Die EU-NIS2-Richtlinie kommt im Oktober 2024. Was bedeutet das für Schweizer Firmen mit EU-Geschäft? Dieser Guide erklärt Anforderungen, betroffene Sektoren und praktische Auswirkungen. Im Abschnitt "Was ist NIS2?" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

NIS2-Richtlinie: Betrifft sie Schweizer Unternehmen?

NIS2 gilt nicht direkt für Schweizer Unternehmen, betrifft sie aber indirekt über EU-Tochtergesellschaften, EU-Kunden und Lieferkettenanforderungen. Gemäss einer Einschätzung des Bundesamts für Cybersicherheit (BACS) sind schätzungsweise 3’000-5’000 Schweizer Unternehmen indirekt von NIS2 betroffen. Dieser Guide erklärt, was NIS2 bedeutet und welche praktischen Konsequenzen auf Schweizer Firmen zukommen.

Was ist NIS2?

NIS2 = Network and Information Security Directive 2, Nachfolger der NIS1-Richtlinie (2016). Ziel: Höheres Cybersecurity-Niveau in der EU, mehr Harmonisierung, mehr erfasste Unternehmen, härtere Strafen.

Kernelemente

Erweiterte Sektorabdeckung: 18 Sektoren (statt 7), darunter Energie, Transport, Bankwesen, Gesundheitswesen, Digitale Infrastruktur (Cloud, DNS), ICT Service Management, Chemie, Lebensmittel, Produktion kritischer Produkte.

Grössen-Schwellenwerte: Essenzielle und wichtige Einrichtungen ab >50 MA oder >EUR 10 Mio. Umsatz. Kleinstunternehmen (<10 MA) meist befreit.

Cybersecurity-Anforderungen: Risikomanagement, Business Continuity, Supply Chain Security, Schwachstellen-Management, Incident Response, MFA, Verschlüsselung, Security Awareness Training.

Meldepflichten: Erste Meldung innerhalb 24 Stunden, detailliert innerhalb 72 Stunden, Abschlussbericht innerhalb 1 Monat.

Sanktionen: Essenzielle Einrichtungen: bis EUR 10 Mio. oder 2% Umsatz. Wichtige Einrichtungen: bis EUR 7 Mio. oder 1.4% Umsatz. Management persönlich haftbar.

Betrifft NIS2 Schweizer Unternehmen?

Direkt: Nein (Schweiz ist kein EU-Mitglied). Indirekt: Ja, unter bestimmten Bedingungen.

Szenario 1: Tochtergesellschaften in der EU

EU-Einheit unterliegt NIS2 in erfasstem Sektor. Schweizer Muttergesellschaft muss unterstützen (oft geteilte IT-Systeme).

Szenario 2: Kritische Dienste in der EU

Cloud-Services, Managed Security Services, DNS-Services für EU-Kunden — Sie können als Dienstleister für essenzielle Einrichtungen gelten.

Szenario 3: Lieferant für NIS2-pflichtige Unternehmen

EU-Kunden verlangen: Cybersecurity-Nachweise, ISO 27001, vertragliche Security-Klauseln, Incident-Notification. Nicht direkt NIS2-pflichtig, aber kommerzieller Druck.

Szenario 4: Grenzüberschreitende Tätigkeiten

Transport, Energie in EU-Grenzregion, EU-Aktivitäten unterliegen lokaler Regulierung.

Checkliste: Sind Sie betroffen?

Niederlassung/Tochter in EU?
Kritische Dienste für EU-Kunden (Cloud, DNS, Managed Services)?
Lieferant für NIS2-pflichtige EU-Unternehmen?
Physische Operationen in EU?
In einem NIS2-Sektor tätig?
>50 MA oder >EUR 10 Mio. Umsatz?

Schweizer Position zu NIS2

Die Schweiz hat kein NIS2-Äquivalent, baut aber eigene Cybersecurity-Regulierung aus. Das Informationssicherheitsgesetz (ISG) und die Meldepflicht für kritische Infrastrukturen (seit 2024) gehen in eine ähnliche Richtung. Der Bundesrat prüft zudem eine Angleichung an internationale Standards.

Kurzfristig (2024-2026): Keine direkte Pflicht, aber EU-Aktivitäten betroffen. Mittelfristig (2026-2028): Schweizer Regulierung möglich, Angleichung wahrscheinlich. Langfristig: Internationale Cybersecurity-Standards werden Standard.

NIS2-Anforderungen im Detail

Compliance-Checkliste

Technische Massnahmen:

Firewall & Network Segmentation
Endpoint Protection (EDR)
Security Monitoring (SIEM/SOC)
Vulnerability Scanning & Patch Management
Backup & Recovery (getestet)
Verschlüsselung (at-Rest & in-Transit)
MFA für alle kritischen Systeme

Organisatorische Massnahmen:

Security Policies dokumentiert
Risk Assessment durchgeführt
Incident-Response-Plan vorhanden
Business Continuity Plan
Supply Chain Security-Prozess
Security Awareness Training
Management-Reporting (quartalsweise)

Praktische Auswirkungen

Compliance-Kosten

KMU (50-100 MA): CHF 100’000-200’000 (Setup) + CHF 50’000-100’000/Jahr Mittelständler (200-500 MA): CHF 200’000-400’000 (Setup) + CHF 150’000-300’000/Jahr

Wettbewerbsvorteil

NIS2-compliant = attraktiver für EU-Kunden, höheres Vertrauen, Premium-Pricing möglich.

Lieferantenauswahl

EU-Kunden prüfen Cybersecurity kritischer. Ohne Compliance: Risiko, EU-Ausschreibungen zu verlieren.

Cyberversicherung

NIS2-Compliance kann Prämien senken. Versicherer fragen zunehmend auch Schweizer Firmen danach.

Branchenspezifische Betrachtungen

Finanzsektor: Bereits stark reguliert (FINMA ≈ NIS2). Gap-Assessment empfohlen. Gesundheitswesen: Kantonal unterschiedlich. NIS2-ähnliche Standards auch ohne Pflicht empfohlen (Patientendaten). IT & Technologie: Hohes Risiko betroffen zu sein (viele EU-Kunden, Cloud = NIS2-Sektor). ISO 27001 + NIS2-Gap sofort starten. Transport & Logistik: Grenzüberschreitend betroffen. OT-Security nicht vergessen.

Umsetzungsempfehlungen

Phase 1: Klärung (1-2 Monate)

Betroffenheit klären, EU-Aktivitäten identifizieren, Gap-Assessment planen.

Phase 2: Planung (1-2 Monate)

Roadmap erstellen, Budget freigeben (CHF 100’000-300’000 für KMU), Quick Wins identifizieren.

Phase 3: Umsetzung (6-12 Monate)

Technische Massnahmen (MFA, Backups, SIEM), organisatorische Massnahmen (Policies, IR-Plan, Trainings), Testing und Dokumentation.

Phase 4: Betrieb (laufend)

24/7 Monitoring, quartalsweiser Risk Review, jährliche Audits, Continuous Improvement.

FAQ

Reicht ISO 27001? Gute Basis, aber NIS2 hat zusätzliche Anforderungen (Meldepflichten, Supply Chain Security).

Kann ich NIS2 outsourcen? Teilweise (Monitoring, IR, Vulnerability Management). Verantwortung, Meldepflichten und Governance bleiben bei Ihnen.

Wie lange dauert NIS2-Compliance? 6-12 Monate bei gutem Security-Level, 12-18 Monate von Null.

Einordnung

NIS2 betrifft mehr Schweizer Firmen als gedacht: nicht direkt, aber über EU-Aktivitäten, Lieferketten und Kundenanforderungen. Laut economiesuisse sollten Schweizer Exporteure die NIS2-Compliance als Investition in den EU-Marktzugang betrachten. Früh starten lohnt sich als Wettbewerbsvorteil. Auch ohne Pflicht: NIS2-Standards sind Best Practice und schützen vor Cyberangriffen. Um die geforderte Widerstandsfähigkeit gegenüber Cyberangriffen nachzuweisen, setzen betroffene Unternehmen zunehmend auf Red Team Assessments, die reale Angriffsszenarien simulieren und Schwachstellen in der gesamten Sicherheitskette aufdecken.

Transparenz-Hinweis: Alpine Excellence listet ausschliesslich geprüfte Anbieter. Wenn in diesem Artikel Seal-Inhaber oder Cybersecurity-Dienstleister erwähnt werden, dient dies der konkreten Illustration von Compliance-Anforderungen und Services, nicht der Werbung.