MilesGuard
EN
ISGMeldepflichtComplianceBACS

ISG-Meldepflicht: Was Schweizer Unternehmen jetzt wissen müssen

6. April 2026|7 Min. Lesezeit

Seit April 2025 gilt die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Seit Oktober 2025 drohen Bussen bis CHF 100'000. Wir erklären, wer betroffen ist, was gemeldet werden muss und wie Sie sich vorbereiten.

Ein Ransomware-Angriff legt Ihre Produktion lahm. Sie haben 24 Stunden, um den Vorfall dem BACS zu melden. Wissen Sie, wer in Ihrem Unternehmen diese Meldung auslöst? Das Informationssicherheitsgesetz (ISG) schreibt seit April 2025 eine Meldepflicht für Cyberangriffe auf Betreiberinnen kritischer Infrastrukturen vor. Seit Oktober 2025 sind Verstösse strafbar, mit Bussen bis CHF 100'000 gegen verantwortliche Personen. In den ersten zwölf Monaten seit Inkrafttreten gingen bereits über 325 Pflichtmeldungen beim BACS ein.

Wer ist betroffen?

Die Meldepflicht betrifft 9 Sektoren mit 27 Subsektoren: Energie, Trinkwasser, Abwasser, Verkehr, Gesundheit, Banken, Versicherungen, digitale Infrastruktur und öffentliche Verwaltung. Auch Zulieferer und IT-Dienstleister, die für diese Sektoren arbeiten, können indirekt betroffen sein. Prüfen Sie anhand der BACS-Kriterienliste, ob Ihr Unternehmen unter die Definition fällt. Im Zweifel gilt: lieber melden.

So läuft die Meldung ab

Die Meldung muss innerhalb von 24 Stunden nach Entdeckung erfolgen, über den Cyber Security Hub des BACS (security-hub.ncsc.admin.ch) oder das allgemeine Meldeformular (report.ncsc.admin.ch). Gefordert sind Angaben zum betroffenen System, zur Art des Angriffs und zu den ergriffenen Sofortmassnahmen. Innerhalb von 14 Tagen folgt eine detaillierte Nachmeldung mit Ursachenanalyse und Massnahmenplan. Die Meldung ersetzt keine Anzeige bei der Kantonspolizei.

Vorbereitung: Das Meldepflicht-Playbook

Bereiten Sie sich jetzt vor, nicht erst nach einem Vorfall. Erstellen Sie ein Meldepflicht-Playbook mit klaren Verantwortlichkeiten. Definieren Sie, wer die Erstmeldung absetzt, wer die technische Analyse liefert und wer intern kommuniziert. Testen Sie den Ablauf in einer Tabletop-Übung. Dokumentieren Sie Ihre kritischen Systeme und deren Abhängigkeiten. Diese Vorbereitung kostet einen Arbeitstag, eine verspätete Meldung kostet deutlich mehr.

Wie MilesGuard unterstützt

MilesGuard unterstützt Unternehmen bei der ISG-Readiness-Prüfung: Wir identifizieren, ob Sie meldepflichtig sind, erstellen Ihr Meldepflicht-Playbook und führen eine Simulationsübung durch. Damit sind Sie vorbereitet, bevor der Ernstfall eintritt.

Quellen

  • [1] BACS (ncsc.admin.ch)
  • [2] Cybersicherheitsverordnung CSV
  • [3] ISG Meldepflicht
Teilen:LinkedIn

Weitere Beiträge

nDSG und IT-Sicherheit: 10 technische Massnahmen für KMU

9. März 2026

Cyber Resilience Act: Was Schweizer Hersteller jetzt tun müssen

19. Januar 2026

Ransomware-Angriff auf Ihr KMU: Die ersten 60 Minuten

23. März 2026

Passende Dienstleistungen

Sicherheitsaudits →CISO as a Service →
Miles Strässle

Miles Strässle

Gründer, MilesGuard GmbH

Sicherheitsfragen? Sprechen Sie mit uns.

Unsere Blog-Beiträge werden laufend auf der Originalseite aktualisiert. Für individuelle Beratung stehen wir Ihnen jederzeit zur Verfügung.

Erstgespräch vereinbaren