Das Eidgenössische Finanzdepartement (EFD) muss bis Ende 2021 eine entsprechende Vernehmlassungsvorlage ausarbeiten. Darin soll geregelt werden, welche der kritischen Infrastrukturen wie Gesundheit, Wasserversorgung, Ernährung, Energie, Telekommunikation sowie Sicherheitstechnik welche Vorfälle genau und innert welcher Frist melden müssen. Der Bundesrat will eine zentrale Meldestelle schaffen.

Die Meldungen und die dabei erhobenen Daten sollen genutzt werden, um Frühwarnungen abzusetzen. Daten über die betroffenen Unternehmen sollen nicht weitergegeben werden.

Den Prüfauftrag zur Einführung einer Meldepflicht für Cybervorfälle hatte der Bundesrat vor zwei Jahren vom Nationalrat erhalten. Für eine Meldepflicht starkgemacht hat sich unter anderem der Delegierte des Bundes für Cybersicherheit, Florian Schütz. Die Meldepflicht ist umstritten. Firmen haben teils Angst vor einem Reputationsverlust, wenn sie einen Cybervorfall publik machen. Bereits heute gibt es eine Meldepflicht für bestimmte kritische Infrastrukturen.