Mit der jüngsten Revision des Informationssicherheitsgesetzes führte die Schweiz neu eine Meldepflicht für Cyberangriffe auf ausgewählte Betreiberinnen von kritischen Infrastrukturen ein – ein wichtiger Teil der nationalen Cybersicherheitsstrategie. Der Aufsatz erläutert den persönlichen und sachlichen Anwendungsbereich dieser neuen Pflicht und legt die Ausnahmen, die der Gesetzgeber vorgesehen hat, dar. Dabei werden nicht nur juristische Details und Abgrenzungsfragen beleuchtet, sondern auch die ersten praktischen Herausforderungen für meldepflichtige Organisationen gezeigt. Im Vergleich mit der NIS2-Richtlinie der EU wird deutlich, dass die Schweiz einen eigenen, massvollen Weg geht, der zwischen staatlicher Regulierung und unternehmerischer Eigenverantwortung balanciert. Der Beitrag schliesst mit konkreten Handlungsempfehlungen für Unternehmen und Behörden.

Avec la récente révision de la loi sur la sécurité de l’information, la Suisse a introduit une nouvelle obligation de déclarer les cyberattaques visant certains exploitants d’infrastructures critiques – un élément important de la stratégie nationale en matière de cybersécurité. Cet article explique le champ d’application personnel et matériel de cette nouvelle obligation et présente les exceptions prévues par le législateur. Il met en lumière non seulement les détails juridiques et les questions de délimitation, mais aussi les premiers défis pratiques auxquels seront confrontées les organisations soumises à l’obligation de déclarer. La comparaison avec la directive NIS2 de l’UE montre clairement que la Suisse suit sa propre voie, modérée, qui établit un équilibre entre la réglementation étatique et la responsabilité des entreprises. L’article se termine par des recommandations concrètes à l’intention des entreprises et des autorités.

Rino Siffert | 2025 Ausgabe 12