Was bedeutet die Meldepflicht von Cybervorfällen für IT-Dienstleister?

14.08.2025 von Alina Visco

Cyberangriffe und Sicherheitsvorfälle gehören heute zum digitalen Alltag. Laut Bundesamt für Cybersicherheit (BACS) gehen dort wöchentlich über 1'000 Meldungen zu Cybervorfällen aus der ganzen Schweiz ein. Besonders häufig werden Menschen durch Betrugsversuche wie angebliche Behördenanrufe oder falsche Gewinnversprechen getäuscht. Auch Hackerangriffe auf kritische IT-Systeme sind keine Seltenheit.

Um diesen Bedrohungen systematisch begegnen zu können, hat der Bund mit dem Bundesgesetz über die Informationssicherheit beim Bund (ISG) eine gesetzliche Meldepflicht für schwerwiegende Cybervorfälle eingeführt. Das Ziel: sicherheitsrelevante Ereignisse frühzeitig erkennen, nationale Risiken abschätzen und koordinierte Gegenmassnahmen einleiten.

Doch was bedeutet das konkret für IT-Dienstleister und Anbieter von Managed Services, die solche Infrastrukturen betreuen oder im Auftrag betreiben? Dieser Beitrag gibt einen Überblick über Pflichten, Zuständigkeiten und praktische Konsequenzen der neuen Rechtslage.

Gesetzliche Grundlage

Die Meldepflicht für Cybervorfälle in der Schweiz ist im Bundesgesetz über die Informationssicherheit beim Bund (ISG) geregelt. Sie verpflichtet Betreiber kritischer Infrastrukturen und bestimmte Drittunternehmen dazu, schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS) zu melden.

Die Cybersicherheitsverordnung (CSV) ergänzt das Gesetz. Sie legt fest, welche Arten von Cyberangriffen gemeldet werden müssen und welche Meldedaten erforderlich sind. Sie bestimmt auch, wer von der Meldepflicht ausgenommen ist. Auch das Meldeverfahren selbst und die Fristen sind dort genauer definiert.

Wer ist meldepflichtig?

Meldepflichtig sind vor allem Betreiber kritischer Infrastrukturen. Dazu gehören zum Beispiel Unternehmen in den Bereichen Energie, Gesundheit, Finanzen, Telekommunikation, Verkehr oder öffentliche Verwaltung.

Nicht nur Betreiber kritischer Infrastrukturen selbst, sondern auch Drittunternehmen können betroffen sein, insbesondere, wenn sie IT-Systeme betreiben oder warten, die für die Funktionsfähigkeit dieser Infrastrukturen essenziell sind. Dazu zählen etwa Rechenzentren, IT-Sicherheitsanbieter oder Softwarefirmen, deren Lösungen direkt in kritischen Prozessen eingesetzt werden.

Ob ein Unternehmen tatsächlich meldepflichtig ist, hängt vom Einzelfall ab. Entscheidend ist, ob die Leistung unmittelbar für die Sicherheit oder Funktionsfähigkeit der Infrastruktur relevant ist. Das kann zum Beispiel auf Unternehmen zutreffen, die Mess- oder Steuertechnik für Stromnetze liefern, Authentifizierungslösungen für Gesundheitseinrichtungen entwickeln oder die sichere Datenübertragung zwischen Verkehrsleitstellen ermöglichen. Auch Zulieferer von spezialisierten Systemkomponenten können betroffen sein, wenn ihre Produkte für den Betrieb einer kritischen Infrastruktur unverzichtbar sind.

Auch klassische IT-Dienstleister sind betroffen

Viele IT-Dienstleister sind sich nicht bewusst, dass sie unter die Meldepflicht fallen können. Wer zum Beispiel für den Betrieb, die Wartung oder die Überwachung sicherheitsrelevanter Systeme zuständig ist, kann direkt betroffen sein. Das gilt auch bei ausgelagerten IT-Diensten, darunter fallen zum Beispiel extern vergebene Aufgaben wie der Betrieb sicherheitsrelevanter Systeme in einem Rechenzentrum.

Wichtig ist, dass vertraglich geregelt wird, wer im Ernstfall die Meldung abgibt. Das sollte vertraglich zwischen Betreiber und Dienstleister festgelegt werden. Fehlt eine solche Regelung, kann auch der Dienstleister selbst verantwortlich sein.

Cyberangriffe, die gemeldet werden müssen

Meldepflichtig sind Cybervorfälle, die eine erhebliche Beeinträchtigung für eine kritische Infrastruktur darstellen. Das ist laut Gesetz dann der Fall, wenn:

  • die Funktionsfähigkeit der betroffenen Infrastruktur gefährdet ist,

  • sicherheitsrelevante Informationen manipuliert oder abgeflossen sind,

  • der Angriff längere Zeit unbemerkt blieb, etwa um weitere Angriffe vorzubereiten,

  • oder eine Verbindung zu Erpressung, Drohung oder Nötigung besteht.

Nicht meldepflichtig sind alltägliche IT-Sicherheisvorfälle ohne sicherheitsrelevante Auswirkungen, wie beispielsweise Spamnachrichten oder gescheiterte Phishing-Versuche.

Wie muss gemeldet werden?

Die Meldung muss innerhalb von 24 Stunden nach Entdeckung erfolgen. Dies geschieht idealerweise über das Meldeformular auf dem Cyber Security Hub (CSH). Der Zugang ist registrierten Betreibern kritischer Infrastrukturen und deren Dienstleistern vorbehalten. Er wird vom BACS erteilt und kann auf Antrag beantragt werden. Alternativ kann die Meldung auch per E-Mail (an notification@ncsc.ch) eingereicht werden. Können bei der Erstmeldung noch nicht alle Angaben gemacht werden, dürfen diese innerhalb von 14 Tagen nach dem Vorfall, nachgereicht werden.

Konsequenzen bei Verletzung der Meldepflicht

Die Meldepflicht besteht seit dem 1. April 2025, wobei der Bundesrat eine Übergangsfrist bis zum 1. Oktober 2025 festgelegt hat. Während dieser Übergangsfrist bleibt das Unterlassen einer Meldung zwar pflichtwidrig, aber nicht strafbar. Ab Oktober 2025 können Verstösse jedoch sanktioniert werden.

Wird ein meldepflichtiger Vorfall nicht gemeldet, dann schreitet das BACS ein. Es informiert die betroffene Organisation und setzt eine Frist, um die Meldung nachzuholen. Wird dieser Anordnung nicht Folge geleistet, können Bussen bis zu CHF 100'000 verhängt werden.

Was unternimmt das BACS nach der erfolgten Meldung?

Sobald eine Meldung eingeht, prüft das BACS, ob es sich um einen sicherheitsrelevanten Vorfall handelt. Falls gewünscht, bietet das BACS dem betroffenen Unternehmen eine erste technische Einschätzung an oder verweist auf spezialisierte Anbieter. Ziel ist es, ein aktuelleres Lagebild zu erhalten, Bedrohungsmuster zu erkennen und andere potenziell betroffene Stellen rechtzeitig zu informieren.

Stellt das BACS im Rahmen der Analyse eine Schwachstelle in einer Software oder Hardware fest, wird der entsprechende Hersteller kontaktiert. Dieser erhält eine Frist zur Behebung, in der Regel 90 Tage. Reagiert er nicht, kann das BACS die Schwachstelle veröffentlichen. In gravierenden Fällen droht dem Hersteller auch der Ausschluss von öffentlichen Ausschreibungen.

Was jetzt zu tun ist

  • Klärung: Prüfen Sie, ob Ihr Unternehmen direkt oder indirekt von der Meldepflicht betroffen ist, insbesondere im Rahmen bestehender Kundenbeziehungen mit kritischen Infrastrukturen.

  • Prozesse überprüfen: Sorgen Sie dafür, dass Meldewege, Zuständigkeiten und Fristen intern klar geregelt sind, am besten vertraglich mit Ihren Kunden.

  • Sensibilisierung: Informieren Sie interne und externe Beteiligte (z. B. Projektpartner oder Subdienstleister) über die Bedeutung der Meldepflicht und den Ablauf im Ernstfall.

  • Im Zweifelsfall handeln: Falls unklar ist, ob ein Vorfall meldepflichtig ist oder ob Ihr Unternehmen unter das Gesetz fällt, sollte frühzeitig abgeklärt werden, wie vorzugehen ist.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum