Vierundzwanzig Stunden ab Entdeckung: Wen die ISG-Bussdrohung trifft
Seit dem 1. Oktober 2025 ist die 24-Stunden-Meldepflicht nach Art. 74e ISG bussenbewehrt — doch die Busse nach Art. 74h trifft die verantwortliche natürliche Person für eine missachtete BACS-Verfügung, nicht die verspätete Meldung. Die Vorfrage bleibt, ob Sie nach Art. 74b ISG und Art. 12 CSV überhaupt unterstellt sind, denn die Frist läuft ab Entdeckung.
Dr. iur. Servatius von Tatzenberg
Seit dem 1. Oktober 2025 ist die 24-Stunden-Meldepflicht für Cyberangriffe nach Art. 74e ISG nicht mehr sanktionsfrei. Die sechsmonatige Schonfrist seit Inkrafttreten am 1. April ist abgelaufen, und das Bundesamt für Cybersicherheit (BACS) kann Verstösse mit Bussen bis 100’000 Franken ahnden. Wer daraus liest, eine verspätete Meldung koste 100’000 Franken, liest Art. 74h ISG falsch.
Die Busse trifft nicht die verpasste Meldung. Art. 74h ISG bestraft, wer eine rechtskräftige Verfügung des BACS missachtet — die verantwortliche natürliche Person, nicht das Unternehmen. Das Amt fordert zunächst informell zur Meldung auf und erlässt erst bei Untätigkeit eine formelle Verfügung; deren Missachtung allein löst die Busse aus. Das verschiebt das Risiko von der Bilanz auf eine Person mit Namen.
Bevor diese Kette greift, steht die Vorfrage: Unterstehen Sie der Meldepflicht überhaupt? Art. 74b ISG zählt die Sektoren auf, von Energie und Trinkwasser über Finanzen und Gesundheit bis zu Kommunikation, Verkehr und Behörden. Ob Ihr Haus darunterfällt, entscheidet Art. 12 CSV mit qualitativen Kriterien und quantitativen Schwellenwerten, die je Sektor unterschiedlich ausfallen. Wer sich für «nicht kritisch» hält, weil er keine Bank ist, hat die Schwelle nicht gerechnet.
Die Frist nach Art. 74e ISG läuft ab Entdeckung des Angriffs, nicht ab interner Eskalation und nicht ab Freigabe durch den Verwaltungsrat. 24 Stunden für die Erstmeldung, 14 Tage zur Vervollständigung. Ein Incident-Prozess, der die Erstmeldung an das BACS durch Genehmigungsschlaufen führt, ist mit dieser Uhr nicht vereinbar.
Zwei Dinge gehören diese Woche auf den Tisch. Rechnen Sie die Schwelle nach Art. 12 CSV für Ihren Sektor durch und halten Sie das Ergebnis schriftlich fest. Die Unterstellungsfrage beantwortet man einmal kalt, nicht unter dem Druck eines laufenden Vorfalls. Delegieren Sie die Erstmeldung dokumentiert an eine benannte Person, die innerhalb von 24 Stunden über den Cyber Security Hub des BACS meldet, ohne eine Sitzung abzuwarten. Betrifft der Vorfall auch Personendaten, greift parallel Art. 24 DSG: Die Meldepflicht gegenüber dem EDÖB läuft neben der ISG-Meldung — nicht statt ihr.
Offen ist, wie zügig das BACS eine unterlassene Meldung in eine Verfügung übersetzt — den einzigen Weg zur Busse. Eine veröffentlichte Verfügung nach Art. 74h ISG gibt es noch nicht; der BACS-Jahresbericht wird das erste öffentliche Signal zur Durchsetzungspraxis sein. Bis dahin gilt: Ihr Incident-Plan muss die 24-Stunden-Frist einhalten, unabhängig davon, wie scharf das Amt eskaliert.