Cyber Security Schweiz 2025

Cyber Security Schweiz 2025

17.06.2025 #Cybersecurity

Meldepflicht für Cyberangriffe – Was auf kritische Infrastrukturen ab April 2025 zukommt

Die Schweiz macht Ernst: Ab dem 1. April 2025 gilt für Betreiber kritischer Infrastrukturen eine gesetzlich verankerte Meldepflicht bei Cyberangriffen. Doch wen betrifft das genau – und was ist zu tun? Die HEAD IT Solutions liefert den Überblick.

Warum wird die Meldepflicht
eingeführt?

In einer zunehmend digitalisierten Welt sind zuverlässige Informationen über Cyberbedrohungen essenziell. Die neue Meldepflicht verfolgt drei Hauptziele:

 

  • Frühwarnsystem & Bedrohungsanalyse: Cyberangriffe sollen zentral erfasst werden, um andere Organisationen rechtzeitig zu warnen und ein besseres Lagebild zu schaffen.

 

  • Gleichheit & Rechtssicherheit: Bisher war der Informationsaustausch freiwillig – das führte zu Ungleichbehandlung. Nun gilt: Wer profitiert, muss auch beitragen.

 

  • Internationale Harmonisierung: Die Schweiz schliesst mit der neuen Regelung zur EU auf, wo eine vergleichbare Pflicht bereits seit 2018 besteht.

Wer ist
meldepflichtig?

Betroffen sind Organisationen, die eine kritische Infrastruktur betreiben – also Systeme und Dienste, deren Ausfall erhebliche Auswirkungen auf Gesellschaft, Wirtschaft oder Sicherheit hätte. Dazu zählen:

 

  • Behörden & öffentliche Einrichtungen (z. B. Hochschulen, Gemeinden, Rettungsdienste)

  • Energieversorger, Verkehrsbetriebe, Telekommunikation

  • Gesundheitswesen & Pharma

  • Finanzinstitute & Sozialversicherungen

  • IT- & Cloudanbieter, digitale Vertrauensdienste

Ausnahmen gibt es nur unter bestimmten Bedingungen, etwa für kleine Organisationen mit weniger als 50 Mitarbeitenden und unter 10 Mio. CHF Jahresumsatz.

Was muss gemeldet
werden?

Ein Vorfall ist meldepflichtig, wenn einer der folgenden Punkte zutrifft:

 

  • Die Funktionsfähigkeit der Infrastruktur ist gefährdet.

  • Es kommt zu einem Abfluss oder zur Manipulation von Daten.

  • Der Angriff bleibt über 90 Tage unentdeckt.

  • Es besteht ein Zusammenhang mit Erpressung oder Nötigung.

Wie läuft die Meldung
ab?

Gemäss Art. 74e ISG müssen Organisationen:

 

  • Innerhalb von 24 Stunden nach Entdeckung des Vorfalls eine Erstmeldung abgeben.

  • Innerhalb von 14 Tagen eine vollständige Meldung nachreichen (sofern nötig).

  • Die Meldung erfolgt über ein Meldeformular auf dem Cyber Security Hub des BACS. Auch alternative Meldekanäle sind möglich.

Was passiert bei
Nichteinhaltung?

Ab dem 1. Oktober 2025 treten Sanktionsmechanismen in Kraft:

 

  1. Das BACS informiert bei Unterlassung.

  2. Wird nicht reagiert, folgt eine Verfügung.

  3. Bei weiterer Missachtung droht eine Strafanzeige und eine Busse von bis zu CHF 100’000.

Keep IT simple.

Unser Versprechen an Dich.

Vision & Werte

Das
Fazit

Die Meldepflicht ist ein Meilenstein für die Schweizer Cybersicherheit. Sie schafft Klarheit, verbessert die Reaktionsfähigkeit und bringt die Schweiz auf Augenhöhe mit internationalen Standards. Für alle Betreiber kritischer Infrastrukturen gilt jetzt: Vorbereiten, Prozesse anpassen – und im Ernstfall professionell reagieren.

Bereit für die
Meldepflicht?

Bei einem Hackerangriff sofort die HEAD IT Solutions kontaktieren – wir prüfen mit Dir, ob eine Meldepflicht besteht und unterstützen Dich bei der Umsetzung.

Jetzt Kontakt aufnehmen