Mit dem revidierten Informationssicherheitsgesetz (ISG) ist die Meldepflicht für Cyberangriffe in der Schweiz am 1. April 2025 in Kraft getreten. Betreiber kritischer Infrastrukturen müssen erhebliche Vorfälle innert 24 Stunden ans Nationale Zentrum für Cybersicherheit (NCSC) melden.
Betroffen sind primär Energieversorger, Banken, Spitäler, Behörden und Telekomanbieter. Für klassische KMU besteht keine Meldepflicht – allerdings gilt: wer für eine kritische Infrastruktur als Lieferant arbeitet (zum Beispiel als IT-Dienstleister für ein Spital), wird über vertragliche Klauseln häufig miteinbezogen.
Wann ist eine Meldung erforderlich:
Erfolgreicher Angriff mit Datenabfluss oder Verschlüsselung.
Kompromittierung von Authentifizierungsdaten.
Nicht abgewehrte DDoS-Attacke mit Service-Ausfall.
Missbrauch der eigenen Infrastruktur für Angriffe Dritter.
Der Meldeprozess läuft über das NCSC-Portal (ncsc.admin.ch). Erstmeldung in 24 Stunden, Ergänzung innert 14 Tagen.
Unabhängig von der gesetzlichen Pflicht empfehlen wir KMU dringend eine schriftliche Incident-Response-Anleitung. Wer nach einem Vorfall erst nach Telefonnummern sucht, verliert die ersten Stunden – die für Schadensbegrenzung kritisch sind. Unser Support unterstützt bei der Erstellung eines KMU-tauglichen IR-Plans.