Bussen bis zu 100’000 Franken: Was die Meldepflicht für Cyberangriffe für Schweizer Unternehmen wirklich bedeutet
Ein erfolgreicher Cyberangriff ist für jedes Unternehmen ein Albtraum. Systeme stehen still, Kundendaten sind in Gefahr, der Reputationsschaden ist enorm. Doch als wäre das nicht schon genug, tickt für viele Schweizer Unternehmen im Ernstfall nun auch noch eine unerbittliche Uhr: Wer einen schweren Cybervorfall nicht rechtzeitig meldet, dem drohen empfindliche Bussen von bis zu 100’000 Franken.
Mit dem revidierten Informationssicherheitsgesetz (ISG) weht ein neuer Wind. Die Schonfrist ist vorbei, und das Bundesamt für Cybersicherheit (BACS) macht ernst. Doch was heisst das konkret für den Schweizer Markt, und warum sollten sich auch KMU angesprochen fühlen, die nicht direkt zur sogenannten kritischen Infrastruktur gehören?
Die 24-Stunden-Frist verzeiht keine Fehler
Die neue Regelung ist klar: Betreiber kritischer Infrastrukturen müssen schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden dem BACS melden. Wer diese Frist verpasst, unvollständig informiert oder den Vorfall gar vertuschen will, wird zur Kasse gebeten.
Das Problem in der Praxis? Wenn die Ransomware zuschlägt, brennt im Unternehmen die Luft. Die IT-Abteilung rotiert, die Geschäftsleitung ist im Krisenmodus, und externe Forensiker müssen koordiniert werden. In diesem Chaos noch an eine formell korrekte, fristgerechte Meldung an den Bund zu denken, überfordert Organisationen, die ihre Incident-Response-Prozesse nicht im Vorfeld glasklar definiert haben.
„Wir sind doch gar nicht kritisch“ – Ein gefährlicher Irrtum
Viele KMU wiegen sich in falscher Sicherheit, weil sie keine Staudämme betreiben oder nicht im nationalen Stromnetz involviert sind. Das ist riskant. Zum einen fasst das Gesetz den Begriff der kritischen Infrastruktur weiter, als manch einer denkt – auch bestimmte Dienstleister im Gesundheitswesen, Finanzsektor oder in der Logistik fallen darunter.
Zum anderen greift der Supply-Chain-Effekt: Grosse, meldepflichtige Unternehmen geben den Druck an ihre Lieferanten weiter. Wer heute als IT-Dienstleister, Software-Lieferant oder Berater mit KRITIS-Unternehmen zusammenarbeitet, wird in Verträgen zunehmend auf die gleichen strengen Meldeprozesse und Sicherheitsstandards verpflichtet. Sind Sie nicht compliant, sind Sie als Geschäftspartner bald aus dem Rennen.
Der IKT-Minimalstandard als rettender Anker
Wie schützt man sich also, wenn die Bedrohungslage komplexer und die Gesetze strenger werden? Der Bund lässt die Unternehmen hier nicht völlig allein. Ein zentrales Werkzeug ist der IKT-Minimalstandard.
Dieser Standard bietet eine pragmatische, auf Schweizer Verhältnisse zugeschnittene Grundlage, um die eigene Cyber-Resilienz aufzubauen. Er deckt alles ab – von der Identifikation schützenswerter Daten über den Schutz der Systeme bis hin zur Reaktion bei Vorfällen (genau dort, wo die neue Meldepflicht ansetzt). Wer seine IT-Sicherheit nach dem IKT-Minimalstandard ausrichtet, hat nicht nur ein solides Fundament gegen Hacker, sondern auch die passenden Prozesse parat, wenn das BACS im Ernstfall informiert werden muss.
Wo stehen Sie aktuell? Machen Sie den Test
Theorie und Vorgaben sind das eine, die Realität in der eigenen IT-Infrastruktur das andere. Oft fehlt im Tagesgeschäft schlicht der objektive Blick von aussen, um blinde Flecken zu erkennen. Bevor Sie teure Berater engagieren, sollten Sie erst einmal eine grundlegende Standortbestimmung machen.
Genau dafür gibt es unkomplizierte Werkzeuge. Unter https://www.cybersecurity-schweiz.com/kostenloses-it-sicherheits-audit/ finden Sie ein kostenloses Online-Prüftool. Damit können Sie unkompliziert testen, wie es um Ihre aktuelle IT-Sicherheit steht, ob Sie grundlegende Anforderungen (wie etwa aus dem IKT-Minimalstandard) erfüllen und wo akuter Handlungsbedarf besteht.
Fazit: Handeln, bevor die Frist abläuft
Die Meldepflicht für Cyberangriffe ist kein Papiertiger. Sie zwingt die Schweizer Wirtschaft, Cybersicherheit endlich als Chefsache zu behandeln. Warten Sie nicht, bis ein Vorfall Sie in die Enge treibt und die 24-Stunden-Frist zu laufen beginnt. Prüfen Sie Ihre Systeme, orientieren Sie sich an etablierten Standards und stellen Sie sicher, dass Ihre Prozesse im Ernstfall reibungslos greifen. Der erste Schritt dazu kostet Sie nur ein paar Minuten.
