Hochschulen nach Artikel 2 Absatz 2 des Hochschulförderungs- und -koordinationsgesetzes vom 30. September 20111;
Bundes-, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen, mit Ausnahme der Gruppe Verteidigung, wenn die Armee Assistenzdienst nach Artikel 67 oder Aktivdienst nach Artikel 76 des Militärgesetzes vom 3. Februar 19952leistet;
Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung;
Unternehmen, die in den Bereichen Energieversorgung nach Artikel 6 Absatz 1 des Energiegesetzes vom 30. September 20163, Energiehandel, Energiemessung oder Energiesteuerung tätig sind, mit Ausnahme der Bewilligungsinhaber gemäss Kernenergiegesetz vom 21. März 20034, sofern ein Cyberangriff auf eine Kernanlage erfolgt;
Unternehmen, die dem Bankengesetz vom 8. November 19345, dem Versicherungsaufsichtsgesetz vom 17. Dezember 20046oder dem Finanzmarktinfrastrukturgesetz vom 19. Juni 20157unterstehen;
Gesundheitseinrichtungen, die auf der kantonalen Spitalliste nach Artikel 39 Absatz 1 Buchstabe e des Bundesgesetzes vom 18. März 19948über die Krankenversicherung aufgeführt sind;
medizinische Laboratorien mit einer Bewilligung nach Artikel 16 Absatz 1 des Epidemiengesetzes vom 28. September 20129;
Unternehmen, die für die Herstellung, das Inverkehrbringen und die Einfuhr von Arzneimitteln eine Bewilligung nach dem Heilmittelgesetz vom 15. Dezember 200010haben;
Organisationen, die Leistungen zur Absicherung gegen die Folgen von Krankheit, Unfall, Arbeits- und Erwerbsunfähigkeit, Alter, Invalidität und Hilflosigkeit erbringen;
die Schweizerische Radio- und Fernsehgesellschaft;
Nachrichtenagenturen von nationaler Bedeutung;
Anbieterinnen von Postdiensten, die nach Artikel 4 Absatz 1 des Postgesetzes vom 17. Dezember 201011bei der Postkommission registriert sind;
Eisenbahnunternehmen nach Artikel 5 oder 8c des Eisenbahngesetzes vom 20. Dezember 195712sowie Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen mit einer Konzession nach Artikel 6 des Personenbeförderungsgesetzes vom 20. März 200913;
Unternehmen der Zivilluftfahrt, die über eine Bewilligung des Bundesamtes für Zivilluftfahrt verfügen, sowie die Landesflughäfen gemäss Sachplan Infrastruktur der Luftfahrt;
Unternehmen, die nach dem Seeschifffahrtsgesetz vom 23. September 195314Güter auf dem Rhein befördern, sowie Unternehmen, welche die Registrierung, Ladung oder Löschung im Hafen Basel betreiben;
Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde;
Anbieterinnen von Fernmeldediensten, die beim Bundesamt für Kommunikation nach Artikel 4 Absatz 1 FMG15registriert sind;
Registerbetreiberinnen und Registrare von Internet-Domains nach Artikel 28b FMG;
Anbieterinnen und Betreiberinnen von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen;
Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben;
Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Hard- oder Software einen Fernwartungszugang hat oder zu einem der folgenden Zwecken eingesetzt wird:
1. Steuerung und Überwachung von betriebstechnischen Systemen und Prozessen,
2. Gewährleistung der öffentlichen Sicherheit.
Bei Behörden und Organisationen, die auch Tätigkeiten ausüben, die nicht unter Absatz 1 fallen, besteht keine Meldepflicht für Cyberangriffe, die sich ausschliesslich auf diese Tätigkeiten auswirken.
Die Meldepflicht nach Absatz 1 gilt für Cyberangriffe, die sich in der Schweiz auswirken, auch wenn sich die betroffenen Informatikmittel im Ausland befinden.