Lexipedia

AS 2025 169

Verordnung über die Cybersicherheit (CSV)

Präambel

Der Schweizerische Bundesrat,

gestützt auf die Artikel 74c und 84 Absatz 1 des Informationssicherheitsgesetzes vom 18. Dezember 20201 (ISG),

verordnet:

1. Abschnitt Gegenstand

Art. 1

Diese Verordnung regelt:

  • a. die Grundzüge und die Erarbeitung der Nationalen Cyberstrategie (NCS);

  • b. die Aufgaben des Bundesamts für Cybersicherheit (BACS);

  • c. den Informationsaustausch des BACS mit Behörden und Organisationen zum Schutz vor Cybervorfällen und Cyberbedrohungen;

  • d. die Meldepflicht bei Cyberangriffen.

2. Abschnitt Nationale Cyberstrategie

Art. 2

Die NCS legt Folgendes fest:

  • a. den strategischen Rahmen für die Prävention im Bereich der Cybersicherheit;

  • b. die Früherkennung von Cyberbedrohungen;

  • c. die Reaktionsmöglichkeiten und die Resilienz bei Vorfällen;

  • d. die Bekämpfung der Cyberkriminalität;

  • e. die internationale Zusammenarbeit.

Das BACS erarbeitet die NCS gemeinsam mit Vertreterinnen und Vertretern der Kantone, der Wirtschaft, der Betreiberinnen kritischer Infrastrukturen, der Wissenschaft, der Gesellschaft, der Departemente und der Bundeskanzlei.

3. Abschnitt Aufgaben des BACS

Art. 3 Halterabfragen

Das BACS kann zur Warnung von betroffenen Behörden, Organisationen und Personen im Fall einer unmittelbaren Cyberbedrohung oder eines laufenden Cyberangriffs bei der Registerbetreiberin von Domain-Namen, die in die Kompetenz des Bundes fallen, die Kontaktangaben der Halter der Domain-Namen abfragen.

Art. 4 Technische Analyse von Cybervorfällen und Cyberbedrohungen

Das BACS betreibt ein nationales Einsatzteam für Computersicherheit; dieses nimmt insbesondere die folgenden Aufgaben wahr:

  • a. Unterstützung bei der technischen Bewältigung von Cybervorfällen;

  • b. Analyse technischer Fragestellungen;

  • c. Identifikation und Beurteilung von Cyberbedrohungen.

Es betreibt für die Analyse der Cybervorfälle und Cyberbedrohungen eine resiliente, von der restlichen Bundesinformatik unabhängige Infrastruktur.

Art. 5 Priorisierung der Beratung und Unterstützung bei Cyberangriffen

Übersteigt die Nachfrage nach Beratung und Unterstützung bei einem Cyberangriff die Kapazitäten des BACS, so kann das BACS die Beratung und Unterstützung in Bezug auf den Zeitpunkt und den Umfang priorisieren.

Es berücksichtigt dabei die öffentliche Sicherheit und Ordnung, das Wohlergehen der Bevölkerung und das Funktionieren der Wirtschaft.

Art. 6 Offenlegung von Schwachstellen

Das BACS sorgt dafür, dass Schwachstellen an Hard- und Software koordiniert offengelegt werden; es berücksichtigt dabei international anerkannte Standards.

Es setzt der Herstellerin der betroffenen Hard- oder Software eine Frist von 90 Tagen zur Behebung der Schwachstellen.

Es kann die Frist verkürzen, wenn eine Schwachstelle:

  • a. die Funktionsfähigkeit von kritischen Infrastrukturen gefährdet;

  • b. weit verbreitete Systeme betrifft; oder

  • c. für einen Cyberangriff verwendet wird oder besonders leicht für einen Cyberangriff ausgenutzt werden kann.

Es kann die Frist verlängern, wenn sich die Behebung der Schwachstelle als besonders aufwendig erweist.

Es kann die Betreiberinnen kritischer Infrastrukturen bereits vor der Offenlegung oder Behebung über Schwachstellen informieren.

Es informiert das Bundesamt für Kommunikation (BAKOM) unverzüglich über Schwachstellen in Fernmeldeanlagen nach Artikel 3 Buchstabe d des Fernmeldegesetzes vom 30. April 19972.

Die Absätze 1–4 gelten nicht für Schwachstellen, die das BAKOM im Rahmen seiner Aufsichtskontrollen (Art. 36–40 der Verordnung vom 25. November 20153 über Fernmeldeanlagen) feststellt und dem BACS meldet.

Art. 7 Unterstützung von Behörden

Das BACS unterstützt die Behörden von Bund und Kantonen bei der Entwicklung, Umsetzung und Prüfung von Standards und Regulierungen im Bereich der Cybersicherheit.

4. Abschnitt Informationsaustausch

Art. 8 Kommunikationssystem für den sicheren Informationsaustausch und Informationssysteme für den automatischen Austausch

Zugang zum Kommunikationssystem des BACS für den sicheren Informationsaustausch haben alle meldepflichtigen Betreiberinnen von kritischen Infrastrukturen sowie Organisationen mit Sitz in der Schweiz und Behörden.

Das BACS stellt den Betreiberinnen kritischer Infrastrukturen technische Informationen nach Artikel 74 Absatz 2 Buchstabe b ISG zu Cyberbedrohungen und Cybervorfällen über Informationssysteme für den automatischen Austausch zur Verfügung.

Das BACS ist für die Sicherheit des Kommunikations- sowie der Informationssysteme und die Rechtmässigkeit der Bearbeitung der Daten verantwortlich.

Art. 9 Registrierung

Die Organisationen und Behörden müssen sich für die Nutzung des Kommunikationssystems registrieren. Sie müssen Änderungen von Angaben unverzüglich melden.

Die Registrierung muss mindestens folgende Angaben enthalten:

  • a. Firma, Name oder Bezeichnung und Adresse;

  • b. Kontaktperson.

Art. 10 Dienstleister

Die Betreiberinnen kritischer Infrastrukturen können dem BACS Dienstleister melden, die für sie Leistungen im Bereich der Cybersicherheit erbringen und die am Informationsaustausch teilnehmen wollen.

Die Dienstleister müssen sich mit der Firma oder dem Namen sowie Angaben zur Kontaktperson registrieren.

Art. 11 Übermittlung und Nutzung der Informationen

Die registrierten Organisationen und Behörden legen bei der Übermittlung von Informationen fest, an wen das BACS diese im Kommunikationssystem für den sicheren Informationsaustausch weitergeben darf, es sei denn, die Weitergabe ist gesetzlich vorgesehen.

Das BACS entscheidet über die Veröffentlichung von freigegebenen Informationen.

Die Informationsempfängerinnen und -empfänger müssen den Schutz der Informationen gewährleisten.

Die registrierten Dienstleister von Betreiberinnen kritischer Infrastrukturen dürfen Informationen, die sie erhalten, ausschliesslich zum Schutz kritischer Infrastrukturen verwenden.

5. Abschnitt Meldepflicht

Art. 12 Ausnahmen von der Meldepflicht

Die folgenden Behörden und Organisationen sind unter den nachstehenden Voraussetzungen von der Meldepflicht ausgenommen:

  • a. Hochschulen nach Artikel 74b Absatz 1 Buchstabe a ISG, sofern sie über weniger als 2000 Studierende verfügen;

  • b. Unternehmen nach Artikel 74b Absatz 1 Buchstabe d ISG, sofern sie:

    1. als Netzbetreiber, Elektrizitätserzeuger, Elektrizitätsspeicherbetreiber oder Dienstleister im Elektrizitätsbereich nach Artikel 5a Absatz 1 und Anhang 1a der Stromversorgungsverordnung vom 14. März 20084 weder das Schutzniveau A noch das Schutzniveau B einhalten müssen, oder

    2. als Betreiber von Gasleitungen nach Artikel 2 Absatz 3 der Rohrleitungssicherheitsverordnung vom 4. Juni 20215 im Durchschnitt der letzten fünf Jahre eine transportierte Energie von weniger als 400 GWh/Jahr aufweisen;

  • c. Eisenbahnunternehmen sowie Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen nach Artikel 74b Absatz 1 Buchstabe m ISG, sofern sie:

    1. nicht mit Systemaufgaben (Art. 37 des Eisenbahngesetzes vom 20. Dezember 19576 [EBG]) beauftragt sind,

    2. über eine Personenbeförderungskonzession nach Artikel 6 des Personenbeförderungsgesetzes vom 20. März 20097 (PBG) verfügen, aber keine durch Bund und Kantone gemeinsam bestellten Angebote erbringen (Art. 28–31c PBG),

    3. über eine Infrastrukturkonzession nach Artikel 5 EBG verfügen, diese aber nicht erteilt wurde, weil ein öffentliches Interesse am Bau und Betrieb der Infrastruktur besteht (Art. 6 Abs. 1 Bst. a EBG);

  • d. Unternehmen nach Artikel 74b Absatz 1 Buchstabe n ISG, sofern sie:

    1. nach den Artikeln 2 und 4 und Anhang II der Durchführungsverordnung (EU) 2023/2038 oder nach Artikel 2 und dem Anhang der Delegierten Verordnung (EU) 2022/16459 kein Information Security Management System einrichten müssen,

    2. die Vorgaben nach Ziffer 1.7 des Anhangs der Durchführungsverordnung (EU) 2015/199810 in ihrem Security-Programm nach Artikel 2, 12, 13 oder 14 der Verordnung (EG) Nr. 300/200811 nicht umsetzen müssen;

  • e. Anbieterinnen und Betreiberinnen nach Artikel 74b Absatz 1 Buchstabe t ISG, sofern sie ihre Leistungen weder teilweise noch vollumfänglich gegen Entgelt für Dritte erbringen.

Behörden und Organisationen nach Artikel 74b Absatz 1 Buchstaben g, h, l und p ISG sind von der Meldepflicht ausgenommen, sofern sie im betroffenen Bereich weniger als 50 Personen beschäftigen und ihr Jahresumsatz oder ihre Jahresbilanzsumme im betroffenen Bereich 10 Millionen Franken nicht übersteigt.

Art. 13 Einreichung von Unterlagen zur Abklärung der Meldepflicht

Die interessierten Behörden und Organisationen müssen dem BACS alle Unterlagen zur Verfügung stellen, die dieses benötigt, um Auskunft über die Unterstellung unter die Meldepflicht zu erteilen.

Art. 14 Zu meldende Cyberangriffe

Die Funktionsfähigkeit einer kritischen Infrastruktur gilt als gefährdet, wenn:

  • a. Mitarbeitende oder Dritte von Systemunterbrüchen betroffen sind; oder

  • b. die betroffene Organisation oder Behörde ihre Tätigkeiten nur noch mit Hilfe von Notfallplänen aufrechterhalten kann.

Eine Manipulation oder ein Abfluss von Informationen liegt vor, wenn:

  • a. geschäftsrelevante Informationen von Unbefugten eingesehen, verändert oder offengelegt werden; oder

  • b. eine Meldung von Verletzungen der Datensicherheit nach Artikel 24 des Datenschutzgesetzes vom 25. September 202012 erfolgt ist.

Ein Cyberangriff gilt als über einen längeren Zeitraum unentdeckt, wenn der Vorfall mehr als 90 Tage zurückliegt.

Ein Cyberangriff gilt als mit Erpressung, Drohung oder Nötigung verbunden, wenn sich diese Handlungen gegen eine meldepflichtige Behörde oder Organisation richten oder gegen Personen, die für eine solche Behörde oder Organisation tätig sind.

Art. 15 Inhalt der Meldung

Die Meldung muss nebst den Angaben nach Artikel 74e Absatz 2 ISG folgende Informationen zum Cyberangriff enthalten:

  • a. Datum und Uhrzeit der Feststellung des Angriffs;

  • b. Datum und Uhrzeit des Angriffs; und

  • c. Angaben zum Angreifer.

Sie muss zudem die Information enthalten, ob der Angriff mit Erpressung, Drohung oder Nötigung verbunden war und ob Strafanzeige erstattet wurde.

Sie muss folgende Informationen zu den Auswirkungen des Cyberangriffs enthalten:

  • a. Schweregrad der Beeinträchtigung der Verfügbarkeit, Integrität und Vertraulichkeit der Informationen; und

  • b. Auswirkung des Cyberangriffs auf die Funktionsfähigkeit der Organisation oder Behörde.

Erfolgt die Meldung nicht über das Kommunikationssystem des BACS, so muss sie zusätzlich folgende Informationen zur meldepflichtigen Behörde oder Organisation enthalten:

  • a. Firma, Name oder Bezeichnung und Adresse; und

  • b. Kontaktangaben der meldenden Person.

Art. 16 Frist zur Erfassung der Meldung

Sind innerhalb der Meldefrist von 24 Stunden nach der Entdeckung des Cyberangriffs nicht alle erforderlichen Informationen bekannt, so gewährt das BACS der betreffenden Behörde oder Organisation eine Frist von 14 Tagen zur Ergänzung der Meldung.

Liegen bis zum Ablauf der Frist nicht alle erforderlichen Informationen vor, so fordert das BACS die betreffende Behörde oder Organisation auf, diese umgehend zu ergänzen oder zu bestätigen, dass die Informationen nicht vorhanden sind.

Art. 17 Übermittlung der Meldung

Falls die Meldung nicht über das Kommunikationssystem des BACS erfolgt, informiert dieses die Kontaktperson nach Artikel 9 Absatz 2 Buchstabe b über den Eingang und den Inhalt der Meldung.

Eine oder mehrere meldepflichtige Behörden oder Organisationen können beschliessen, den Meldeprozess einzeln oder gemeinsam an eine Drittorganisation auszulagern.

6. Abschnitt Schlussbestimmungen

Art. 18 Änderung anderer Erlasse

Die Änderung anderer Erlasse wird im Anhang geregelt.

Art. 19 Inkrafttreten

Diese Verordnung tritt am 1. April 2025 in Kraft.


7. März 2025

Im Namen des Schweizerischen Bundesrates

Die Bundespräsidentin: Karin Keller-Sutter
Der Bundeskanzler: Viktor Rossi

(Art. 18)

Änderung anderer Erlasse

Die nachstehenden Erlasse werden wie folgt geändert:

1. Organisationsverordnung vom 7. März 200313 für das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport

Art. 15a Abs. 2 Einleitungssatz sowie Bst. f und h2 Es nimmt insbesondere folgende Funktionen wahr:f. Es betreibt das nationale Einsatzteam für Computersicherheit.h. Es vertritt die Schweiz in internationalen Fachgremien zur Cybersicherheit.

2. Datenschutzverordnung vom 31. August 202214

Art. 41 Abs. 1Aufgehoben

Verordnung über die Cybersicherheit | Lexipedia | Lexipedia