NIS2: Warum Schweizer KMU jetzt handeln sollten – trotz fehlender EU‑Mitgliedschaft

Ein Satz, der in vielen Schweizer IT‑Abteilungen inzwischen für Herzrasen sorgt: „Bitte bestätigen Sie uns Ihre NIS2‑Konformität.“ Diese Anforderung kommt nicht von Brüssel – sie kommt aus der Lieferkette: von EU‑Kunden, Tochtergesellschaften oder europäischen Partnern. Und sie wird in Ausschreibungen und Verträgen zum Standard. Kurz: Auch ohne EU‑Mitgliedschaft betrifft NIS2 Schweizer Firmen – direkt über Niederlassungen in der EU, indirekt über die Supply Chain.

NIS2 in Kürze: Governance, Melden, Konsequenzen

NIS2 verschärft Cyber‑Pflichten quer über viele Branchen – von Energie bis Cloud‑Services. Zentral sind drei Punkte:

1. Verantwortung der Geschäftsleitung: Managementgremien müssen Cyber‑Risikomanagement genehmigen, überwachen – und können bei Verstössen haftbar gemacht werden. Zudem sind Schulungen für die Leitung verpflichtend.
2. Meldepflichten bei Sicherheitsvorfällen: Im EU‑Kontext gilt ein gestuftes Verfahren mit Frühwarnung binnen 24 Stunden, formaler Meldung binnen 72 Stunden und Abschlussbericht binnen eines Monats. Das ist nicht nur Formalie, sondern verändert Incident‑Response‑Prozesse spürbar.
3. Bussgeldrahmen: Für besonders wichtige Einrichtungen (bwE/„essential entities“) sieht NIS2 Maximalbussen von mindestens 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor; für wichtige Einrichtungen mindestens 7 Mio. € oder 1,4 % – je nachdem, was höher ist.

„Wir sind doch in der Schweiz“

1. Lieferkettenpflichten: NIS2 verlangt ausdrücklich, dass betroffene EU‑Unternehmen die Sicherheit ihrer Lieferkette adressieren. Das heisst: Schweizer Dienstleister und Zulieferer werden auf NIS2‑Niveau geprüft und vertraglich verpflichtet – inklusive Mindestmassnahmen, Audit‑Rechten und Nachweisen.
2. EU‑Niederlassungen & Tochterfirmen: Schweizer Gruppen mit europäischen Töchtern oder Betriebsstätten fallen – je nach Sektor und Grösse – direkt unter NIS2. Die Anforderungen „schwappen“ anschliessend als Konzernvorgaben in die Schweiz zurück.
3. Ausschreibungen & Kundenanforderungen: Immer mehr RfPs verlangen NIS2‑konforme Controls (z. B. Identitäts‑ & Zugriffsmanagement, Vulnerability‑Handling, Backup‑&‑Recovery‑Tests). Wer hier nicht liefert, verliert Projekte – ganz ohne EU‑Rechtszwang.

Schweizer Rechtslage: Kein Vakuum – das BACS meldet mit

Auch in der Schweiz zieht die Regulierung an: Das Informationssicherheitsgesetz (ISG) ist seit 1. Januar 2024 in Kraft. Seit 1. April 2025 gilt zudem für Betreiber kritischer Infrastrukturen eine Meldepflicht binnen 24 Stunden an das Bundesamt für Cybersicherheit (BACS/NCSC). Geldbussen greifen gestaffelt; die Sanktionsgrundlagen treten erst am 1. Oktober 2025 in Kraft, um den Betroffenen Zeit zur Anpassung zu geben. Für viele KMU ist das (noch) keine direkte Pflicht – aber ein deutliches Signal, wohin die Reise geht.

Fazit dieses Abschnitts: NIS2 ist kein „EU‑Thema da drüben“. Es wird zum Marktstandard – und die Schweiz orientiert sich parallel mit eigenen Pflichten.

Was NIS2 konkret verlangt – und wie Sie das pragmatisch umsetzen

Die Muss‑Massnahmen von NIS2 (Art. 20/21) lassen sich gut in sechs Arbeitsstränge für KMU übersetzen:

1. Governance & Verantwortlichkeiten
   • Managementbeschluss zu Cyber‑Zielen und Risikotoleranz
   • Klare Verantwortlichkeiten (CISO/Rollenmodell), regelmässige Schulung der Geschäftsleitung
   • Reporting an die GL (KPIs/KRIs), jährliche Wirksamkeitsprüfung
2. Risikomanagement & Schutzmassnahmen
   • Asset‑Inventar, Risikoanalyse, Netzsegmentierung
   • Identity & Access Management (MFA, Least Privilege, Rezertifizierung)
   • Patch‑ und Vulnerability‑Management, Härtung kritischer Systeme
     (Die Lieferkette ist explizit Teil der Pflichten.)
3. Lieferketten‑Sicherheit operativ machen
   • Lieferantenklassifizierung (kritisch/nicht kritisch)
   • Mindest‑Controls in Verträge: MFA, Verschlüsselung, Schwachstellen‑Management, Backup‑Standards
   • Security‑Questionnaires und Audit‑/Nachweisrechte verankern
4. Detektion & Incident‑Response
   • 24/7‑Erkennbarkeit relevanter Vorfälle, Runbooks
   • EU‑Melderegel: 24 h/72 h/1 Monat in Prozesse übersetzen
   • Für kritische Infrastrukturen in der Schweiz: BACS‑Meldung binnen 24 h einplanen
5. Business Continuity & Backup‑Resilienz
   • Notfallhandbuch, Wiederanlaufpläne, regelmässige Übungen
   • 3‑2‑1‑1‑0‑Prinzip, immutable/offline Kopien, getestete RTO/RPO
   • Dokumentation von Restore‑Tests als Nachweis gegenüber Kunden/Auditoren
6. Bewusstsein & Kultur
   • Rollenspezifische Trainings (IT, Einkauf, Fachbereich, GL)
   • Phishing‑Simulationen, sichere Software‑Beschaffung
   • Kontinuierliche Verbesserung (Lessons Learned)

Ein 90‑Tage‑Plan für Schweizer KMU

Tage 1–30: Transparenz schaffen

• Exposure‑Map: EU‑Kunden, ‑Partner, ‑Tochterfirmen identifizieren; RfPs und Verträge auf NIS2‑Klauseln prüfen.
• Gap‑Analyse: IST‑Stand gegen NIS2‑Kernanforderungen (Art. 20/21) spiegeln; Quick‑Wins markieren.
• GL‑Beschluss & Sponsoring: Verantwortlichkeiten festlegen, Budget sichern.

Tage 31–60: Kernkontrollen etablieren

• IAM‑Härtung: MFA flächendeckend, Admin‑Konten mit Just‑in‑Time‑Privilegien, Rezertifizierung.
• Vulnerability‑Prozess: Scans, Priorisierung (KEV/CVSS), SLAs fürs Patchen.
• Backup‑Resilienz: Immutable/offline Backups, skalierbare Offsite‑Strategie, Restore‑Tests dokumentieren.

Tage 61–90: Prozesse scharf schalten

• Incident‑Runbooks: EU‑Meldekaskade (24/72/30 Tage) und – falls relevant – BACS‑Prozess verankern; Eskalationswege testen.
• Lieferkette: Security‑Anhänge und Fragebögen versenden, Nachweisführung starten (z. B. ISO 27001‑Zert, Pentest‑Reports).
• Awareness: GL‑Training gemäss NIS2, gezielte Schulungen für Einkauf/IT.

Checkliste für die Geschäftsleitung

• Sind Rollen, Budgets und Ziele für Cyber klar beschlossen – und protokolliert? (NIS2 verlangt GL‑Verantwortung.)
• Können wir binnen 24 h eine belastbare Erstmeldung liefern? (EU‑Kunden; ggf. BACS für kritische Infrastrukturen in CH.)
• Ist unsere Lieferkette klassifiziert und vertraglich auf Mindest‑Controls verpflichtet?
• Sind Backups manipulationssicher und Restore‑Tests dokumentiert?
• Liegen Nachweise vor (Policies, Trainings, Reports), die ein Auditor sehen möchte?

Häufiger Denkfehler: „Wir warten die EU‑Umsetzung ab“

In mehreren EU‑Ländern zog sich die nationale Umsetzung bis 2025 – doch Marktanforderungen und Konzernvorgaben galten schon vorher. Wer wartet, riskiert Auftragsverluste oder harsche Vertragsauflagen in letzter Minute.

Fazit

NIS2 ist kein Fremdkörper für die Schweiz, sondern geschäftliche Realität: EU‑Kunden verlangen NIS2‑fähige Prozesse, Konzerne rollen Vorgaben aus – und die Schweiz zieht mit eigener Meldepflicht nach. Für KMU heisst das: Jetzt Governance klären, Kernkontrollen festziehen, Incident‑Meldewege proben und die Lieferkette absichern. Wer heute sauber vorbereitet, punktet morgen in Ausschreibungen – und steht im Ernstfall schneller wieder. Genau das ist der eigentliche Nutzen von NIS2: Resilienz, die sich rechnet.