Der SecureIT Blog
Zurück zur Übersicht

Neue Meldepflicht für Cyberangriffe – Sind Sie vorbereitet?

Marc Sumi 28.02.2026

Seit dem 1. April 2025 gilt in der Schweiz eine neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Betreiber müssen Vorfälle innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS, ehemals NCSC) melden. Doch was bedeutet das konkret – und betrifft es auch Ihr Unternehmen?

Was hat sich geändert?

Die Revision des Informationssicherheitsgesetzes (ISG) und die neue Cybersicherheitsverordnung (CSV) verpflichten Organisationen, die kritische Infrastrukturen betreiben, Cyberangriffe innert 24 Stunden zu melden. Dazu gehören:

  • Energie- und Trinkwasserversorger
  • Transportunternehmen
  • Kantonale und kommunale Verwaltungen
  • Gesundheitseinrichtungen
  • IT-Dienstleister für kritische Sektoren

Wann muss gemeldet werden?

Eine Meldung ist erforderlich, wenn ein Cyberangriff:

  • Die Funktionsfähigkeit der kritischen Infrastruktur gefährdet
  • Zu einer Manipulation oder einem Abfluss von Informationen geführt hat
  • Erpressung, Drohungen oder Nötigung beinhaltet

Die Erstmeldung muss innerhalb von 24 Stunden nach Entdeckung erfolgen. Danach haben Organisationen 14 Tage Zeit, den Bericht zu vervollständigen.

Welche Strafen drohen?

Seit dem 1. Oktober 2025 können bei Nichtmeldung Bussen von bis zu CHF 100'000 verhängt werden. Zuvor galt eine sechsmonatige Übergangsfrist ohne Sanktionen.

Was bedeutet das für KMU?

Auch wenn die Meldepflicht primär Betreiber kritischer Infrastrukturen betrifft, sollten alle Schweizer KMU diese Entwicklung ernst nehmen:

  • Lieferkettenrisiko: Sind Sie Zulieferer oder IT-Dienstleister für kritische Infrastrukturen? Dann könnten auch Sie indirekt betroffen sein.
  • Best Practice: Die Meldepflicht zeigt den Trend – Cybersecurity-Regulierung wird zunehmen. Wer jetzt Prozesse einführt, ist vorbereitet.
  • Incident Response: Ein vorbereiteter Reaktionsplan ist Pflicht, um innerhalb von 24 Stunden korrekt melden zu können.

So bereiten Sie sich vor

  1. Incident-Response-Plan erstellen: Definieren Sie klare Zuständigkeiten und Abläufe für den Ernstfall. Unser IT-Notfall-Support steht Ihnen dabei rund um die Uhr zur Verfügung.
  2. Schwachstellen identifizieren: Durch regelmässige Penetrationstests erkennen Sie Sicherheitslücken, bevor Angreifer sie ausnutzen.
  3. Monitoring einrichten: Ohne Erkennung keine Meldung. Unsere Cybersecurity-Lösungen bieten EDR/XDR-basierte Überwachung zur frühzeitigen Angriffserkennung.
  4. Mitarbeitende schulen: Viele Angriffe beginnen mit Phishing. Mit unseren Phishing-Simulationen und Schulungen sensibilisieren Sie Ihr Team für reale Bedrohungsszenarien.
  5. Phishing-Meldeprozess einführen: Mit dem Phishing AddIn für Outlook können Mitarbeitende verdächtige E-Mails mit einem Klick melden – direkt aus dem Posteingang.
  6. E-Mail-Sicherheit stärken: Unser Phishing Analyse Service prüft gemeldete E-Mails automatisch auf Malware und Bedrohungen.
  7. Compliance prüfen: Der IKT-Mindeststandard-Check zeigt Ihnen, wo Ihr Unternehmen steht und welche Massnahmen noch nötig sind.

Sichere Infrastruktur als Grundlage

Eine sichere IT-Infrastruktur ist Voraussetzung für die Einhaltung der Meldepflicht. Mit unserer Private Cloud behalten Sie die volle Kontrolle über Ihre Daten – gehostet in der Schweiz. Ergänzt durch unsere Managed Microsoft 365 Lösungen schützen Sie Ihre E-Mail-Kommunikation und Zusammenarbeit umfassend.

Fazit

Die neue Meldepflicht ist ein wichtiger Schritt für die Cybersicherheit in der Schweiz. Für KMU ist sie ein klares Signal: Wer keine strukturierten Sicherheitsprozesse hat, riskiert nicht nur Cyberangriffe, sondern auch rechtliche Konsequenzen.

Brauchen Sie Unterstützung bei der Umsetzung? Kontaktieren Sie uns – SecureIT hilft Ihnen, einen Incident-Response-Plan zu erstellen und Ihre IT-Sicherheit auf den neuesten Stand zu bringen.

Webdesign © 2026 SecureIT Swiss
Datenschutz | AGB's