NIS2 in der Schweiz: Was gilt ab 2025 und wer muss jetzt handeln?
Die EU-NIS2-Richtlinie wirkt auch in der Schweiz. Obwohl die Schweiz nicht EU-Mitglied ist, müssen schweizerische Unternehmen, die in der EU tätig sind, oder schweizerische KRITIS-Betreiber massive Änderungen umsetzen. Dieser Artikel erklärt die genauen Anforderungen, Fristen und was Sie jetzt tun müssen.
Was ist NIS2 überhaupt?
NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie für Cybersicherheit, die im Januar 2023 verabschiedet wurde. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen massiv. NIS2 gilt für alle EU-Mitgliedstaaten und deren Unternehmen, hat aber indirekt auch Auswirkungen auf die Schweiz.
Wichtig: NIS2 ist eine EU-Richtlinie, aber schweizerische Unternehmen mit EU-Niederlassungen oder schweizerische Betreiber kritischer Infrastrukturen (KRITIS) sind direkt oder indirekt betroffen.
Wer ist in der Schweiz von NIS2 betroffen?
Die Betroffenheit lässt sich in drei Kategorien einteilen:
1. Direkt betroffen: KRITIS-Betreiber in der Schweiz
Die Schweiz hat mit der KRITIS-Verordnung (Verordnung über die Meldung von Störungen informationstechnischer Systeme) bereits einen nationalen Rahmen geschaffen. Betreiber kritischer Infrastrukturen müssen seit 2021 Sicherheitsmassnahmen umsetzen und Störungsmeldungen an das National Cyber Security Centre (NCSC) senden. Diese Verordnung wird inhaltlich an NIS2 angeglichen werden.
2. Indirekt betroffen: Schweizer Unternehmen mit EU-Geschäft
Schweizer Unternehmen, die:
- Tochtergesellschaften in der EU haben
- Dienstleistungen für EU-Kunden erbringen (z.B. Cloud, IT-Support)
- In Lieferketten kritischer Infrastruktur in der EU eingebunden sind
Diese Unternehmen müssen sich an die NIS2-Anforderungen der jeweiligen EU-Staaten halten, in denen sie aktiv sind.
3. Branchen, die in der Schweiz ebenfalls reguliert werden
Die Schweizerische Eidgenossenschaft arbeitet an der Überarbeitung des bestehenden KRITIS-Rahmens. Erwartet werden verschärfte Meldeverpflichtungen, strengere Sicherheitsanforderungen und möglicherweise die Einführung einer Pflicht zur Durchführung von Sicherheitsaudits — vergleichbar mit Artikel 21 NIS2.
NIS2 Anforderungen im Detail
Artikel 21 NIS2 verpflichtet betroffene Einrichtungen zu folgenden Massnahmen:
| Massnahme |
Beschreibung |
Praktische Umsetzung |
| Risikoanalyse & Security-Management |
Systematische Erfassung und Bewertung von Risiken |
ISO 27001-konformes ISMS, Gap-Analyse, Risikomatrix |
| Incident-Response-Management |
Vorbereitung auf und Reaktion auf Sicherheitsvorfälle |
Incident-Response-Plan, Playbooks, Übungen (Tabletops) |
| Business Continuity & Backup |
Wiederherstellung nach Angriffen und Ausfällen |
Backup-Strategie (3-2-1), Disaster-Recovery-Plan |
| Supply-Chain-Sicherheit |
Sicherheitsanforderungen an Lieferanten und Partner |
Security-Clauses in Verträgen, Lieferanten-Audits |
| Sicherheitskonzept Netzwerke & Systeme |
Technische Schutzmassnahmen für IT-Infrastruktur |
Netzwerksegmentierung, Zugangskontrollen, Logging |
| Zugangskontrolle & Krypto |
Identitäts- und Zugriffsmanagement |
Multi-Faktor-Authentifizierung, Rollenkonzept, Verschlüsselung |
| Schulung & Awareness |
Mitarbeitende sensibilisieren und schulen |
Phishing-Simulationen, Security-Awareness-Trainings |
| Meldeverpflichtungen |
Störungsmeldungen an Behörden innerhalb von 24h (kritisch) bzw. 72h (nicht kritisch) |
Meldeprozess definieren, Kontakte beim NCSC hinterlegen |
Was ändert sich konkret für Schweizer Unternehmen?
Aktuelle Situation (2025)
Per Mai 2025 gilt:
- KRITIS-Betreiber müssen weiterhin Störungen melden (Bestand seit 2021)
- Es gibt noch keine schweizerische NIS2-Umsetzung im vollen Umfang
- Die Bundesverwaltung arbeitet an einer Anpassung des KRITIS-Rahmens
- Swissmedic und die FINMA haben branchenspezifische Anforderungen (z.B. VAIT)
Erwartete Änderungen (2025–2027)
- Ausweitung der KRITIS-Definition: Mehr Branchen werden als kritisch eingestuft (z.B. Spitäler, Transport, digitale Infrastruktur)
- Strengere Sicherheitsanforderungen: ISO 27001 oder ähnliche Standards werden de facto Pflicht
- Audit-Pflicht: Regelmässige unabhängige Prüfungen werden vorgeschrieben
- Strafen: Ordnungsbussen bei Nichteinhaltung werden verschärft
Achtung: Die Schweizerische Regierung arbeitet an der Überarbeitung. Wer heute ISO 27001 und ein funktionierendes ISMS umsetzt, ist für die kommenden Änderungen bestens vorbereitet — und spart später Zeit und Geld.
NIS2 vs. KRITIS vs. DSGVO — der Überblick
| Regelung |
Geltungsbereich |
Kernanforderung |
Meldefrist |
| EU NIS2 |
EU-weit, auch ausländische Tochterfirmen |
10 Mindestmassnahmen, Art. 21 |
24h (kritisch), 72h (sonst) |
| Schweiz KRITIS |
Kritische Infrastruktur in der Schweiz |
Meldeverpflichtung, Security-Management |
„Unverzüglich“ |
| DSGVO / nDSG |
Personenbezogene Daten (EU + CH) |
Datenschutz durch Technik und Organisation |
72h (DSGVO), keine Frist (nDSG) |
| FINMA VAIT |
Finanzinstitute in der Schweiz |
Technische und organisatorische Schutzmassnahmen |
Interne Meldeprozesse |
Praktische Umsetzung: Ihr NIS2-Roadmap
Hier ist eine konkrete Schritt-für-Schritt-Anleitung für schweizerische Unternehmen:
Phase 1: Status-Quo-Analyse (Monat 1–2)
- Prüfen, ob Sie KRITIS-Betreiber sind oder NIS2-relevantes EU-Geschäft haben
- Bestehende Security-Massnahmen inventarisieren (Firewall, Endpoint, IAM)
- Gap-Analyse gegen NIS2 Art. 21 oder ISO 27001 durchführen
- Lieferanten und kritische Dienstleister identifizieren
Phase 2: Grundschutz aufbauen (Monat 3–6)
- Multi-Faktor-Authentifizierung für alle kritischen Zugänge einführen
- Incident-Response-Plan erstellen und mit dem Team üben
- Backup-Strategie (3-2-1-Regel) implementieren und testen
- Netzwerksegmentierung prüfen und verbessern
- Security-Awareness-Training für alle Mitarbeitenden starten
Phase 3: Zertifizierung und Audit (Monat 7–12)
- ISMS nach ISO 27001 aufbauen oder bestehendes erweitern
- Internes Audit durchführen (oder extern beauftragen)
- Verträge mit Lieferanten um Security-Clauses erweitern
- Regelmässige Vulnerability Scans und Penetrationstests planen
Phase 4: Kontinuierliche Verbesserung (ab Monat 12)
- Jährliche Management-Reviews des ISMS
- Halbjährliche Penetrationstests kritischer Systeme
- Ständige Aktualisierung der Bedrohungslage (Threat Intelligence)
- Anpassung an neue regulatorische Anforderungen (z.B. EU AI Act)
Was kostet die NIS2-Umsetzung?
| Leistung |
Kosten (CHF) |
Hinweis |
| NIS2-Relevanz-Check |
0 – 500 |
Oft im Erstgespräch enthalten |
| Gap-Analyse / Status-Quo |
2'000 – 5'000 |
Dokumentiert Lücken gegen NIS2/ISO 27001 |
| ISO 27001 ISMS-Aufbau |
5'000 – 15'000 |
Je nach Unternehmensgrösse |
| Internes ISMS-Audit |
1'400 – 3'200 |
Vorbereitung auf externes Audit |
| Penetrationstest (Netzwerk/Web) |
3'000 – 8'000 |
Technische Prüfung der Infrastruktur |
| Incident-Response-Plan |
2'000 – 5'000 |
Erstellung und erste Übung |
Die Investitionen sind hoch, aber die Kosten eines erfolgreichen Cyberangriffs (Ransomware, Datendiebstahl, Betriebsunterbrechung) liegen für Schweizer KMU oft bei 500'000 – 2 Mio. CHF — inklusive Wiederherstellung, Reputationsverlust und möglicher Bussen.
Häufige Fragen (FAQ)
Gilt NIS2 direkt in der Schweiz?
Nicht direkt, da die Schweiz kein EU-Mitglied ist. Aber: Schweizer Unternehmen mit EU-Tochterfirmen oder Lieferantenbeziehungen zu EU-KRITIS-Betreibern sind indirekt betroffen. Zudem wird die Schweiz den KRITIS-Rahmen an NIS2 anpassen.
Wann müssen Schweizer Unternehmen handeln?
Jetzt. Die EU hat NIS2 bis Oktober 2024 umgesetzt. Die Schweizer Anpassungen werden 2025–2027 kommen. Wer heute ISO 27001 und ein ISMS umsetzt, ist vorbereitet und vermeidet Stress bei der Umstellung.
Was passiert bei Nichteinhaltung?
In der EU: Strafen von bis zu 10 Mio. EUR oder 2% des Jahresumsatzes. In der Schweiz: Die KRITIS-Verordnung sieht Ordnungsbussen vor. Zudem drohen zivilrechtliche Schadenersatzforderungen und Reputationsverluste.
Ist ISO 27001 Pflicht unter NIS2?
Nicht explizit, aber de facto. NIS2 Art. 21 fordert ein Risikomanagement und Security-Management, das ISO 27001 nahezu deckungsgleich abbildet. Ein ISO 27001-Zertifikat ist daher der beste Nachweis der Konformität.
Brauchen auch KMU ein ISMS?
Wenn sie als KRITIS-Betreiber eingestuft werden oder in kritischen Lieferketten tätig sind: ja. Auch kleinere Unternehmen in der Energie-, Transport- oder Gesundheitsbranche können betroffen sein. Eine Relevanzprüfung ist der erste Schritt.
Weiterführende Links
NIS2-Relevanz prüfen lassen
In einem kostenlosen Erstgespräch prüfe ich, ob Ihr Unternehmen von NIS2 oder KRITIS betroffen ist — und welche nächsten Schritte sinnvoll sind.
Kostenlosen NIS2-Check vereinbaren
