Am 1. April 2025 ist die Frist abgelaufen. Seit diesem Datum sind Betreiberinnen und Betreiber kritischer Infrastrukturen in der Schweiz gesetzlich verpflichtet, Cyberangriffe innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS) zu melden. Seit dem 1. Oktober 2025 drohen bei Nichtmeldung Sanktionen. Was viele KMU unterschätzen: Die Definition von «kritischer Infrastruktur» ist breiter als erwartet. Und parallel dazu verlangt das nDSG bei Verletzungen der Datensicherheit eine separate Meldung an den EDÖB. Zwei Meldepflichten, zwei Behörden, unterschiedliche Fristen.

Dieser Artikel ordnet den aktuellen Stand ein und zeigt Dir, was Dein KMU konkret tun muss.

Wer ist meldepflichtig?

Die Meldepflicht ist im revidierten Informationssicherheitsgesetz (ISG, Art. 74a ff.) verankert und betrifft Betreiberinnen kritischer Infrastrukturen. Der Bundesrat hat in der Cybersicherheitsverordnung (CSV) die betroffenen Sektoren definiert. Dazu gehören:

  • Energieversorgung (Strom, Gas, Fernwärme)
  • Trinkwasserversorgung und Abwasserentsorgung
  • Verkehr und Transport (Bahnen, Schifffahrt, Luftfahrt, Strasseninfrastruktur)
  • Gesundheitswesen (Spitäler, Labore, Apotheken ab bestimmter Grösse)
  • Banken und Versicherungen (FINMA-regulierte Institute)
  • Informations- und Kommunikationstechnologie (Telekomanbieter, Rechenzentren, DNS-Anbieter, Cloud-Provider)
  • Behörden (Bundes-, Kantons- und Gemeindeverwaltungen)
  • Hochschulen und Forschungseinrichtungen

Der entscheidende Punkt für KMU: Auch IT-Dienstleister und Softwareanbieter, die für Betreiber kritischer Infrastrukturen arbeiten, fallen unter die Meldepflicht. Wenn Dein KMU Software für ein Spital entwickelt, Managed IT Services für eine Gemeindeverwaltung erbringt oder Cloud-Dienste für eine Bank betreibt, bist Du direkt betroffen.

Die allgemeine Meldepflicht bei Cyberangriffen erklärt die breitere Meldelandschaft. Hier konzentrieren wir uns auf die konkreten Pflichten und Fristen, die seit 2025 gelten.

Was das für Dein KMU bedeutet

Prüfe, ob Dein Unternehmen direkt in einem der genannten Sektoren tätig ist oder ob Du als Zulieferer für einen Betreiber kritischer Infrastruktur arbeitest. Im Zweifelsfall: Das BACS bietet ein Self-Assessment-Tool auf seiner Website an.

Was muss gemeldet werden und in welcher Frist?

Nicht jeder IT-Vorfall löst eine Meldepflicht aus. Gemeldet werden müssen Cyberangriffe, die:

  1. Die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährden
  2. Zu einer Manipulation, einem Abfluss oder einem Verlust von Informationen geführt haben
  3. Über einen längeren Zeitraum unentdeckt geblieben sind
  4. Mit Erpressung, Drohung oder Nötigung verbunden sind

Die Meldung an das BACS muss innerhalb von 24 Stunden nach Entdeckung des Vorfalls erfolgen. Das ist eine Erstmeldung, die noch nicht vollständig sein muss. Du meldest, was Du zu diesem Zeitpunkt weisst. Innerhalb von 14 Tagen nach der Erstmeldung muss eine vollständige Meldung mit allen relevanten Details nachgereicht werden.

Parallel dazu: Die nDSG-Meldepflicht

Wenn bei einem Cyberangriff Personendaten betroffen sind (was bei Ransomware fast immer der Fall ist), greift zusätzlich Art. 24 nDSG. Diese Meldung geht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und muss «so rasch als möglich» erfolgen. Das nDSG nennt keine fixe Stundenfrist, aber die Botschaft des Bundesrates und der EDÖB selbst empfehlen eine Meldung innerhalb von 72 Stunden. Details zur nDSG-Meldepflicht findest Du in der nDSG-Checkliste für KMU.

MeldepflichtRechtsgrundlageBehördeFristGegenstand
ISG-MeldepflichtArt. 74a ff. ISGBACS24 Stunden (Erstmeldung)Cyberangriffe auf kritische Infrastrukturen
nDSG-MeldepflichtArt. 24 nDSGEDÖB«So rasch als möglich» (72h empfohlen)Verletzungen der Datensicherheit
FINMA-MeldepflichtFINMA-RS 2023/1FINMA24 StundenCyber-Vorfälle bei Finanzinstituten

Was passiert, wenn Du nicht meldest?

Seit dem 1. Oktober 2025 drohen bei Verstössen gegen die ISG-Meldepflicht Sanktionen. Das BACS kann bei wiederholter Nichtmeldung Verwaltungsmassnahmen ergreifen und die betroffene Organisation namentlich auffordern, ihrer Pflicht nachzukommen. Bei fortgesetzter Missachtung sind Bussen vorgesehen.

Beim nDSG ist die Lage schärfer: Art. 60 nDSG sieht Bussen bis CHF 250’000 vor. Diese richten sich nicht gegen das Unternehmen, sondern gegen die verantwortliche natürliche Person. Das bist Du als Geschäftsführer, Inhaberin oder VR-Mitglied. Mehr zu den Sanktionsrisiken im Artikel zu nDSG-Bussgeldern und Strafen.

Der Reputationsschaden wiegt oft schwerer als die Busse selbst. Wenn öffentlich wird, dass Dein KMU einen Cybervorfall verschwiegen hat, ist das Vertrauen von Kunden und Geschäftspartnern beschädigt.

Was das für Dein KMU bedeutet

Die Meldepflicht ist kein bürokratischer Formalismus. Sie ist eine rechtliche Pflicht mit persönlichen Konsequenzen. Die Vorbereitung darauf kostet Stunden. Die Nicht-Vorbereitung kann Dich Hunderttausende kosten.

FAQ: Meldepflicht für KMU

Ich bin ein kleines KMU mit 15 Mitarbeitenden. Bin ich von der ISG-Meldepflicht betroffen? Nicht automatisch. Die ISG-Meldepflicht richtet sich an Betreiber kritischer Infrastrukturen und deren Zulieferer. Wenn Du aber IT-Dienstleistungen für ein Spital, eine Gemeinde oder einen Energieversorger erbringst, kann die Meldepflicht auch für Dich gelten. Die nDSG-Meldepflicht gilt unabhängig davon für alle Unternehmen, die Personendaten bearbeiten.

Wie melde ich einen Vorfall beim BACS? Das BACS hat ein Online-Meldeformular unter report.ncsc.admin.ch. Die Erstmeldung erfordert eine Beschreibung des Vorfalls, den Zeitpunkt der Entdeckung, betroffene Systeme und erste Einschätzung der Auswirkungen. Die vollständige Meldung innerhalb von 14 Tagen ergänzt Details zu Ursache, Ausmass und ergriffenen Massnahmen.

Muss ich den Vorfall auch bei der Polizei melden? Die ISG-Meldepflicht und die nDSG-Meldepflicht ersetzen keine Strafanzeige. Bei Cyberangriffen (Ransomware, Datendiebstahl, Erpressung) empfiehlt das BACS zusätzlich eine Strafanzeige bei der zuständigen Kantonspolizei. Die Strafanzeige ist keine gesetzliche Pflicht (ausser bei bestimmten Delikten), wird aber für Versicherungsansprüche und Dokumentation dringend empfohlen.

Was mache ich, wenn ich nicht sicher bin, ob ein Vorfall meldepflichtig ist? Im Zweifel melden. Das BACS hat ausdrücklich kommuniziert, dass eine Meldung, die sich im Nachhinein als nicht meldepflichtig herausstellt, keine negativen Folgen hat. Nicht zu melden, obwohl eine Pflicht bestand, hat hingegen Konsequenzen.

Können wir die Meldefähigkeit testen, bevor ein echter Vorfall eintritt? Ja, und das solltest Du auch tun. Ein Incident-Response-Plan definiert vorab, wer bei einem Vorfall was tut, welche Informationen gesammelt werden und wer die Meldungen an BACS und EDÖB absetzt. Ein Red Team Assessment kann einen realistischen Angriff simulieren, bei dem auch die Meldeprozesse geübt werden.

Handlungsempfehlung

Die Meldepflicht verlangt Vorbereitung, nicht Improvisation. Wer erst im Ernstfall herausfindet, dass er meldepflichtig ist, verliert wertvolle Stunden mit Abklärungen statt mit Schadensbegrenzung.

Schritt 1: Betroffenheit klären. Prüfe, ob Dein KMU direkt oder als Zulieferer unter die ISG-Meldepflicht fällt. Dokumentiere das Ergebnis.

Schritt 2: Meldeprozess definieren. Lege fest, wer im Unternehmen die Meldung an das BACS und den EDÖB absetzt. Hinterlege die Zugangsdaten für das Meldeportal. Bestimme eine Stellvertretung.

Schritt 3: Incident-Response-Plan erstellen oder aktualisieren. Integriere die Meldepflichten in Deinen Notfallplan. Definiere, welche Informationen in den ersten 24 Stunden gesammelt werden müssen.

Schritt 4: Erkennung sicherstellen. Du kannst nur melden, was Du erkennst. Stelle sicher, dass Dein KMU Cyberangriffe überhaupt bemerkt. Endpoint Detection and Response (EDR) und Logging sind die technische Grundlage dafür.

Schritt 5: Testen. Simuliere einen Vorfall und übe den Ablauf. Ein Red Team Assessment testet nicht nur, ob Angreifer eindringen können, sondern auch, ob Dein Team den Angriff erkennt, richtig reagiert und die Meldepflichten einhält. RedTeam Partners bietet diesen Service für Schweizer KMU ab CHF 11’900.

Jetzt Red Teaming anfragen: Meldeprozesse unter realistischen Bedingungen testen

Weiterführende Ressourcen

Quellen

  1. Informationssicherheitsgesetz ISG, Art. 74a ff. (admin.ch)
  2. Cybersicherheitsverordnung CSV des Bundesrates (admin.ch)
  3. nDSG, Art. 24 und Art. 60 (fedlex.admin.ch)
  4. BACS: Meldepflicht für Cyberangriffe auf kritische Infrastrukturen (ncsc.admin.ch)