

Author:

Gregor Erismann

Co-CEO

email:

gregor.erismann@exeon.com

Share:

Published on:

16.01.2025

Gartner Peer Insights of Exeon Analytics NDR
Read Reviews Submit a Review
NewsletterExeon LogoExeon Logo
Terms of UsePrivacy PolicyImprint
contact@exeon.comphone: +41 44 500 77 21