Ab dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe dem Bundesamt für Cybersicherheit (BACS) melden. Versäumnisse werden in Zukunft gar mit einer Busse belegt. Der Meldepflicht gilt auch für bestimmte IT-Dienstleister.
Aufgrund der zunehmenden Bedrohung durch Cybervorfälle führt der Bundesrat eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen ein. Die entsprechende Änderung des Informationssicherheitsgesetz (ISG) tritt per 1. April 2025 in Kraft. Betroffene werden dadurch verpflichtet, dem BACS einen Cyberangriff innerhalb von 24 Stunden zu melden, heisst es in einer Medienmitteilung des Bundesamtes.
Wird der Meldepflicht nicht Folge geleistet, sieht das Gesetz ab dem 1. Oktober 2025 zusätzlich auch Bussen vor. Können bei der Erstmeldung innerhalb von 24 Stunden noch nicht alle Angaben gemacht werden, besteht eine Frist von 14 Tagen, um die Meldung zu vervollständigen.
Auch IT-Dienstleister müssen Cyberanfälle melden
Meldepflichtig sind zunächst Behörden und Organisationen, die öffentlich-rechtliche Aufgaben im Bereich von Sicherheit, Rettung oder Versorgung wahrnehmen. Daneben gilt die Meldepflicht auch für private Unternehmen, wie unter anderem Finanzdienstleister und Kommunikationsbetriebe. Auch IT-Dienstleister, wie Cloudcomputing- oder Suchmaschinen-Anbieter, sowie bestimmte Hersteller von Hard- oder Software, die von kritischen Infrastrukturen genutzt wird, können unter die Meldepflicht fallen. Zudem können letztere neu verpflichtet werden, Schwachstellen zu beheben. Identifiziert nämlich das BACS basierend auf der Meldung eines Cybervorfalls eine solche Schwachstelle einer Soft- oder Hardware, legt es eine Frist zur Behebung fest.
IT-Dienstleister müssen zudem beachten, dass sich die neue Meldepflicht von den bereits bestehenden Meldepflichten für Datenschutz- und Datensicherheitsverletzungen gemäss Datenschutzgesetz (DSG) unterscheidet. Die neue Meldepflicht nach ISG zielt laut Experten nämlich darauf ab, Angriffsmuster auf kritische Infrastrukturen frühzeitig zu erkennen und dadurch geeignete Präventions- und Abwehrmassnahmen einzuleiten. Die bestehende Meldepflicht an den Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) nach DSG bezweckt dagegen vor allem den Schutz Betroffener im konkreten Einzelfall.
End-to-End-Security macht Meldungen überflüssig
Wie die neue Meldepflicht zeigt, hat inzwischen auch der Bundesrat erkannt, dass mit Cyberangriffen nicht zu spassen ist. Effizienter, als im Nachhinein Meldung zu erstatten, ist allerdings eine wirksame Prävention-Strategie. Nebst Awareness-Trainings für die Belegschaft umfasst dies auch den Einsatz zuverlässiger End-to-End-Security-Lösungen, wie Bitdefender. Diese Investition lohnt sich, denn derartige Software macht Angriffe unschädlich, bevor es zu Schäden kommt, deren Behebung für die betroffenen Betriebe mit viel Aufwand verbunden ist.