Ab dem 1. April 2025 tritt in der Schweiz die neue Meldepflicht für Cybervorfälle in Kraft. Die Regelung betrifft insbesondere Unternehmen, die als kritische Infrastrukturen (KRITIS) eingestuft werden – etwa in den Bereichen Energie, Gesundheit, Finanzen, Telekommunikation, Transport und Wasserversorgung. Ziel ist es, die Cybersicherheit auf nationaler Ebene zu stärken, Vorfälle frühzeitig zu erkennen und besser zu koordinieren.
Betreiber kritischer Infrastrukturen, also Organisationen und Unternehmen, deren Ausfall schwerwiegende Auswirkungen auf die Gesellschaft, Wirtschaft oder öffentliche Sicherheit hätte. Dazu zählen unter anderem:
Meldepflichtig sind Cybervorfälle, die eine erhebliche Beeinträchtigung der Verfügbarkeit, Vertraulichkeit oder Integrität von IT-Systemen zur Folge haben und dadurch den Betrieb der kritischen Infrastruktur gefährden könnten. Dazu zählen u. a.:
Die Meldung erfolgt an das Nationale Zentrum für Cybersicherheit (NCSC), das zentral für die Koordination und Analyse von Vorfällen zuständig ist. Unternehmen und Organisationen müssen relevante Vorfälle unverzüglich melden, beziehungsweise innerhalb von max. 24 Stunden, sobald ein Vorfall erkannt wurde.
Die neue Meldepflicht erfordert von betroffenen Unternehmen klare internen Prozesse:
Zudem sollten Unternehmen überprüfen, ob sie formal unter die KRITIS-Definition fallen – bei Unklarheit empfiehlt sich eine frühzeitige Klärung mit dem NCSC oder dem zuständigen Branchenverband.
Die Einführung der Meldepflicht ist ein wichtiger Schritt für die Cyberresilienz der Schweiz. Betreiber kritischer Infrastrukturen sind gefordert, ihre Sicherheitsprozesse anzupassen und auf potenzielle Vorfälle vorbereitet zu sein. Wer jetzt handelt, kann nicht nur gesetzlichen Anforderungen gerecht werden, sondern auch die eigene Cyberabwehr nachhaltig stärken.
Weitere Informationen: https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus/2025/meldepflicht-2025.html
Das sind weitere Beiträge, die Sie interessieren könnten.
Zur Blogübersicht