Compliance & Regulatorik (CH)

Alle reden über den EU CRA — die Schweizer Meldepflicht ist längst da

Während die Branche über den EU Cyber Resilience Act diskutiert, ist die Schweizer Cyber-Meldepflicht seit über einem Jahr in Kraft — und seit Oktober 2025 mit Bussen bewehrt.

Seit dem 1. April 2025 gilt: Betreiber kritischer Infrastrukturen müssen erhebliche Cyberangriffe binnen 24 Stunden nach Entdeckung dem Bundesamt für Cybersicherheit (BACS) melden — Erstmeldung in 24 Stunden, Ergänzung innert 14 Tagen. Rechtsgrundlage ist das revidierte Informationssicherheitsgesetz (ISG).

Seit dem 1. Oktober 2025 greifen die Sanktionen: vorsätzliche Nichtmeldung kann mit bis zu 100'000 Franken gebüsst werden — und zwar die verantwortliche Person, nicht die Firma. Es ist die erste sektorübergreifende Cyber-Regulierung der Schweiz, das Pendant zur EU-NIS2.

Ein Detail, das in der Praxis weh tut: Die 24-Stunden-Frist startet mit der Kenntnis des Angriffs, nicht mit dem forensischen Abschlussbericht. „Wir wollten erst die Forensik abwarten" ist keine Ausrede.

Und der EU CRA? Der kommt obendrauf — für alle, die Produkte mit digitalen Elementen in die EU bringen: Meldepflichten ab 11. September 2026, volle Anwendung ab 11. Dezember 2027. Für CH-Hersteller mit EU-Markt also ein zweiter Layer, für Finanzdienstleister zusätzlich die FINMA-Meldewege. Drei Regime, die sich überlappen.

Die ehrliche CTO-Aufgabe ist nicht, EU-Panik zu importieren, sondern zu wissen, welche Pflicht für euch tatsächlich gilt — und die Meldekette vorher zu testen, nicht im Ernstfall.

Steht euer Incident-Meldeprozess: wer meldet, an wen, in welcher Frist?

◰ Alle Insights