Die neue Cybersicherheitsrichtlinie der EU betrifft auch Schweizer Unternehmen
Seit Oktober 2024 ist die NIS2-Richtlinie (Network and Information Security Directive 2) in der EU verbindlich. Sie ersetzt die bisherige NIS-Richtlinie und bringt deutlich strengere Anforderungen an Cybersicherheit, Risikomanagement und Meldepflichten mit sich. Auch wenn die Schweiz nicht Teil der EU ist, sollten sich Schweizer KMU dringend mit den neuen Regeln auseinandersetzen – denn sie sind indirekt betroffen.
Warum betrifft NIS2 Schweizer KMU?
Die Richtlinie gilt für Unternehmen in der EU, aber sie erfasst auch ausländische Unternehmen, die:
- Dienstleistungen oder Produkte in der EU anbieten
- Teil einer Lieferkette von EU-Organisationen
- als IT- oder Cloud-Dienstleister für EU-Kunden tätig sind
Beispiel: Ein Schweizer IT Service Provider, der Backup-Dienste für ein deutsches Unternehmen erbringt, muss NIS2-Standards erfüllen, auch ohne eigenen Sitz in der EU.
Was fordert NIS2 konkret?
NIS2 verpflichtet Unternehmen zu:
Systematischem Risikomanagement
- Identifikation, Bewertung und Dokumentation von Cyberrisiken
- Einführung technischer und organisatorischer Schutzmassnahmen
Meldepflichten bei Cybervorfällen
- Meldung erheblicher IT-Vorfälle innerhalb von 24 Stunden
- Abschliessender Bericht innerhalb von 72 Stunden
Governance und Verantwortlichkeiten
- Benennung einer verantwortlichen Person für Cybersicherheit
- Einbindung der Geschäftsleitung in Sicherheitsentscheidungen
Kontrollen und Sanktionen
- Die Nichteinhaltung kann zu hohen Geldbussen führen von bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes
- Behörden dürfen Audits und Sicherheitsüberprüfungen verlangen
Was müssen KMU in der Schweiz konkret tun?
Auch wenn viele Schweizer KMU nicht direkt unter NIS2 fallen, sollten sie sich vorbereiten, insbesondere, wenn sie mit EU-Kunden oder -Partnern arbeiten. Denn: Compliance wird zur Marktzugangsvoraussetzung.
Risikolandschaft verstehen
- Führen Sie eine interne Risikoanalyse durch: Wo sind Schwachstellen, welche IT-Systeme sind kritisch?
- Identifizieren Sie Schnittstellen zu EU-Unternehmen z. B. durch Kundenverträge, Lieferketten, Online-Services etc.
Sicherheitsmassnahmen implementieren
- Aktualisieren Sie Ihre Firewalls, Backup-Strategien und Zugangskontrollen
- Führen Sie Multi-Faktor-Authentifizierung (MFA) überall ein
- Nutzen Sie ein zentrales Vulnerability Management
IT-Notfallmanagement aufbauen
- Erstellen Sie einen Incident-Response-Plan (Reaktionsplan bei IT-Vorfällen)
- Schulen Sie Mitarbeitende im Erkennen und Melden von Angriffen
- Definieren Sie Eskalationswege und Kommunikationspläne
Dokumentation und Compliance
- Dokumentieren Sie Prozesse, Massnahmen, Risiken und Zuständigkeiten
- Nutzen Sie ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder ein angepasstes KMU-konformes Framework wie Cyber Seal für IT Service Provider
- Halten Sie die Anforderungen auch vertraglich mit Dienstleistern fest
Sicherheit als Service denken
Viele KMU haben nicht die Ressourcen, um ein eigenes Cybersicherheitsteam aufzubauen. In solchen Fällen lohnt sich die Zusammenarbeit mit Managed Security Service Providern (MSSP) oder spezialisierten IT-Partnern, die:
- Sicherheitsüberwachung übernehmen
- Schwachstellenanalysen durchführen
- bei der NIS2-konformen Dokumentation und Umsetzung unterstützen
Wohin müssen Sicherheitsvorfälle gemeldet werden?
In den meisten Fällen an das nationale Computer Security Incident Response Team (CSIRT), der jeweiligen EU-Länder, oder eine speziell benannte Aufsichtsbehörde.
Beispiele:
- Deutschland: Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Österreich: GovCERT bzw. Bundesministerium für Inneres
- Frankreich: Agence nationale de la sécurité des systèmes d'information (ANSSI)
- Italien: Agenzia per la Cybersicurezza Nazionale (ACN)
Proaktiv handeln statt überrascht werden
Die NIS2-Richtlinie ist mehr als ein „EU-Thema“ – sie wird die Anforderungen an digitale Sicherheit branchenübergreifend erhöhen. Schweizer KMU, die sich frühzeitig darauf einstellen, verbessern nicht nur ihre Resilienz gegen Cyberangriffe, sondern stärken auch ihr Vertrauen bei Kunden und Partnern in der EU.
Bei Backup ONE unterstützen wir Sie auf diesem Weg – mit sicheren Cloud- und Backup-Lösungen.
Testen Sie unsere Lösungen!
- Kostenlos und unverbindlich
- Voller Funktionsumfang
- 20 Tage testen
- Sofort einsatzbereit