POLITIK | Die Meldepflicht für Cyberangriffe tritt in Kraft am 1. April
Cyberangriffe sind heute eine weit verbreitete Realität. Leistungserbringer für Menschen mit Unterstützungsbedarf bearbeiten oft heikle Daten – in der Regel auch elektronisch. Einige gehören zu den kritischen Infrastrukturen, für die eine Meldepflicht bei allfälligen Cyberangriffen ab dem 1. April 2025 zum Tragen kommt. Wir skizzieren deren Eckpunkte.
Ein Gesetzesrahmen und eine Pflicht in Zeiten mit erhöhtem Cyberrisiko
Das neue Informationssicherheitsgesetz des Bundes und seine vier Ausführungsverordnungen gelten seit bald einem Jahr. Ab dem 1. April 2025 wird dieses Werk mit der Einführung einer Meldpflicht für Cyberangriffe bei kritischen Infrastrukturen ergänzt. Unter «kritischen Infrastrukturen» werden Dienstleistungs- und Versorgungssysteme verstanden, die essenziell für die Wirtschaft bzw. die Lebensgrundlagen der Bevölkerung sind.
Eine Meldepflicht wofür?
Die Meldepflicht hat zum Ziel, die Cybersicherheit in der Schweiz zu stärken:
- Sie dient dazu, dass das Bundesamt für Cybersicherheit (BACS) Angriffsmuster auf kritische Infrastrukturen frühzeitig erkennen und mögliche betroffene Betriebe und Verwaltungseinheiten warnen kann.
- Auch ermöglichen Meldungen, dass das BACS Betrieben und Verwaltungseinheiten geeignete Präventions- und Abwehrmassnahmen empfehlen kann.
Ein Teil der Leistungserbringer für Menschen mit Unterstützungsbedarf gehört zu den kritischen Infrastrukturen
Die Meldepflicht gilt für Institutionen für Menschen mit Unterstützungsbedarf, wenn sie:
- von den kantonalen Behörden auf die Liste der Krankenhäuser und anderen medizinischen Einrichtungen gesetzt wurden, da sie dann einen Teil der kritischen Infrastruktur der Schweiz darstellen
- sie gemäss kantonalem Recht als Ausführungsstellen der Behörden gelten – etwa, weil sie einen Leistungsvertrag mit den kantonalen Behörden unterzeichnet haben
Die neue Meldepflicht in Kürze
Die Eckwerte der Meldepflicht lauten wie folgt:
- Das BACS ist als zentrale Meldestelle für Cyberangriffe vorgesehen
- Die Meldung sollte innert 24 Stunden nach der Entdeckung des Cyberangriffs erfolgen
- Durch die Meldung eines Cyberangriffs haben die Betriebe Anspruch auf die Unterstützung des BACS bei der Vorfallbewältigung
- Die Meldung kann elektronisch via Webseite des BACS erfolgen
- Vorfälle sind von der Meldepflicht ausgenommen, wenn die ausgelösten Funktionsstörungen nur geringe Auswirkungen zur Folge haben
Plattform ad hoc für den sicheren Informationsaustausch
Den Institutionen, die unter die Meldepflicht fallen, wird zudem Zugang zu einer vom BACS eingerichteten elektronischen Plattform für den sicheren Informationsaustausch eingeräumt. Um Zugang zu erhalten, müssen sich die Institutionen registrieren. Das BACS empfiehlt den Institutionen, sich frühzeitig für dieses Kommunikationssystem zu registrieren. So können sie auf aktuelle Informationen zu Cyberbedrohungen zugreifen und im Falle eines Cyberangriffs schnell und effizient Meldung erstatten.
Das BACS erteilt den Betrieben auf Ersuchen Auskunft darüber, ob sie der Meldepflicht unterstellt sind. Angriffe können – wie heute schon – auf jeden Fall freiwillig gemeldet werden.
Mehr
- BACS-Informationsportal mit Meldestelle
- BACS: Informationen für Unternehmen
- BACS-Plattform für den sicheren Informationsaustausch