Was die Meldepflicht bei Cyberangriffen für Dein Unternehmen bedeutet

20.04.2023 von Edona Ademaj

Wie ist die Ausgangslage?

Zum jetzigen Zeitpunkt hast Du die Möglichkeit, Cyberangriffe freiwillig an das sog. National Cyber Security Center des Bundes (nachfolgend «NCSC») zu melden. Die Freiwilligkeit hat jedoch dazu geführt, dass sich der Informationsaustausch in den letzten Jahren auf einen kleinen Kreis von Unternehmen und Organisationen beschränkt hat. Die Folge davon: Ein unvollständiges und verzerrtes Lagebild.

Die Meldepflicht soll dies ändern und zu einem besseren Überblick der Bedrohungslage verhelfen. Durch frühzeitiges Erkennen der Angriffsmethoden und entsprechende Warnungen anderer Betreiber*innen soll die Cybersicherheit von kritischen Infrastrukturen gestärkt werden.

Das Inkrafttreten des Informationssicherheitsgesetzes (ISG), worin die Meldepflicht verankert sein wird, erfolgt voraussichtlich im Verlauf dieses Jahres. Das definitive Datum steht noch nicht fest.

Achtung: Neben der Meldepflicht des ISG welche in diesem Beitrag behandelt wird, sind auch weitere Meldepflichten zu beachten, die sich aus anderen Gesetzen ergeben. Über diese Pflichten haben wir bereits in diesem Beitrag informiert.

 

Bist Du der Meldepflicht unterstellt?

Diese Frage ist nicht ganz einfach zu beantworten. Es ist zwar eine ausführliche Aufzählung vorgesehen – wie bei jeder Pflicht, gibt es aber auch hier Ausnahmen.

Der Meldepflicht unterstellt sein können:

  • Hochschulen,

  • Behörden aller föderalen Ebenen,

  • Organisationen der Sicherheit und Rettung, der Trinkwasserverordnung, der Abwasserversorgung und der Abfallentsorgung,

  • Unternehmen der Energieversorgung, -handel, -messung, und -steuerung,

  • Banken, Versicherungen und Finanzmarktinfrastrukturen,

  • Gesundheitseinrichtungen,

  • medizinische Laboratorien,

  • Unternehmen, die in den Bereichen Herstellung, Inverkehrbringen und Einfuhr von Arzneimittel tätig sind,

  • Sozialversicherungen,

  • Schweizerische Radio- und Fernsehgesellschaft,

  • Nachrichtenagenturen von nationaler Bedeutung,

  • Anbieterinnen von Postdiensten,

  • Öffentlicher Verkehr (Personentransport plus Eisenbahngüterverkehr),

  • Unternehmen der Zivilluftfahrt,

  • Hafen Basel und Rheinschifffahrt,

  • Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen,

  • Anbieterinnen von Fernmeldediensten,

  • Registerbetreiberinnen und Registare von Internet-Domains,

  • Dienste und Infrastrukturen im Bereich der politischen Rechte,

  • digitale Dienste,

  • Herstellerinnen von Hard- und Software.

Organisationen oder Behörden, die nur geringe Auswirkungen auf die Wirtschaft oder das Wohlergehen der Bevölkerung haben, werden von der Meldepflicht ausgenommen.

Mach Dir keine Sorgen, falls Du nach dieser Aufzählung noch immer nicht weisst, ob Du der Meldepflicht unterliegst. Bei Unklarheiten über die Unterstellung, kannst Du Dich an das NCSC wenden (vgl. Kontaktangaben des NCSC). Das NCSC untersucht dann, ob eine Meldepflicht besteht.

 

Welche Cyberangriffe musst Du als Betreiber*in einer kritischen Infrastruktur zukünftig melden?

Zukünftig musst Du dem NSCS einen Cyberangriff melden, wenn dieser:

  • die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet,

  • zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat,

  • über einen längeren Zeitraum unentdeckt blieb, insbesondere, wenn Anzeichen dafür bestehen, dass er zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde oder

  • mit Erpressung, Drohung oder Nötigung verbunden ist.

 

In welcher Form musst Du die Meldung vornehmen?

Das NCSC wird ein sicheres elektronisches System zur Übermittlung der Meldungen, z.B. ein Meldeformular, zur Verfügung stellen, damit Du die Meldepflicht mit möglichst geringem Aufwand erfüllen kannst. Um diesen Zweck bestmöglich zu erreichen, wird das NCSC sodann das Meldesystem so ausgestalten, dass Du die Möglichkeit erhältst, die Meldung des Cyberangriffs oder seiner Auswirkungen als Ganzes oder lediglich Teile davon an weitere Behörden zu übermitteln oder sogar zusätzliche Angaben, die für die weiteren Meldepflichten benötigt werden, zu erfassen.

Nebst der Meldung mittels Formular, kannst Du das NCSC auch auf andere Weise (Mail, telefonisch) über den Cyberangriff in Kenntnis setzen.

 

Innert welcher Frist musst Du welche Informationen an das NCSC geben?

Für die Frühwarnung und die Prävention ist es ausschlaggebend, dass Angriffe unmittelbar nach deren Entdeckung gemeldet werden. Deshalb musst Du Cyberangriffe zukünftig innert 24 Stunden melden. Take it easy – die Meldung muss zu diesem Zeitpunkt nicht vollständig sein, sondern nur die bis dahin bekannten Informationen beinhalten. Sobald neue Informationen vorliegen, muss die Meldung jedoch ergänzt werden. Das NCSC informiert Dich, sobald sie alle Angaben hat, die sie braucht.

Die Meldung muss Informationen zur betroffenen Behörde oder Organisation, zur Art und Ausführung des Cyberangriffs, zu seinen Auswirkungen, zu ergriffenen Massnahmen und, soweit bekannt, zum geplanten weiteren Vorgehen enthalten. Das NCSC wird im Meldeformular detailliert beschreiben, was unter den einzelnen Informationen zu verstehen ist. Beachte ausserdem, dass Du keine Angaben machen musst, die Dich selbst strafrechtlich belasten. Ein entsprechender Hinweis ist im Meldeformular vorgesehen.

 

Was passiert, wenn Du die Meldepflicht verletzt?

1. Wenn Du die Meldepflicht verletzt,

…macht Dich das NCSC zunächst auf die Pflichtverletzung aufmerksam. Du kriegst die Gelegenheit, der Meldepflicht innert einer angemessenen Frist nachzukommen.

2. Wenn Du innert der gesetzten Frist nichts unternimmst,

…erlässt das NCSC eine Verfügung, setzt Dir darin eine neue Frist, um der Meldepflicht nachzukommen und verweist auf die Bussandrohung im Falle der Nichtfolgeleistung.

3. Wenn Du innert der gesetzten Frist nichts unternimmst,

…droht eine Busse bis zu CHF 100'000.00. In Bagatellfällen beträgt die Obergrenze CHF 20'000.00.

Erwähnenswert ist, dass die Busse grundsätzlich nicht dem meldepflichtigen Unternehmen, sondern der verantwortlichen natürlichen Person auferlegt wird. Wer als verantwortlich gilt, ist im Einzelfall abzuklären. Nur bei Bagatellfällen kann die Busse dem meldepflichtigen Unternehmen anstelle der verantwortlichen natürlichen Person auferlegt werden, um aufwändige Ermittlungen zu vermeiden.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum