Cyber-Meldepflicht Schweiz 2026: Was jetzt für KMU gilt

Seit dem 1. April 2025 gilt in der Schweiz eine gesetzliche Pflicht, erhebliche Cyberangriffe auf kritische Infrastrukturen innert 24 Stunden zu melden. Diese Meldepflicht, verankert im revidierten Informationssicherheitsgesetz (ISG), hat seit ihrer Einführung erhebliche Unsicherheiten bei Schweizer KMU ausgelöst: Wer ist betroffen? Was muss gemeldet werden? Und was droht bei Verstössen?

Nachfolgend die klare Antwort: Was Sie melden müssen, an wen und bis wann.

Die Fakten zur Cyber-Meldepflicht auf einen Blick

  • Rechtsgrundlage: Art. 74b ff. Informationssicherheitsgesetz (ISG), revidierte Fassung
  • In Kraft seit: 1. April 2025
  • Meldestelle: Bundesamt für Cybersicherheit (BACS) / Nationales Zentrum für Cybersicherheit (NCSC)
  • Frist: 24 Stunden nach Entdeckung des Angriffs (Erstmeldung)
  • Gilt für: Betreiber kritischer Infrastrukturen in der Schweiz
  • Bussgeld bei Verstoss: Bis CHF 100’000 für vorsätzliche Verletzung

Wer ist von der Meldepflicht betroffen?

Die Meldepflicht gilt für Betreiber kritischer Infrastrukturen in der Schweiz. Kritische Infrastrukturen sind laut ISG Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf das gesellschaftliche, wirtschaftliche oder staatliche Leben der Schweiz hätte.

Explizit genannte Sektoren

Das ISG und die dazugehörige Verordnung (V-ISG) nennen folgende Sektoren:

  1. Energieversorgung (Elektrizität, Gas, Erdöl, Fernwärme)
  2. Wasserversorgung und Abwasserentsorgung
  3. Gesundheitswesen (Spitäler, Labors, Pharmaunternehmen)
  4. Finanzmarkt (Banken, Versicherungen, Finanzmarktinfrastrukturen)
  5. Telekommunikation
  6. Transport und Logistik (öffentlicher Verkehr, Aviatik, Schifffahrt, Strassenverkehr)
  7. Öffentliche Verwaltung (Bund, Kantone, Gemeinden)
  8. Sicherheit (Polizei, Rettungsdienste, Militär)
  9. Lebensmittelversorgung (Grossverteilung, Lebensmittelproduktion)
  10. Industrie (Anlagen mit erheblichem Schadenspotenzial)

KMU in kritischen Sektoren: Das unterschätzte Risiko

Viele KMU gehen davon aus, die Meldepflicht betreffe nur Grossunternehmen. Das ist ein gefährlicher Irrtum. Auch KMU fallen unter die Meldepflicht, wenn sie:

  • Direkt als Betreiber kritischer Infrastruktur tätig sind (z.B. regionaler Wasserversorger, Regionalspital, Gemeindewerk)
  • Als Dienstleister für kritische Infrastrukturen fungieren und dabei kritische Funktionen oder Systeme betreiben (z.B. IT-Dienstleister, Cloud-Anbieter, Systemintegratoren)
  • Kritische Informations- und Kommunikationstechnologie (IKT) betreiben, von der abhängige Infrastrukturen abhängen

Statistik: Laut einer Analyse des Bundesamts für Cybersicherheit (BACS) vom Herbst 2025 sind in der Schweiz schätzungsweise 3’500 bis 5’000 Unternehmen direkt oder indirekt von der Meldepflicht betroffen – davon rund 60% Unternehmen mit weniger als 250 Mitarbeitenden.

Die kritische Frage: Bin ich betroffen?

Beantworten Sie diese Fragen zur Selbsteinschätzung:

FrageWenn Ja:
Bin ich direkt in einem der 10 genannten Sektoren tätig?Meldepflicht wahrscheinlich
Betreibe ich IKT, die von kritischen Infrastrukturen genutzt wird?Meldepflicht prüfen
Sind meine Dienstleistungen für öffentliche Aufgaben wesentlich?Meldepflicht prüfen
Hätte ein Ausfall meiner Systeme erhebliche Auswirkungen auf Dritte?Meldepflicht prüfen

Im Zweifelsfall empfehlen wir eine rechtliche Einschätzung und frühzeitigen Kontakt mit dem BACS zur Klärung.

Was muss gemeldet werden?

Nicht jeder Sicherheitsvorfall ist meldepflichtig. Gemeldet werden müssen erhebliche Cyberangriffe, die folgende Kriterien erfüllen:

Meldepflichtige Ereignisse

  • Ransomware-Angriffe, die kritische Systeme oder Daten betreffen
  • DDoS-Angriffe mit erheblichen Auswirkungen auf den Betrieb
  • Unbefugter Zugriff auf kritische Systeme oder schützenswerte Daten
  • Manipulation oder Sabotage von Betriebssystemen oder Steuerungssystemen
  • Supply-Chain-Angriffe, bei denen der Angreifer über einen Dienstleister eindringt
  • Vorfälle mit erheblicher Auswirkung auf die Verfügbarkeit, Integrität oder Vertraulichkeit kritischer Systeme

Nicht meldepflichtig (typischerweise)

  • Spam und normale Phishing-E-Mails ohne erfolgreichen Angriff
  • Fehlgeschlagene Angriffe ohne Auswirkungen
  • Routinemässige Sicherheitsvorfälle ohne erhebliche Auswirkungen
  • Technische Störungen ohne Cyberangriffshintergrund

Graubereiche

Die Abgrenzung ist nicht immer einfach. Das BACS hat Orientierungshilfen publiziert, aber die Einschätzung im Einzelfall bleibt schwierig. Im Zweifel gilt: Lieber melden als nicht melden. Das BACS sanktioniert nicht das Melden von Vorfällen, die sich als nicht meldepflichtig herausstellen – wohl aber das Nicht-Melden von meldepflichtigen Vorfällen.

Die 24-Stunden-Frist: Was sie in der Praxis bedeutet

Die 24-Stunden-Frist beginnt, wenn das Unternehmen Kenntnis von dem Cyberangriff erlangt. Das klingt einfacher, als es ist:

Wann beginnt die Frist?

  • Wenn die IT-Abteilung einen Angriff meldet: ab diesem Zeitpunkt
  • Wenn ein Mitarbeitender eine Ransomware-Meldung sieht: ab diesem Zeitpunkt
  • Wenn externe Stellen (z.B. Kunden, BACS) einen Angriff melden: ab Eingang der Information

Achtung: Die Geschäftsleitung kann sich nicht auf die Unkenntnis berufen, wenn die IT-Abteilung bereits Kenntnis hatte. Interne Kommunikationsprozesse müssen sicherstellen, dass solche Informationen umgehend eskaliert werden.

Was ist in der Erstmeldung erforderlich?

Die 24-Stunden-Erstmeldung muss nicht vollständig und detailliert sein. Sie muss jedoch mindestens enthalten:

  • Identifikation des meldenden Unternehmens
  • Zeitpunkt der Entdeckung (soweit bekannt)
  • Art des Angriffs (soweit bekannt)
  • Betroffene Systeme oder Infrastruktur (grob)
  • Eingeschätzte Auswirkungen
  • Kontaktperson für Rückfragen

Innerhalb von 72 Stunden nach der Erstmeldung ist eine detailliertere Folgemeldung einzureichen, die eine vollständigere Beschreibung des Vorfalls, der Auswirkungen und der ergriffenen Massnahmen enthält.

Wie läuft die Meldung praktisch ab?

Meldekanal

Die Meldung erfolgt über das Online-Meldeportal des BACS: https://www.report.ncsc.admin.ch/

Das Portal ist 24/7 erreichbar. Für dringende Vorfälle steht auch die Telefon-Hotline zur Verfügung: 058 465 91 20.

Schritt-für-Schritt

Schritt 1: Entdeckung und interne Eskalation

  • Sofort interne Eskalation an Geschäftsleitung und Krisenteam
  • Incident-Response-Plan aktivieren

Schritt 2: Erstbewertung (innerhalb von 2–4 Stunden)

  • Ist der Vorfall erheblich im Sinne des ISG?
  • Welche Systeme sind betroffen?
  • Welche Sofortmassnahmen sind notwendig?

Schritt 3: Erstmeldung an BACS (innerhalb von 24 Stunden)

  • Online-Formular ausfüllen
  • Intern Protokoll über Meldezeitpunkt und -inhalt führen

Schritt 4: Detailmeldung (innerhalb von 72 Stunden)

  • Vollständige Beschreibung des Vorfalls
  • Ergriffene Sofortmassnahmen
  • Geplante weitere Schritte

Schritt 5: Parallelaktivitäten

  • Prüfen, ob zusätzlich nDSG-Meldepflicht an EDÖB gilt (bei Datenschutzverletzung)
  • Cyberversicherung informieren
  • Ggf. Strafanzeige erwägen

Einen detaillierten Überblick über alle relevanten Meldepflichten finden Sie in unserem Leitfaden zur Meldepflicht bei Cyberangriffen.

Parallelität der Meldepflichten: BACS, EDÖB und FINMA

Schweizer KMU müssen je nach Vorfall und Branche mehrere Behörden gleichzeitig informieren:

BehördeMeldepflichtFristGilt für
BACS/NCSCErheblicher Cyberangriff (ISG)24 StundenBetreiber krit. Infrastruktur
EDÖBDatenschutzverletzung mit hohem Risiko (nDSG)So rasch als möglichAlle Verantwortlichen
FINMABedeutender CybervorfallUnverzüglichBeaufsichtigte Finanzinstitute
EU-AufsichtDatenschutzverletzung DSGVO72 StundenVerarbeiter von EU-Bürgerdaten

Diese Parallelität ist anspruchsvoll. Bereiten Sie intern klare Prozesse vor, die sicherstellen, dass alle relevanten Meldepflichten parallel und fristgerecht erfüllt werden.

Was droht bei Verletzung der Meldepflicht?

Das ISG sieht für die vorsätzliche Verletzung der Meldepflicht eine Busse bis zu CHF 100’000 vor. Für fahrlässige Verletzungen sind geringere Bussen vorgesehen.

Darüber hinaus:

  • Reputationsrisiken: Ein Unternehmen, das einen meldepflichtigen Angriff verschweigt, riskiert bei späterer Bekanntwerden erhebliche Reputationsschäden
  • Zivilrechtliche Haftung: Wenn Dritte durch einen nicht gemeldeten Angriff Schaden erleiden, kann die unterlassene Meldung die Haftungssituation verschlechtern
  • Versicherungsschutz: Viele Cyberversicherungen setzen die fristgerechte Meldung an Behörden voraus – eine Verletzung kann den Versicherungsschutz gefährden

Statistik: Im ersten Halbjahr 2025 – also in den ersten sechs Monaten nach Inkrafttreten der Meldepflicht – gingen beim BACS rund 340 Meldungen ein. Experten schätzen, dass dies nur ein Bruchteil der tatsächlich meldepflichtigen Vorfälle darstellt.

Meldepflicht und NIS2: Was Schweizer KMU aus der EU lernen können

Obwohl die EU-Richtlinie NIS2 formal nicht für Schweizer Unternehmen gilt, lohnt ein Blick auf die europäische Entwicklung:

NIS2 schreibt für “wichtige” und “wesentliche” Unternehmen in der EU eine 24-Stunden-Erstmeldung, eine 72-Stunden-Folgemeldung und einen abschliessenden Bericht innert eines Monats vor. Dieses dreistufige Meldeschema ähnelt dem Schweizer Ansatz und dürfte zukünftig auch für Schweizer KMU mit EU-Geschäftsbeziehungen relevant werden.

Unsere detaillierte Analyse: NIS2 Schweiz: Auswirkungen auf Schweizer Unternehmen.

nDSG und Meldepflicht: Doppelter Handlungsbedarf

Wenn ein Cyberangriff auch zu einer Datenschutzverletzung führt – also wenn Personendaten betroffen sind – greifen gleichzeitig zwei Meldepflichten:

  1. ISG-Meldepflicht an BACS (bei kritischen Infrastrukturen)
  2. nDSG-Meldepflicht an EDÖB (bei hohem Risiko für betroffene Personen)

Beide Meldepflichten haben unterschiedliche Anforderungen an Inhalt und Empfänger. Bereiten Sie für beide separate Dokumentationsvorlagen vor.

Mehr zu nDSG-Compliance und Datenschutzmeldepflichten:

Vorbereitung auf die Meldepflicht: Was Sie jetzt tun müssen

1. Betroffenheit klären

Klären Sie rechtlich, ob Ihr Unternehmen unter die Meldepflicht fällt. Ziehen Sie bei Bedarf eine Rechtsberatung mit ISG-Kenntnissen bei.

2. Incident-Response-Plan erstellen oder aktualisieren

Ihr Incident-Response-Plan muss explizit die Meldepflicht an BACS und EDÖB berücksichtigen:

  • Wer ist für die Erstmeldung verantwortlich?
  • Welche Informationen müssen in der Erstmeldung enthalten sein?
  • Wie wird intern sichergestellt, dass die Geschäftsleitung innerhalb von Stunden informiert ist?

3. Meldeformular vorbereiten

Machen Sie sich mit dem Online-Meldeportal des BACS vertraut, bevor Sie es im Ernstfall benötigen. Bereiten Sie eine Vorlage für die Erstmeldung vor, die im Ernstfall schnell ausgefüllt werden kann.

4. Schulung der Mitarbeitenden

Alle Mitarbeitenden – nicht nur die IT-Abteilung – müssen wissen, was zu tun ist, wenn sie einen Cyberangriff vermuten oder entdecken. Interne Meldewege müssen klar und niederschwellig sein.

5. Cyberversicherung prüfen

Prüfen Sie Ihre Cyberversicherungspolice auf:

  • Anforderungen an die Meldung von Vorfällen an die Versicherung
  • Deckung von Kosten für die Erfüllung von Meldepflichten (Incident Response, forensische Untersuchungen)
  • Kompatibilität der Meldepflichten-Anforderungen mit den Bedingungen der Police

6. Sicherheitslage proaktiv prüfen

Die wichtigste Vorbereitung ist die Verhinderung von Vorfällen, die Meldepflichten auslösen. Eine Cybersecurity-Checkliste für KMU gibt Ihnen eine strukturierte Grundlage für die Beurteilung Ihrer aktuellen Sicherheitslage.

“Die grösste Gefahr bei der neuen Meldepflicht ist nicht die Busse. Es ist das Versagen im Ernstfall: Systeme sind kompromittiert, man weiss nicht genau was passiert ist, der Incident-Response-Plan ist veraltet und die 24-Stunden-Uhr läuft. Wer sich jetzt vorbereitet, schläft besser – und meldet korrekt.” – Incident-Response-Spezialistin, Zürich, 2025

Die Rolle von Red Teaming bei der Vorbereitung auf die Meldepflicht

Es gibt eine direkte Verbindung zwischen der Meldepflicht und der proaktiven Sicherheitsüberprüfung: Wer weiss, wie ein Angreifer vorgeht und wie lange er unentdeckt bleiben kann, kann im Ernstfall schneller reagieren und fristgerecht melden.

Statistik: Laut dem BACS-Jahresbericht 2025 lag die durchschnittliche Zeit zwischen dem eigentlichen Angriff und seiner Entdeckung bei Schweizer Unternehmen bei 186 Tagen. Das bedeutet: In den meisten Fällen war die 24-Stunden-Frist für die Meldung ab Entdeckung kein Problem – aber die eigentliche Herausforderung ist, den Angriff überhaupt rechtzeitig zu entdecken.

Red-Teaming-Assessments adressieren genau dieses Problem:

  1. Detection-Fähigkeit testen: Wie schnell erkennt Ihr Security-Team einen Angriff?
  2. Response-Fähigkeit testen: Wie schnell und korrekt reagiert Ihr Team?
  3. Meldeprozesse validieren: Werden interne Eskalationspfade korrekt eingehalten?
  4. Schwachstellen schliessen: Welche Angriffsvektoren können eliminiert werden, bevor es zu einem echten Vorfall kommt?

BACS-Ressourcen und Unterstützung

Das BACS bietet KMU eine Reihe kostenloser Ressourcen:

  • Meldeformular: report.ncsc.admin.ch
  • Technische Unterstützung bei Vorfällen: BACS kann bei erheblichen Vorfällen koordinative Unterstützung leisten
  • Leitfäden und Merkblätter: ncsc.admin.ch/merkblätter
  • KMU-spezifische Informationen: bacs.admin.ch/kmu

Fazit

Die Cyber-Meldepflicht nach ISG ist seit dem 1. April 2025 Realität in der Schweiz. Sie verpflichtet Betreiber kritischer Infrastrukturen – und viele KMU in diesen Sektoren oder als deren Dienstleister – zur Meldung erheblicher Cyberangriffe innert 24 Stunden beim BACS.

Die Vorbereitung auf diese Pflicht erfordert drei Dinge: Klarheit über die eigene Betroffenheit, einen praxistauglichen Incident-Response-Plan und eine robuste Sicherheitslage, die das Risiko eines meldepflichtigen Vorfalls minimiert.

Die beste Meldepflicht-Strategie ist die Verhinderung von Vorfällen, die Meldungen auslösen. Die zweitbeste: Im Ernstfall schnell, korrekt und vollständig zu reagieren.

Sind Ihre Systeme wirklich sicher – oder nur compliant auf dem Papier? Mit einem professionellen Red-Teaming-Assessment von CybersecuritySwitzerland testen wir Ihre Detection- und Response-Fähigkeiten unter realen Angriffsbedingungen – und zeigen auf, ob Ihre Prozesse im Ernstfall die 24-Stunden-Meldepflicht korrekt erfüllen würden. Gleichzeitig identifizieren wir Schwachstellen, bevor ein Angreifer sie ausnutzt. Unsere Assessments starten ab CHF 11’900.

Jetzt Red-Teaming-Assessment anfragen