Cyberangriffe gehören mittlerweile unabhängig von Branche oder Unternehmensgrösse zum Unternehmensalltag. Organisationen müssen daher nicht nur technische und organisatorische Massnahmen (TOM) gewährleisten (Art. 8 DSG), sondern auch im Ernstfall schnell und rechtskonform reagieren. Der folgende Beitrag zeigt die zentralen datenschutzrechtlichen Pflichten bei Cyberangriffen und skizziert wirksame Präventionsansätze.

Am 7. März 2025 hat der Bundesrat beschlossen, die Meldepflicht für Cyberangriffe auf Betreiberinnen und Betreiber kritischer Infrastrukturen per 1. April 2025 in Kraft zu setzen. Diese Massnahme dient der Stärkung der Cybersicherheit in der Schweiz und der Erhöhung der Resilienz essenzieller Dienste. Die Verordnung über die Cybersicherheit (CSV) enthält die erforderlichen Ausführungsbestimmungen und regelt insbesondere die Ausnahmen der Meldepflicht nach Art. 74c des Informationssicherheitsgesetzes (ISG).