Mehr Cybersicherheit für die Energiebranche
Ab dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen wie Strom- und andere Energienetze Cyberangriffe innert 24 Stunden melden. Sonst drohen Bussen.
@KI
Die neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen gilt ab nächster Woche. Sie verpflichtet bestimmte Netzbetreiber, Cyberangriffe zu melden.
Innert 24 Stunden nach Entdeckung eines Cyberangriffs müssen Netzbetreiber einen Cyberangriff dem Bundesamt für Cybersecurity (BACS) melden. Mit der neuen Meldepflicht will der Bund die Cybersicherheitsrisiken besser in den Griff bekommen. Für Energienetze, Versorger und deren Kunden wird das Thema Cybersicherheit mit zunehmender Vernetzung dezentraler erneuerbarer Energieproduktion und -speicherung immer wichtiger.
Laut der auf die Energiebranche spezialisierten Kanzlei Balthasar Legal sind nur bestimmte Netzbetreiber betroffen, nämlich jene mit Schutzniveau A und B, ausserdem sind Hersteller von Hard- und Software meldepflichtig. «Die Höhe des Schutzniveaus ist abhängig von der Grösse respektive dem Einfluss des Akteurs auf die Versorgungssicherheit und wird durch entsprechende Schwellenwerte bestimmt», sagt Michèle Balthasar.
Ein Cyberangriff muss in folgenden Fällen gemeldet werden: wenn die Funktionsfähigkeit einer kritischen Infrastruktur gefährdet ist (etwa durch Systemunterbrechungen oder wenn Notfallpläne aktiviert werden müssen), wenn es zu einer Manipulation oder einem Informationsabfluss kam (bei unbefugter Änderung von geschäftsrelevanten Daten oder Datenschutzverletzungen), wenn der Angriff über 90 Tage unentdeckt blieb, oder wenn er mit Erpressung, Drohung oder Nötigung gegen die Organisation oder ihre Mitarbeitenden verbunden ist. Die juristischen Details finden sich im Blog der Kanzlei.
