Geltungsbereich Cyber-Sicherheitsgesetz

Am 1. Februar 2025 trat das Cyber-Sicherheitsgesetz (CSG) mit der entsprechenden Cyber-Sicherheitsverordnung (CSV) in Kraft. Damit wurde die Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) in nationales Recht umgesetzt.

Mit dem CSG soll die Resilienz und Reaktionsfähigkeit öffentlicher und privater Einrichtungen in Bezug auf Cyber-Bedrohungen weiter verbessert werden. Ob eine Einrichtung - sei es eine natürliche oder juristische Person - in den Anwendungsbereich des CSG fällt, kann durch die Einrichtung selbst geprüft werden. Die entsprechenden Kriterien finden sich in Art. 1 CSG.

Die Stabsstelle Cyber-Sicherheit schlägt für die Beurteilung die Prüfung anhand folgender Kriterien vor:

Kriterium 1: Art der öffentlichen oder privaten Einrichtung / Sektor, in welchem Dienste erbracht werden

Handelt es sich um eine Einrichtung die im Anhang 1 oder 2 CSG aufgeführt ist?

[pdf] Download

Hier eine vereinfachte Übersicht der Sektoren mit hoher Kritikalität nach Anhang 1:

1. Sektor Energie

a. Elektrizität
Elektrizitätsunternehmen, die die Funktion «Versorgung» wahrnehmen, Verteilernetzbetreiber, Übertragungsnetzbetreiber, Erzeuger, nominierte Strommarktbetreiber, Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten sowie Betreiber von Ladepunkten, auch im Namen und Auftrag eines Mobilitätsdienstleisters;

b. Fernwärme und -kälte
Betreiber von Fernwärme oder Fernkälte;

c. Erdöl
Betreiber von Erdöl-Fernleitungen oder von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen als auch zentrale Bevorratungsstellen;

d. Erdgas
Erdgasunternehmen, Versorgungsunternehmen, Verteilernetzbetreiber, Fernleitungsnetzbetreiber, Betreiber einer Speicheranlage oder einer LNG-Anlage und Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas;

e. Wasserstoff
Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung;

2. Sektor Verkehr

a. Luftfahrt
Luftfahrtunternehmen, Flughafenleitungsorgane sowie Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen, die Flugverkehrskontrolldienste bereitstellen;

b. Schienenverkehr
Infrastrukturbetreiber und Eisenbahnunternehmen;

c. Schifffahrt
Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt, Leitungsorgane von Häfen sowie Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben und Betreiber von Schiffsverkehrsdiensten;

d. Strassenverkehr
Strassenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind und Betreiber intelligenter Verkehrssysteme;

3. Sektor Bankwesen

Kreditinstitute;

4. Sektor Finanzmarktinfrastrukturen

Betreiber von Handelsplätzen und zentrale Gegenparteien;

5. Sektor Gesundheitswesen

Gesundheitsdienstleister, EU-Referenzlaboratorien, Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben und Einrichtungen, die pharmazeutische Erzeugnisse herstellen sowie Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch («Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit») eingestuft werden;

6. Sektor Trinkwasser

Lieferanten von und Unternehmen der Versorgung mit «Wasser für den menschlichen Gebrauch»;

7. Sektor Abwasser

Unternehmen, die Abwasser sammeln, entsorgen oder behandeln;

8. Sektor Digitale Infrastruktur

Betreiber von Internet-Knoten, DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste;

9. Sektor Verwaltung von IKT-Diensten (Business-to-Business)

Anbieter verwalteter Dienste oder Anbieter verwalteter Sicherheitsdienste;

10. Sektor öffentliche Verwaltung

Einrichtungen der öffentlichen Verwaltung des Landes;

11. Sektor Weltraum

Betreiber von Bodeninfrastrukturen, die sich im Eigentum des Fürstentums Liechtenstein oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze;

Hier eine vereinfachte Übersicht über sonstige kritische Sektoren nach Anhang 2

1. Sektor Post- und Kurierdienste

Anbieter von Postdiensten, einschliesslich Anbieter von Kurierdiensten;

2. Sektor Abfallbewirtschaftung

Unternehmen der Abfallbewirtschaftung;

3. Sektor Produktion, Herstellung und Handel mit chemischen Stoffen

Unternehmen nach Art. 3 Ziff. 9 und 14 der Verordnung (EG) Nr. 1907/2006, die Stoffe herstellen und mit Stoffen oder Gemischen handeln, und Unternehmen, die Erzeugnisse nach Art. 3 Ziff. 3 der genannten Verordnung aus Stoffen oder Gemischen produzieren;

4. Sektor Produktion, Verarbeitung und Vertrieb von Lebensmitteln

Lebensmittelunternehmen, die im Grosshandel sowie in der industriellen Produktion und Verarbeitung tätig sind;

5. Sektor Verarbeitendes Gewerbe/Herstellung von Waren

a. Herstellung von Medizinprodukten und In-vitro-Diagnostika

b. Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
Beispielsweise die Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, von elektronischen Bauelementen und Leiterplatten, von bestückten Leiterplatten, von Datenverarbeitungsgeräten und peripheren Geräten oder von Geräten und Einrichtungen der Telekommunikationstechnik;

c. Herstellung von elektrischen Ausrüstungen
Beispielsweise die Herstellung von Elektromotoren, Generatoren, Transformatoren, von Elektrizitätsverteilungs- und -schalteinrichtungen, von Batterien und Akkumulatoren, von Kabeln und elektrischem Installationsmaterial, von Glasfaserkabeln, von sonstigen elektronischen und elektrischen Drähten und Kabeln, von elektrischen Lampen und Leuchten sowie von elektrischen und nichtelektrischen Haushaltsgeräten;

d. Maschinenbau
Beispielsweise die Herstellung von nicht wirtschaftszweigspezifischen Maschinen, von Verbrennungsmotoren und Turbinen (ohne Motoren für Luft- und Strassenfahrzeuge), von hydraulischen und pneumatischen Komponenten und Systemen, von Pumpen und Kompressoren, von Armaturen, von Lagern, Getrieben, Zahnrädern und Antriebselementen, von Öfen und Brennern, von Hebezeugen und Fördermitteln, von Büromaschinen (ohne Datenverarbeitungsgeräte und periphere Geräte), von handgeführten Werkzeugen mit Motorantrieb, von kälte- und lufttechnischen Erzeugnissen (nicht für den Haushalt), von land- und forstwirtschaftlichen Maschinen, von Werkzeugmaschinen für die Metallbearbeitung, von Maschinen für die Metallerzeugung, von Walzwerkseinrichtungen und Giessmaschinen, von Bergwerks-, Bau- und Baustoffmaschinen, von Maschinen für die Nahrungs- und Genussmittelerzeugung und die Tabakverarbeitung, von Maschinen für die Textil- und Bekleidungsherstellung und die Lederverarbeitung, von Maschinen für die Papiererzeugung und -verarbeitung sowie die Herstellung von Maschinen für die Verarbeitung von Kunststoffen und Kautschuk;

e. Herstellung von Kraftwagen und Kraftwagenteilen
Beispielsweise die Herstellung von Kraftwagen und Kraftwagenmotoren, von Karosserien, Aufbauten und Anhängern, von Teilen und Zubehör für Kraftwagen sowie die Herstellung elektrischer und elektronischer Ausrüstungsgegenstände für Kraftwagen und sonstigen Teilen und sonstigem Zubehör für Kraftwagen;

f. sonstiger Fahrzeugbau
Sonstiger Fahrzeugbau, Schiffsbau, Boots- und Yachtbau, Schienenfahrzeugbau, Luft- und Raumfahrzeugbau, Herstellung von militärischen Kampffahrzeugen, von Krafträdern, von Fahrrädern sowie von Behindertenfahrzeugen sowie die Herstellung von sonstigen Fahrzeugen;

6. Sektor Anbieter digitaler Dienste

Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke;

7. Sektor Forschung

Forschungseinrichtungen;

Kriterium 2: Grösse der öffentlichen oder privaten Einrichtung

Das Cyber-Sicherheitsgesetz gilt insbesondere für Einrichtungen, die nach Art. 1064 Abs. 2 oder 3 des Personen- und Gesellschaftsrechts (PGR) als mittelgrosse oder grosse Gesellschaften gelten.

Mittelgrosse Gesellschaften sind unter anderem solche, die zwei der folgenden Merkmale erfüllen.

Bilanzsumme zwischen 9.2 und 32.4 Millionen Schweizer Franken;
Nettoumsatzerlöse im dem Bilanzstichtag vorangehenden Geschäftsjahr zwischen 18.5 und 64.8 Millionen Schweizer Franken;
Beschäftigung von im Durchschnitt des Geschäftsjahres zwischen 50 und 250 Arbeitnehmerinnen und Arbeitnehmer;

Grosse Gesellschaften sind solche, die mindestens zwei der zuvor genannten Merkmale überschreiten.

In Art. 1064 Abs. 1 bis 4 PGR finden sich weitere Ausführungen zu den Grössenklassen.

Wenn beide Kriterien zutreffen fällt die Einrichtung in den Anwendungsbereich des CSG.

Weitere Fälle - Anwendbarkeit CSG

Kriterium 1 trifft zu, Anwendbarkeit CSG unabhängig Kriterium 2

Unabhängig der Grösse gilt das CSG gemäss Art. 1 Abs. 2 für bestimmte Einrichtungen, sofern Kriterium 1 zutrifft sowie zumindest eine der folgenden Bedingungen erfüllt ist.

Es werden Dienste im Sektor «Digitale Infrastruktur» erbracht von (Art. 1 Abs. 2 Bst. a Ziff. 1 CSG):

Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;
Vertrauensdiensteanbietern;
Namenregistern der Domäne der ersten Ebene (TLD-Namenregistern) und DNS-Diensteanbietern.

Es handelt sich bei der Einrichtung um den einzigen Anbieter in einem kritischen Sektor und diese Einrichtung erbringt einen Dienst, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist (Art. 1 Abs. 2 Bst. a Ziff. 2 CSG).

Eine Störung des von der Einrichtung erbrachten Dienstes

sich wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte (Art. 1 Abs. 2 Bst. a Ziff. 3 CSG).
zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzübergreifende Auswirkungen haben könnte (Art. 1 Abs. 2 Bst. a Ziff. 4 CSG).

Die Einrichtung aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor, die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren hat, kritisch ist (Art. 1 Abs. 2 Bst. a Ziff. 5 CSG).

Die Einrichtung eine Einrichtung der öffentlichen Verwaltung des Landes ist (Art. 1 Abs. 2 Bst. a Ziff. 6 CSG).

Anwendbarkeit CSG unabhängig Kriterium 1 UND 2

Das CSG gilt für Einrichtungen, unabhängig der Art und ob sie in einem kritischen Sektor tätig sind (Kriterium 1) oder die Grössenschwellwerte erfüllen (Kriterium 2):

Die Einrichtung wurde gemäss Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft (Art. 1 Abs. 2 Bst. b Ziff. 1 CSG). Die Richtlinie (EU) 2022/2557 wurde bis zum aktuellen Zeitpunkt (März 2025) noch nicht in den EWR übernommen; siehe EEA-Lex.
Die Einrichtung erbringt einen Domänennamen-Registrierungsdienst (Art. 1 Abs. 2 Bst. b Ziff. 2 CSG).
Dies sind Einrichtungen die gemäss Art. 3 Abs. 1 Ziff. 22 CSG Registrare sind oder eine Stelle, die im Namen von Registraren tätig ist. Eine Liste der Registrare und Anbieter, die Domain-Namen mit der Endung .li registrieren können, findet sich auf der Internetseite von NIC Liechtenstein.
Einrichtungen, die zum Zeitpunkt des 1. Februar 2025 als Betreiber wesentlicher Dienste nach dem CSG vom 4. Mai 2023 (LGBl-Nr.: 2023.269) eingestuft waren, gelten als wesentliche Einrichtung (Art. 16 CSV).

Einrichtungen im Anwendungsbereich des CSG können nach Art. 3 Abs. 2 CSG in wesentliche oder wichtige Einrichtungen eingeteilt werden. Sowohl für wesentliche als auch wichtige Einrichtungen besteht gemäss Art. 7 CSG eine Registrierungspflicht.

Für die Registrierung verwenden die Einrichtungen das Formular Registrierung als wesentliche oder wichtige Einrichtung.