Das BACS kann Informationen aus Meldungen an Behörden und Organisationen weiterleiten, die im Bereich der Cybersicherheit tätig sind. Diese Informationen dürfen nur dann Personendaten umfassen, wenn die betroffene Person einwilligt.
Ergeben sich aus der Meldung eines Cybervorfalls oder dessen Analyse Informationen, die für das frühzeitige Erkennen und Verhindern von Bedrohungen der inneren oder äusseren Sicherheit, für die Beurteilung der Bedrohungslage oder für die nachrichtendienstliche Frühwarnung zum Schutz kritischer Infrastrukturen nach Artikel 6 Absätze 1 Buchstabe a, 2 und 5 des Nachrichtendienstgesetzes vom 25. September 20151(NDG) erforderlich sind, so leitet das BACS diese Informationen an den NDB weiter.
Erhalten Mitarbeiterinnen und Mitarbeiter des BACS im Zusammenhang mit einer Meldung oder deren Analyse Hinweise auf eine mögliche Straftat, so zeigen sie diese abweichend von Artikel 22a Absatz 1 des Bundespersonalgesetzes vom 24. März 20002ausschliesslich der Leiterin oder dem Leiter des BACS an. Diese oder dieser kann Anzeige bei den Strafverfolgungsbehörden erstatten, sofern dies aufgrund der Schwere der möglichen Straftat geboten scheint.
Strafrechtlich geschützte Geheimnisse darf das BACS nur nach den Vorgaben von Artikel 320 des Strafgesetzbuches3weiterleiten.