Meldepflicht beim Bundesamt für Cybersicherheit
Das 2024 aus dem Nationalen Zentrum für Cybersicherheit (NCSC) entstandene Bundesamt für Cybersicherheit (BACS) ist heute die zentrale Bundesstelle für sämtliche Belange der Cyberabwehr und -resilienz. Es ist im Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) beheimatet.
Das BACS übernimmt dabei zentrale Aufgaben als nationale Meldestelle für Cybersicherheitsvorfälle, als Analyse- und Frühwarnstelle sowie als die Behörde, die für Regulatorik und Prävention – einschliesslich der Minimalstandards für Informations- und Kommunikationstechnologien (IKT) – zuständig ist.
Eine entscheidende Neuerung ist die am 1. April 2025 durch den Bundesrat in Kraft gesetzte Meldepflicht für Cybersicherheitsvorfälle für kritische Infrastrukturen. Seither sind Betreiber kritischer Infrastrukturen – also neben Energie z.B. auch Finanzwesen, Gesundheit, Telekom, Transport, etc. – verpflichtet, erhebliche Cyberangriffe binnen 24 Stunden nach der Feststellung an das BACS zu melden.
Die ab Einführung geltende Übergangsphase ist zum 1. Oktober 2025 beendet worden und Verstösse können nun Sanktionen nach sich ziehen. Betreiber kritischer Infrastrukturen, die ihrer Meldepflicht nicht nachkommen, riskieren eine Strafe von bis zu CHF 100'000.
Cybersicherheit als Herausforderung für Energieunternehmen
Die neuen Sicherheitsstandards und Anforderungen stellen Energieunternehmen vor erhebliche Herausforderungen. Die Implementierung eines umfassenden Cybersicherheitsprogramms greift in den organisatorischen Aufbau sowie in Prozesse ein, benötigt Ressourcen und erfordert Fachwissen. Mehrheitlich fehlt es in den Unternehmen an der entsprechenden Fachkompetenz, wodurch sie an ihre Grenzen stossen. Nur wenige Personen in neu besetzten Sicherheitsfunktionen verfügen über die erforderlichen Fähigkeiten oder Erfahrungen, um die notwendigen technischen und organisatorischen Massnahmen zur Erfüllung der regulatorischen Anforderungen zu konzipieren und umzusetzen.
Kompetenz Informationssicherheitsmanagement und Self-Assessments
Die stetig steigenden Anforderungen an die Cybersicherheit erfordern nicht nur Technologie und Prozesse, sondern vor allem kompetente Fachleute, die diese Aufgaben managen können. Insbesondere IT-Führungspersonen, Informationssicherheitsbeauftrage und Sicherheitsverantwortliche stehen vor der Aufgabe, ihr Wissen ständig auf dem neuesten Stand zu halten und eine breite Expertise von technischen Details bis hin zu Konformitätsthemen abzudecken.
International anerkannte Zertifizierungen dienen als Qualitätssiegel und belegen sowohl fachliche Kompetenz als auch die Fähigkeit, wirksame Managementsysteme für Informationssicherheit zu konzipieren und umzusetzen.
Jedes Unternehmen sollte mindestens eine Person in der Informationssicherheit beschäftigen, die auf das Thema geschult wurde und entsprechend zertifiziert ist.
Kompetenzentwicklung und Zertifizierungen für Sicherheitsverantwortliche
In der Schweizer Energiebranche bedeutet der Aufbau von Cybersecurity-Kompetenz oft, Mitarbeitende aus der klassischen IT oder OT in erweiterte Rollen zu bringen. Dabei bieten solche Zertifizierungen einen strukturierten Lernpfad. Vorbereitungskurse vermitteln Best Practices, schaffen ein gemeinsames Vokabular der Fachleute und sind branchenübergreifend anwendbar. Zertifizierungen belegen das Vorhandensein von qualifiziertem Cybersecurity-Fachpersonal im Unternehmen gegenüber Aufsichtsbehörden und Geschäftspartnern.
Der Verband Schweizerischer Elektrizitätsunternehmen (VSE) bietet in enger Zusammenarbeit mit der Zühlke Engineering Academy Kurse zum Thema Informationssicherheitsmanagement und Informationssicherheitsaudits an.