Zum Inhalt springen
NeoGuard

BACS (Bundesamt für Cybersicherheit)

Die Schweizer Bundesbehörde für Cybersicherheit, zuständig für nationale Cyberbedrohungsüberwachung, Vorfallkoordination und die obligatorische 24-Stunden-Meldepflicht für Betreiber kritischer Infrastrukturen.

Das BACS (Bundesamt für Cybersicherheit, ehemals NCSC) ist die Bundesbehörde der Schweiz für Cybersicherheit. Es koordiniert die nationale Reaktion auf Cyberbedrohungen, veröffentlicht Bedrohungsinformationen und setzt seit April 2025 die obligatorische Meldepflicht für Betreiber kritischer Infrastrukturen durch.

Aufgaben des BACS

  • Bedrohungsüberwachung: Verfolgt Cyberbedrohungen, die die Schweiz betreffen, und veröffentlicht regelmässige Lageberichte.
  • Vorfallkoordination: Unterstützt Organisationen bei aktiven Cyberangriffen, insbesondere Ransomware-Vorfällen und Datenpannen.
  • Schwachstellenmeldung: Betreibt ein koordiniertes Schwachstellen-Offenlegungsprogramm für Schweizer Organisationen.
  • Sensibilisierung: Führt Kampagnen zur Verbesserung des Cybersicherheitsbewusstseins bei Unternehmen und Privatpersonen durch.
  • Meldeportal: Stellt die offizielle Plattform für obligatorische und freiwillige Vorfallmeldungen bereit.

Die 24-Stunden-Meldepflicht

Seit April 2025 müssen Betreiber kritischer Infrastrukturen in der Schweiz Cyberangriffe innerhalb von 24 Stunden dem BACS melden. Dies betrifft:

  • Energie-, Wasser- und Transportversorger
  • Finanzinstitute (zusätzlich zu den FINMA-Anforderungen)
  • Gesundheitsorganisationen
  • Telekommunikationsanbieter
  • Bundes- und Kantonalverwaltungen

Ein Ransomware-Angriff, die Ausnutzung einer Zero-Day-Schwachstelle oder jeder Vorfall, der wesentliche Dienste bedroht, löst diese Pflicht aus.

BACS-Meldung vs. nDSG-Meldung

Die BACS-Meldepflicht (basierend auf dem ISG, Informationssicherheitsgesetz) ist getrennt von der Meldung an den EDÖB unter dem nDSG. Sie decken unterschiedliche Auslöser ab:

  • BACS: Cyberangriffe auf kritische Infrastruktur (24-Stunden-Frist)
  • EDÖB unter nDSG: Datenschutzverletzungen mit Personendaten (Meldung «so rasch wie möglich»)

Ein Vorfall kann beide Pflichten gleichzeitig auslösen: Ein Ransomware-Angriff auf ein Spital, der Patientendaten offenlegt, erfordert eine Meldung sowohl an das BACS (Infrastrukturangriff) als auch an den EDÖB (Personendatenverletzung).

Warum auch nicht-kritische Unternehmen profitieren

Auch wenn Ihre Organisation nicht als kritische Infrastruktur eingestuft ist, ist das BACS eine wertvolle Ressource:

  • Die wöchentlichen Bedrohungsberichte heben aktive Kampagnen gegen Schweizer Organisationen hervor
  • Es veröffentlicht empfohlene Sicherheitskonfigurationen und Best Practices
  • Freiwillige Meldungen helfen beim Aufbau des nationalen Bedrohungsbilds
  • Wenn Ihr Unternehmen Teil der Lieferkette kritischer Infrastrukturen ist, betrifft Ihre Sicherheitslage die Compliance Ihrer Kunden

Verwandte Begriffe

nDSG (Neues Datenschutzgesetz)RansomwareZero-Day