LEZZI sub white RZ
Datachain in the internet

Meldepflicht für Cyberangriffe

Am 7. März 2025 hat der Bundesrat beschlossen, die Meldepflicht für Cyberangriffe auf Betreiberinnen und Betreiber kritischer Infrastrukturen per 1. April 2025 in Kraft zu setzen. Diese Massnahme dient der Stärkung der Cybersicherheit in der Schweiz und der Erhöhung der Resilienz essenzieller Dienste. Die Verordnung über die Cybersicherheit (CSV) enthält die erforderlichen Ausführungsbestimmungen und regelt insbesondere die Ausnahmen der Meldepflicht nach Art. 74c des Informationssicherheitsgesetzes (ISG).

 

1.     Wer ist meldepflichtig?

Die Meldepflicht nach Art. 74b Abs. 1 lit. a – u ISG gilt für eine breite Palette an Organisationen und Unternehmen, die für das Funktionieren der Gesellschaft und der Wirtschaft in der Schweiz von zentraler Bedeutung sind. Dazu gehören insbesondere:

       Hochschulen

       Staatliche Stellen

       Energie- und Wasserversorger

       Gesundheitswesen

       Fernmeldeanbieter

       Transport- und Logistikunternehmen (z. B. Eisenbahnunternehmen)

       Finanzsektor

       Medien

       IT-Dienstleister

       Betreiberinnen und Betreiber kritischer Infrastrukturen

Sie sind verpflichtet, Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung dem Bundesamt für Cybersicherheit (BACS) zu melden (vgl. Art. 16 Abs. 1 CSV).

 

2.     Ausnahmen von der Meldepflicht

Die CSV konkretisiert die Ausnahmen von der Meldepflicht gemäss Art. 74c ISG. Laut Art. 12 CSV sind bestimmte Behörden und Organisation von dieser Meldepflicht ausgenommen. Dazu gehören:

       Hochschulen mit weniger als 2’000 Studierenden,

       kleine Versorgungsunternehmen, die nur ein geringes Schutzniveau aufweisen oder über begrenzte Kapazitäten verfügen (z. B. eine transportierte Energie von weniger als 400 GWh/Jahr),

       kleine Transportunternehmen, die keine Systemaufgaben übernehmen oder lediglich eine Personenbeförderungskonzession besitzen, jedoch keine hoheitlich bestellten Angebote erbringen. Ebenso ausgenommen sind Unternehmen mit einer Infrastrukturkonzession, sofern diese nicht aufgrund eines öffentlichen Interesses erteilt wurde,

       Unternehmen, die nach der Durchführungsverordnung (EU) 2023/203 oder dem Anhang der Delegierten Verordnung (EU) 2022/1646 nicht zur Einrichtung eines Information Security Management System (ISMS) verpflichtet sind, sowie Unternehmen, deren Security-Programm nicht unter die Verordnung (EG) Nr. 300/2008 fallen,

       Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie ihre Leistungen weder teilweise noch vollständig gegen Entgelt für Dritte erbringen,

       Darüber hinaus sind von der Meldepflicht befreit, sofern sie weniger als 50 Mitarbeitende beschäftigen und ihr Jahresumsatz unter 10 Millionen Franken liegt:

o   medizinische Laboratorien mit einer Bewilligung des Epidemiengesetzes,

o   Unternehmen mit einer Bewilligung für die Herstellung, das Inverkehrbringen und die Einfuhr von Arzneimitteln,

o   Organisationen, die Leistungen zur Absicherung gegen die Folgen von Krankheit, Unfall, Arbeits- und Erwerbsunfähigkeit, Alter, Invalidität und Hilflosigkeit erbringen, sowie

o   Unternehmen, die die Bevölkerung mit lebenswichtigen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde.

 

3.     Modalitäten der Meldepflicht

Die Meldung eines Cyberangriffs muss in erster Linie die in Art. 74e Abs. 2 ISG festgelegten Angaben enthalten. Dazu gehören Informationen zur meldepflichtigen Behörde oder Organisation, zur Art und Durchführung des Angriffs, zu dessen Auswirkungen sowie zu den bereits ergriffenen Massnahmen. Soweit bekannt, sollte auch das geplante weitere Vorgehen beschrieben werden. Zusätzlich sind die in Art. 15 CSV vorausgesetzten Angaben erforderlich, insbesondere das Datum und die Uhrzeit der Feststellung des Angriffs sowie des Angriffs selbst, sowie Informationen zum Angreifer. Weiterhin muss die Meldung Auskunft darüber geben, ob der Angriff mit Erpressung, Drohung oder Nötigung verbunden war und ob gegebenenfalls eine Strafanzeige erstattet wurde. Abschliessend ist es notwendig, auch die Auswirkungen des Angriffs zu dokumentieren. Wird die Meldung des Cyberangriffs nicht über das Kommunikationssystem des BACS übermittelt, sind zusätzliche Informationen zur meldenden Organisation beizufügen (vgl. Art. 15 Abs. 4 CSV). Dazu gehören:

       Die Identifikation der Organisation (Firma, Name oder Bezeichnung sowie Adresse),

       Die Kontaktperson (Name, Telefonnummer und E-Mail der verantwortlichen Person).

4.     Bussen bei Verletzung der Meldepflicht

Nach den Art. 74g und 74h ISG droht eine Busse, wenn die Meldepflicht verletzt wird oder einer Verfügung des Nationalen Zentrum für Cybersicherheit (NCSC) nicht Folge geleistet wird. Art. 74g ISG legt fest, dass das NCSC im Falle einer Verletzung der Meldepflicht die betroffene Behörde oder Organisation informiert und eine Frist ansetzt. Wird diese Frist nicht eingehalten, erlässt das NCSC eine neue Verfügung und verweist auf die Strafdrohung nach Art. 74h ISG. Gemäss Art. 74h ISG wird eine Busse von bis zu 100’000 CHF verhängt, wenn einer rechtskräftigen Verfügung des NCSC vorsätzlich nicht Folge geleistet wird. Bei Widerhandlungen in Geschäftsbetrieben kommen zusätzliche Regelungen des Verwaltungsstrafrechts zur Anwendung.

5.     Unterstützung durch LezziLegal

Im Rahmen der neuen Verordnung und der damit einhergehenden Herausforderungen im Bereich Cybersecurity bietet LezziLegal eine Reihe spezialisierter Dienstleistungen an. Dazu zählen unter anderem:

·      Compliance- und Risikoanalysen:
Überprüfung bestehender IT-Sicherheitskonzepte und Notfallpläne sowie die Identifizierung von Schwachstellen im Hinblick auf die neuen gesetzlichen Vorgaben.

·      Beratung zur Umsetzung der Meldepflicht:
Unterstützung bei der Implementierung interner Prozesse, um die Meldepflicht fristgerecht und vollständig zu erfüllen, einschliesslich der Erstellung entsprechender Dokumentationsrichtlinien.

·      Vertragsprüfung und -gestaltung:
Analyse und Anpassung von Verträgen im Bereich IT und Cybersecurity, um Haftungsrisiken zu minimieren.

·      Schulungen und Workshops:
Durchführung von Seminaren zur Sensibilisierung der Mitarbeiter und zur Vermittlung von Best Practices im Umgang mit Cybervorfällen.

·      Rechtliche Vertretung:
Begleitung von Unternehmen im Falle von behördlichen Untersuchungen oder im Rahmen von Gerichtsverfahren, einschliesslich der Verteidigung gegen mögliche Bussgeldforderungen.

·      Krisenmanagement und Notfallberatung:
Beratung und Unterstützung bei der schnellen Reaktion auf Cyberangriffe, um den Schaden zu begrenzen und die betriebliche Kontinuität zu sichern.

Share:

LinkedIn
Das könnte Sie interessieren

Zusammenhängende Posts

Datachain in the internet

Meldepflicht für Cyberangriffe

Am 7. März 2025 hat der Bundesrat beschlossen, die Meldepflicht für Cyberangriffe auf Betreiberinnen und Betreiber kritischer Infrastrukturen per 1. April 2025 in Kraft zu

Greenwashing

Greenwashing ist momentan ein wichtiges Thema in der Gesetzgebung. Nicht nur die EU sondern auch die Schweiz geht gegen Greenwashingvor: das Gesetz gegen den unlauteren

Datachain in the internet

Swiss-U.S. Data Privacy Framework

Einleitung Am 14. August 2024 hat der Bundesrat beschlossen, die USA auf die Liste der Länder mit einem angemessenen Datenschutzniveau zu setzen. Diese Entscheidung ermöglicht

LEZZI sub white RZ

LezziLegal ist Ihre Boutique-Kanzlei für Datenschutz, IT-Recht, Technologie und Regulatory. Massgeschneiderte Lösungen für die digitale Welt in Ihrem Unternehmen.

Tätigkeitsbereiche

Awards

LezziLegal ist eine der Top-Kanzleien im Technologie- und Telekommunikationsrecht 2024.

News

Kontakt

Folge uns

Linkedin

2025

LezziLegal

©All Rights Reserved