Cybersicherheit Briefing
Ein Betreiber in Warnweste sucht seine Branche im Sektorenkatalog von Art. 74b ISG, dahinter eine Uhr auf 24 Stunden.

Stehen Sie im Katalog? Über die ISG-Meldepflicht entscheidet Art. 74b, nicht der Vorfall

Die 24-Stunden-Meldepflicht des revidierten ISG steht und ist seit Oktober 2025 bussenbewehrt. Für die meisten Unternehmen ist aber eine frühere Frage offen: Erfasst der Sektorenkatalog von Art. 74b ISG sie überhaupt — eine Selbsteinschätzung, die kaum ein nicht-finanzielles Unternehmen je formell durchgeführt hat.

Dr. iur. Servatius von Tatzenberg

Seit dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen meldepflichtige Cyberangriffe innert 24 Stunden nach Entdeckung dem Bundesamt für Cybersicherheit (BACS) melden. Die Frist steht in Art. 74e des Informationssicherheitsgesetzes (ISG), die Busse bis 100’000 Franken seit dem 1. Oktober 2025 in Art. 74h ISG. Wie gemeldet wird und wen die Bussdrohung trifft, haben wir an dieser Stelle behandelt. Die Frage, die die meisten Unternehmen noch nicht beantwortet haben, ist die frühere: Zählt Art. 74b ISG sie überhaupt zu den meldepflichtigen Organisationen?

Art. 74b ISG bestimmt den Geltungsbereich über einen Sektorenkatalog. Wer «Finanz» als Filter im Kopf hat, liest die Norm falsch. Der Katalog deckt sich im Wesentlichen mit den neun Sektoren der kritischen Infrastrukturen und ihren rund 27 Teilsektoren: Energie, Wasserversorgung und Entsorgung, Verkehr, Gesundheit, Finanzen und Versicherungen, öffentliche Verwaltung und Sicherheit, digitale Dienste samt Cloud- und Rechenzentrumsbetreibern, Lebensmittelversorgung und weitere. Ein regionaler Energieversorger steht darin, ein Logistikunternehmen, ein Spitalverbund, ein kantonales Werk. Keiner von ihnen ist eine Bank, und keiner hat den Reflex, sich im ISG zu suchen.

Im Sektor zu stehen genügt aber nicht. Art. 12 der Cybersicherheitsverordnung (CSV) legt qualitative Kriterien und quantitative Schwellenwerte fest, die je nach Sektor verschieden ausfallen. Pharmaunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz oder einer Bilanzsumme unter zehn Millionen Franken sind ausgenommen — für andere Sektoren gelten abweichende Kriterien (Bratschi zu Art. 12 CSV). Für Banken, Versicherungen und Finanzmarktinfrastrukturen sieht Art. 12 CSV keine solche Ausnahme vor; sie melden ohne Schwelle. Die Selbsteinschätzung hat damit zwei Stufen: Sektor nach Art. 74b ISG, dann Schwelle nach Art. 12 CSV.

Warum die Einschätzung «wir sind wohl draussen» nicht reicht, zeigt der Bussentatbestand selbst. Art. 74h ISG bestraft nicht die verspätete Meldung als solche, sondern das Ignorieren des BACS, nachdem dieses zweimal eine Frist gesetzt hat (Art. 74g ISG). Über den Geltungsbereich entscheidet damit am Ende das Amt, nicht der Betreiber. Wer sich für nicht meldepflichtig hält und beim BACS anders gesehen wird, erfährt das, wenn die erste Frist eintrifft — und «wir sind davon ausgegangen» ist dann eine schwache Antwort. Hinzu kommt: Art. 74h ISG trifft mit der Busse die verantwortliche natürliche Person.

Am Montag also: die Selbsteinschätzung formell durchführen und dokumentieren. Tätigkeiten gegen die neun Sektoren und die Schwellen nach Art. 12 CSV abgleichen, das Ergebnis festhalten, auch ein begründetes «nicht meldepflichtig», und sich bei Meldepflicht im Cyber Security Hub des BACS registrieren. Offen bleibt, wie weit das BACS den Katalog an den Rändern liest: den SaaS-Anbieter, der kein klassischer Cloud-Betreiber ist, den Zulieferer in einer kritischen Lieferkette. Das klärt sich an der Praxis, nicht am Text — an den ersten Fristen, die das BACS nach Art. 74g ISG gegen Betreiber setzt, die sich für ausgenommen hielten. Bis dahin ist die dokumentierte Selbsteinschätzung die einzige belastbare Position.