Meldepflicht Cyberangriff Schweiz: Wann und wie melden?

Q: Cyberangriff passiert – was jetzt? Die Meldepflicht in der Schweiz verständlich erklärt

See section: Cyberangriff passiert – was jetzt? Die Meldepflicht in der Schweiz verständlich erklärt

Q: Welche KMU sind betroffen?

See section: Welche KMU sind betroffen?

Q: Schritt-für-Schritt: Wie läuft die Meldung ab?

See section: Schritt-für-Schritt: Wie läuft die Meldung ab?

Q: Was passiert, wenn Sie nicht oder zu spät melden?

See section: Was passiert, wenn Sie nicht oder zu spät melden?

Q: Meldepflicht nach NIS2: Was kommt auf Schweizer KMU zu?

See section: Meldepflicht nach NIS2: Was kommt auf Schweizer KMU zu?

Cyberangriff passiert – was jetzt? Die Meldepflicht in der Schweiz verständlich erklärt

Ein Cyberangriff ist kein theoretisches Risiko: In der Schweiz werden täglich Unternehmen Opfer von Ransomware, Phishing, Datenpannen oder gezielten Angriffen. Was viele KMU nicht wissen: Nach einem Angriff greifen in der Schweiz mehrere parallele Meldepflichten, die unterschiedliche Fristen und Anforderungen haben. Wer zu spät meldet oder die falsche Behörde kontaktiert, riskiert zusätzliche rechtliche Konsequenzen.

Nachfolgend die Übersicht: Welche Meldepflichten gelten, wer melden muss, welche Fristen laufen und wie Sie die Meldung korrekt durchführen.

Die drei Meldepflichten, die Schweizer KMU kennen müssen

In der Schweiz existieren aktuell mehrere parallele Meldepflichten, die je nach Unternehmenstyp und Vorfallsart greifen:

1. Meldepflicht nach nDSG (Datenschutzverletzungen)

Seit dem 1. September 2023 verpflichtet das neue Datenschutzgesetz (nDSG) alle in der Schweiz tätigen Verantwortlichen, Datenschutzverletzungen unter bestimmten Bedingungen zu melden.

Was muss gemeldet werden? Jede Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt (Art. 24 nDSG).

An wen? An den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), www.edoeb.admin.ch.

Frist: So rasch als möglich – das nDSG enthält keine explizite 72-Stunden-Frist wie die DSGVO, aber die Praxis des EDÖB orientiert sich an dieser Zeitspanne.

Gilt für: Alle in der Schweiz domizilierten oder tätig werden Verantwortlichen, die Personendaten bearbeiten.

2. Meldepflicht nach Informationssicherheitsgesetz (ISG) / Cyber-Meldepflicht

Mit dem revidierten Informationssicherheitsgesetz (ISG) wurde ab dem 1. April 2025 eine obligatorische Meldepflicht für Cyberangriffe auf kritische Infrastrukturen eingeführt. Betreiber kritischer Infrastrukturen müssen erhebliche Cyberangriffe innert 24 Stunden melden.

An wen? An das Nationale Zentrum für Cybersicherheit (NCSC), www.ncsc.admin.ch.

Frist: 24 Stunden nach Entdeckung des Angriffs.

Gilt für: Betreiber kritischer Infrastrukturen (Energie, Wasser, Gesundheit, Finanzmarkt, Telekommunikation, Transport, Verwaltung).

3. Branchenspezifische Meldepflichten (FINMA, BAKOM)

Je nach Branche kommen zusätzliche Meldepflichten hinzu:

Finanzbranche (FINMA): Banken, Versicherungen und andere beaufsichtigte Institute müssen bedeutende Cybervorfälle unverzüglich an die FINMA melden (gemäss FINMA-Rundschreiben 2023/1).
Telekommunikation (BAKOM): Telekommunikationsanbieter unterliegen spezifischen Meldepflichten gemäss FMG.

Für Finanzinstitute empfehlen wir unsere detaillierte Analyse der FINMA-Cybersecurity-Anforderungen.

Welche KMU sind betroffen?

Datenschutzverletzungen (nDSG): Praktisch alle KMU – denn fast jedes Unternehmen bearbeitet Personendaten von Kunden, Mitarbeitenden oder Geschäftspartnern.

Cyberangriffe (ISG): Primär Betreiber kritischer Infrastrukturen. Viele KMU sind jedoch als Zulieferer oder Dienstleister für kritische Infrastrukturen indirekt betroffen und sollten sich auf entsprechende Anforderungen ihrer Auftraggeber einstellen.

Statistik: Laut NCSC-Jahresbericht 2024 wurden in der Schweiz über 49’000 Cybervorfälle gemeldet – ein Anstieg von 32% gegenüber dem Vorjahr. Experten gehen davon aus, dass die tatsächliche Zahl der Vorfälle um ein Vielfaches höher liegt, da viele Unternehmen Angriffe nicht melden oder gar nicht erst entdecken.

Schritt-für-Schritt: Wie läuft die Meldung ab?

Phase 1: Sofortige Erkennung und Eindämmung (Minuten bis Stunden)

Bevor Sie melden, müssen Sie den Vorfall zunächst eindämmen. Aktivieren Sie Ihren Incident-Response-Plan:

Betroffene Systeme isolieren (vom Netzwerk trennen)
Beweise sichern (Logs, Screenshots, Malware-Samples)
Intern eskalieren (Geschäftsleitung, IT-Verantwortliche)
Entscheiden: Eigenes Team oder externe Spezialisten?

Phase 2: Schnelle Einschätzung (innerhalb der ersten 24 Stunden)

Beantworten Sie diese Fragen so schnell wie möglich:

Wurden Personendaten kompromittiert oder sind sie kompromittiert worden?
Handelt es sich um einen gezielten Angriff oder Opportunismus?
Welche Systeme und Daten sind betroffen?
Besteht ein hohes Risiko für betroffene Personen?

Phase 3: Meldung an NCSC (kritische Infrastrukturen, 24-Stunden-Frist)

Falls Sie ein Betreiber kritischer Infrastrukturen sind:

Meldekanal: https://www.report.ncsc.admin.ch/

Erforderliche Informationen:

Beschreibung des Vorfalls (Art, Zeitpunkt, betroffene Systeme)
Betroffene Infrastruktur und deren Kritikalität
Eingeschätzte Auswirkungen auf Betrieb und Dritte
Ergriffene Sofortmassnahmen
Kontaktperson für Rückfragen

Die Meldung an das NCSC löst keine automatischen Sanktionen aus. Das NCSC fungiert primär als Koordinations- und Unterstützungsstelle, nicht als Strafverfolgungsbehörde.

Phase 4: Meldung an EDÖB (bei Datenschutzverletzungen, schnellstmöglich)

Falls Personendaten betroffen sind und ein hohes Risiko für Betroffene besteht:

Meldekanal: Formular auf www.edoeb.admin.ch

Erforderliche Informationen:

Art der Verletzung (Vertraulichkeit, Integrität, Verfügbarkeit)
Betroffene Datenkategorien
Anzahl betroffener Personen (Schätzung)
Wahrscheinliche Folgen der Verletzung
Ergriffene oder geplante Massnahmen

Kritisch: Falls Sie auch mit EU-Bürgerdaten arbeiten, kann zusätzlich eine Meldung nach DSGVO an die zuständige EU-Aufsichtsbehörde innerhalb von 72 Stunden erforderlich sein.

Phase 5: Information der betroffenen Personen

Falls das Risiko für betroffene Personen hoch ist, müssen Sie diese ebenfalls informieren (Art. 24 Abs. 4 nDSG). Die Information muss:

Verständlich formuliert sein (kein Juristendeutsch)
Art der Verletzung beschreiben
Mögliche Folgen nennen
Ergriffene Massnahmen erläutern
Kontaktperson für Rückfragen nennen

Fristen im Überblick

Pflicht	Frist	Behörde	Gilt für
Cyberangriff (ISG)	24 Stunden	NCSC	Betreiber kritischer Infrastrukturen
Datenschutzverletzung (nDSG)	So rasch als möglich (Praxis: 72h)	EDÖB	Alle Verantwortlichen
Datenschutzverletzung (DSGVO)	72 Stunden	EU-Aufsichtsbehörde	Verarbeiter von EU-Bürgerdaten
Cybervorfall (FINMA)	Unverzüglich	FINMA	Beaufsichtigte Finanzinstitute
Information der Betroffenen (nDSG)	So rasch als möglich	–	Bei hohem Risiko

Was passiert, wenn Sie nicht oder zu spät melden?

Konsequenzen bei Verletzung der nDSG-Meldepflicht

Das nDSG sieht für Verletzungen der Meldepflicht Bussgelder bis zu CHF 250’000 vor. Diese können gegen die verantwortliche natürliche Person (z.B. Geschäftsführer) verhängt werden – nicht nur gegen das Unternehmen.

Konsequenzen bei Verletzung der ISG-Meldepflicht

Das ISG sieht ebenfalls Sanktionen für die Verletzung der Meldepflicht vor, deren genaue Ausgestaltung noch in der Umsetzungsphase präzisiert wird. Zusätzlich können Reputationsschäden und Schadenersatzforderungen entstehen.

Reputationsrisiken

Abgesehen von rechtlichen Konsequenzen: Ein Unternehmen, das einen Cyberangriff verschweigt oder die Information der Betroffenen verzögert, riskiert massiven Vertrauensverlust. In der Schweiz ist Diskretion ein Wert – aber keine Entschuldigung für das Verschweigen von Vorfällen, die Dritte schädigen.

“Die häufigsten Fehler nach einem Cyberangriff sind: zu lange warten, bevor man externe Spezialisten beizieht, und die Kommunikation mit Behörden und Betroffenen zu verzögern. Beide Fehler verschlimmern die Situation massiv – rechtlich und reputationsmässig.” – Cyberversicherungsexperte, Zürich, 2025

Vorbereitung vor dem Vorfall: Das können Sie jetzt tun

Die beste Zeit für die Vorbereitung auf einen Cybervorfall ist, bevor er passiert. Konkrete Massnahmen:

Incident-Response-Plan erstellen

Ein schriftlicher Plan, der festlegt:

Wer entscheidet (Eskalationsketten)
Wer meldet (intern und extern)
Welche Systeme wie isoliert werden
Wer externe Dienstleister kontaktiert
Wie die interne und externe Kommunikation läuft

Kontakte vorbereiten

Speichern Sie folgende Kontakte griffbereit:

NCSC Meldestelle: 058 465 91 20 / report.ncsc.admin.ch
EDÖB: 058 462 43 95 / edoeb.admin.ch
Ihr IT-Dienstleister / Incident-Response-Anbieter
Ihre Cyberversicherung
Ihre Rechtsberatung

Cyberversicherung prüfen

Viele Cyberversicherungen decken Kosten für Incident Response, forensische Untersuchungen, Krisenmanagement und Kundenkommunikation. Prüfen Sie Ihre Police auf Meldepflicht-Anforderungen: Viele Versicherungen verlangen eine Meldung des Vorfalls innerhalb von 24 bis 48 Stunden nach Entdeckung.

Schwachstellen proaktiv erkennen

Statistik: Laut einer Studie des Bundesamts für Cybersicherheit (BACS) 2025 dauert es bei Schweizer KMU im Durchschnitt 186 Tage, bis ein Angriff entdeckt wird. In dieser Zeit kann ein Angreifer Daten exfiltrieren, Systeme kompromittieren und Hintertüren einrichten.

Die einzige wirksame Methode, um solche Verweildauern zu reduzieren: regelmässige Sicherheitsüberprüfungen, die aus der Angreiferperspektive durchgeführt werden. Genau das leisten Red-Teaming-Assessments – sie simulieren realistische Angriffe und zeigen auf, ob und wie lange ein Angreifer in Ihren Systemen unentdeckt bleiben könnte.

Meldepflicht und nDSG: Zusammenhang und Abgrenzung

Die Meldepflicht bei Datenschutzverletzungen ist Teil des umfassenderen nDSG-Compliance-Rahmens. Weitere wichtige Bausteine:

Meldepflicht nach NIS2: Was kommt auf Schweizer KMU zu?

Obwohl die EU-Richtlinie NIS2 formal nicht für Schweizer Unternehmen gilt, betrifft sie Schweizer KMU indirekt. Wer als Zulieferer für EU-Unternehmen tätig ist, muss mit steigenden Anforderungen an die eigene Cybersicherheit und Incident-Reporting-Fähigkeit rechnen. Unsere Analyse dazu: NIS2 Schweiz: Auswirkungen auf Schweizer Unternehmen.

Praktische Meldung an den EDÖB: Was Sie einreichen müssen

Der EDÖB stellt ein Online-Meldeformular zur Verfügung. Bereiten Sie folgende Informationen vor:

Zur betroffenen Organisation:

Name, Adresse, Kontaktperson
Datenschutzverantwortliche Person

Zum Vorfall:

Datum und Zeitpunkt der Verletzung (soweit bekannt)
Datum der Entdeckung
Art der Verletzung (Diebstahl, unbeabsichtigte Weitergabe, unbefugter Zugriff, etc.)
Betroffene Datenkategorien (Kontaktdaten, Finanzdaten, Gesundheitsdaten, etc.)
Anzahl betroffener Personen (Schätzung)
Grenzüberschreitende Auswirkungen (EU-Bürger betroffen?)

Zu den Massnahmen:

Sofortmassnahmen zur Eindämmung
Geplante oder ergriffene Massnahmen zur Behebung
Massnahmen zur Verhinderung ähnlicher Vorfälle

Zum Risiko:

Einschätzung der Risiken für betroffene Personen
Falls Betroffene informiert wurden oder werden: wie und wann

“Viele Unternehmen zögern bei der Meldung an den EDÖB, weil sie Sanktionen befürchten. Das ist ein Denkfehler. Der EDÖB differenziert sehr wohl zwischen einem Unternehmen, das kooperiert und proaktiv meldet, und einem, das versucht, Vorfälle zu vertuschen. Transparenz zahlt sich aus.” – Schweizer Datenschutzrechtlerin, 2024

Cyberversicherung und Meldepflicht: Was Sie beachten müssen

Falls Ihr Unternehmen über eine Cyberversicherung verfügt, beachten Sie:

Meldepflicht gegenüber der Versicherung: Die meisten Policen verlangen eine Meldung innerhalb von 24–72 Stunden nach Entdeckung. Versäumen Sie diese Frist, riskieren Sie den Verlust des Versicherungsschutzes.
Abstimmung der Kommunikation: Stimmen Sie die Kommunikation mit Behörden und Medien mit Ihrer Versicherung ab – viele Policen schliessen Leistungen aus, wenn die Kommunikation ohne Zustimmung erfolgt.
Forensische Untersuchungen: Viele Versicherungen stellen eigene forensische Experten oder beauftragen diese. Klären Sie vorab, ob Sie eigene Forensiker beauftragen dürfen.

Für eine gründliche Sicherheitsüberprüfung, die auch die Widerstandsfähigkeit Ihrer Systeme gegen Angriffe mit Meldepflicht-Konsequenzen prüft, empfehlen wir unsere Cybersecurity-Checkliste für KMU.

Fazit

Die Meldepflichten bei Cyberangriffen in der Schweiz sind real, verpflichtend und mit klaren Fristen verbunden. Für KMU sind insbesondere die Meldepflicht nach nDSG (bei Datenschutzverletzungen) und – für Betreiber kritischer Infrastrukturen – die 24-Stunden-Frist nach ISG relevant.

Die wichtigste Erkenntnis: Vorbereitung ist alles. Wer im Ernstfall weiss, was zu tun ist, wen er kontaktieren muss und welche Informationen er bereitstellen muss, schützt sich vor zusätzlichen rechtlichen und reputationsmässigen Schäden.

Proaktiv statt reaktiv: Ein professionelles Red-Teaming-Assessment von CybersecuritySwitzerland zeigt Ihnen, welche Angriffsvektoren in Ihrem Unternehmen existieren – bevor ein Angreifer sie ausnutzt und Sie vor einer Meldepflicht stehen. Gleichzeitig helfen wir Ihnen, einen wirksamen Incident-Response-Plan zu entwickeln, der im Ernstfall die Meldepflichten korrekt und fristgerecht erfüllt. Unsere Assessments starten ab CHF 11’900.

Jetzt Red-Teaming-Assessment anfragen