Anfang März beschloss der Bundesrat eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Die dafür notwendigen Anpassungen im Bundesgesetz über die Informationssicherheit (Informationssicherheitsgesetz, ISG) sind seit 1. April 2025 in Kraft. Als Gemeinde und Teil der kritischen Infrastrukturen sind Sie von dieser Gesetzesänderung betroffen.
Gemäss Informationssicherheitsgesetz sind Gemeinden verpflichtet, einen Cybervorfall innerhalb von 24 Stunden nach dessen Entdeckung dem Bundesamt für Cybersicherheit (BACS) zu melden.
Meldepflichtig sind Vorfälle, die eine oder mehrere der folgenden Bedingungen erfüllen:
- die Funktionsfähigkeit der IT-Infrastruktur der Gemeinde gefährden,
- zu einer Manipulation oder zum Abfluss von Informationen geführt haben,
- mit Erpressung, Drohung oder Nötigung gegenüber der Gemeinde, ihren Mitarbeitenden oder Partnern verbunden sind.
Das BACS stellt auf seiner bestehenden Plattform für den Informationsaustausch mit Betreiberinnen und Betreibern kritischer Infrastrukturen ein Meldeformular zur Verfügung. Organisationen, die keinen Zugriff auf diese Plattform haben, können ihre Meldungen über ein E-Mail-Formular einreichen, das auf der Website des BACS bereitgestellt wird. Sie finden die nötigen Informationen zum Formular unter diesem Link.
Infolge der engen technischen Vernetzung zwischen Kanton und Gemeinden bitten wir Sie zudem, den Vorfall auch an die E-Mail Adresse cybervorfall@lu.ch zu senden. Künftig wird Ihnen auf dem E-Gov Portal my.lu.ch ein Online-Formular zur Verfügung stehen. Die Vertraulichkeit Ihrer Meldung ist bei beiden kantonalen Meldewegen gewährleistet.
Wird der Meldepflicht nicht Folge geleistet, sieht das ISG ab dem 1. Oktober 2025 Bussen vor.
Bei Fragen zur Umsetzung der Meldepflicht wenden Sie sich bitte direkt an Stefan Frank, Cyberkoordinator des Kantons Luzern.
Kommunikation Justiz- und Sicherheitsdepartement
zum nächsten Artikel