Was ist der EU Cyber Solidarity Act und gilt er für die Schweiz?

Der Cyber Solidarity Act (CSA) ist die Verordnung (EU) 2025/38, in Kraft seit 4. Februar 2025. Er schafft drei Säulen: (1) das European Cybersecurity Alert System – ein Netzwerk aus nationalen und grenzüberschreitenden Cyber Hubs (SOCs) für gemeinsame Bedrohungserkennung, (2) den Cybersecurity Emergency Mechanism mit der EU Cybersecurity Reserve – ein Pool aus vorvertraglich gebundenen, vertrauenswürdigen Incident-Response-Dienstleistern, die EU-Mitgliedstaaten und Drittstaaten bei grossen Vorfällen unterstützen, und (3) den Cybersecurity Incident Review Mechanism zur Aufarbeitung von Vorfällen. Für die Schweiz ist der CSA als EU-Verordnung nicht direkt anwendbar. Aber: er verändert den europäischen Markt für Incident Response, schafft neue Trusted-Provider-Listen, und CH-KMU als Lieferanten von EU-Kunden sind indirekt betroffen.

Was ist der Unterschied zwischen CSA, NIS2, CRA und DORA?

Vier Regelwerke mit klar unterschiedlichen Stossrichtungen: (1) NIS2 (Richtlinie 2022/2555) – Pflichten für Betreiber wesentlicher und wichtiger Dienste (Energie, Gesundheit, digitale Infrastruktur). Was muss ein Unternehmen tun? (2) CRA (Verordnung 2024/2847, Cyber Resilience Act) – Produktanforderungen für Hard- und Software mit digitalen Elementen. Was muss ein Produkt können? (3) DORA (Verordnung 2022/2554) – Operative Resilienz im Finanzsektor. Wie müssen Banken/Versicherer IT-Risiken managen? (4) CSA (Verordnung 2025/38) – EU-weite Solidarität bei grossen Cybervorfällen. Wie hilft die EU im Krisenfall? Der CSA überlagert die anderen, ist aber Infrastruktur und nicht Pflicht für einzelne Unternehmen. ENISA koordiniert mehrere dieser Mechanismen.

Wie wirkt sich der CSA auf Schweizer KMU konkret aus?

Vier konkrete Wirkungen für CH-KMU: (1) Bessere Bedrohungslage – das European Cybersecurity Alert System teilt Indicators of Compromise (IoCs) und Frühwarnungen, von denen indirekt auch CH-Unternehmen profitieren (über BACS, MELANI-Nachfolge, ISAC-Communities). (2) Reserve-Anbieter-Markt – Incident-Response-Dienstleister, die in die EU Cybersecurity Reserve aufgenommen werden, gelten als geprüft und vertrauenswürdig; CH-KMU können diese für eigene Verträge nutzen. (3) Lieferketten-Druck – EU-Kunden verlangen zunehmend Incident-Response-Pläne, Trusted-Provider-Bezug und Drill-Übungen auch von ihren CH-Sublieferanten. (4) BACS-Meldepflicht-Synchronisation – das CH-Bundesamt für Cybersicherheit stimmt seine Mechanismen mit EU-Standards ab, was die parallele Meldepflicht (24h kritische Infrastruktur) erleichtert.

Müssen Schweizer KMU jetzt aktiv werden?

Drei Empfehlungen für 2026: (1) Lieferkette mappen – Welche EU-Kunden haben Sie? Welche stellen NIS2-/CSA-bezogene Anforderungen über Vertragsklauseln? Spätestens bei Vertragserneuerung kommen Cyber-Klauseln. (2) Incident-Response-Plan aktualisieren – Trusted-Provider aus EU-Reserve identifizieren und vorvertraglich binden, BACS-Meldepflicht (24h Erstmeldung kritische Infrastruktur) integrieren, Tabletop-Übungen jährlich. (3) CRA-Bezug klären – Wenn Sie Software oder Hardware mit digitalen Elementen in die EU verkaufen, fällt das ab Dezember 2027 unter CRA-Konformitätsbewertung; der CSA verstärkt das Ökosystem darum herum. Wer reine Inland-Dienstleistung ohne EU-Bezug macht, ist nicht zwingend pflichtig, sollte aber von den IoC-Strömen profitieren.

EU Cyber Solidarity Act 2026: Was KMU Schweiz wissen müssen

Kurz vorweg: Der CSA (Verordnung 2025/38) ist seit 4. Februar 2025 in Kraft und ergänzt NIS2, CRA und DORA um eine EU-weite Krisenarchitektur. Drei Säulen: European Cybersecurity Alert System (Cyber Hubs), Cyber Emergency Mechanism mit EU Cybersecurity Reserve, Incident Review Mechanism. Für Schweizer KMU formal nicht bindend, aber wirksam über Lieferkette, Vertragsklauseln und Anbietermärkte. Praktische Konsequenz: Incident-Response-Plan aktualisieren, Trusted-Provider identifizieren, BACS-Meldepflicht (24h) integrieren, jährliche Übungen.

Die drei Säulen des CSA

European Cybersecurity Alert System

Netzwerk aus nationalen und grenzüberschreitenden Cyber Hubs (SOC-Verbünde). Gemeinsame Bedrohungserkennung, IoC-Austausch, Frühwarnung. Aufbau bis 2027 in mehreren Mitgliedstaaten.

Cyber Emergency Mechanism

EU Cybersecurity Reserve: Pool aus vorvertraglich gebundenen Incident-Response-Anbietern, die bei grossen Vorfällen aktiviert werden – für Mitgliedstaaten, Institutionen und assoziierte Drittstaaten.

Incident Review Mechanism

Strukturierte Aufarbeitung grosser Cybervorfälle durch ENISA: Was ist passiert, was hat funktioniert, was muss verbessert werden – mit verbindlichen Lessons-Learned-Berichten.

Trusted-Provider-Pool

Anbieter in der Reserve durchlaufen Eignungsprüfung (Zertifikate, EU-Standort, Personalqualifikation, Erfahrung). Schafft de facto neue Qualitätsmarke für Incident Response.

Finanzierung

Reserve wird über Digital Europe Programme finanziert. Aktivierung im Notfall ist für betroffene Staaten/Organisationen kostenlos – Pre-Contracting mit Anbietern erfolgt auf EU-Ebene.

ENISA-Rolle

Die EU-Agentur für Cybersicherheit (ENISA) koordiniert Cyber Hubs, betreibt das Review-Mechanism-Sekretariat und führt die Trusted-Provider-Liste – zentrale Drehscheibe.

Verhältnis zu NIS2, CRA, DORA

NIS2 – Pflichten für Betreiber

Richtlinie 2022/2555 verlangt Risikomanagement, Meldepflichten (24h Frühwarnung, 72h Erstmeldung) und Lieferkettensicherheit von Betreibern wesentlicher/wichtiger Dienste. CSA ergänzt: bei grossem Vorfall stellt die EU-Reserve qualifizierte Hilfe bereit. CH-Pendant ist das ISG mit reduziertem Anwendungsbereich.

CRA – Produktanforderungen

Verordnung 2024/2847 (Cyber Resilience Act) regelt Hard- und Software mit digitalen Elementen ab Dezember 2027 vollständig. Hersteller müssen Schwachstellen melden (24h ENISA), Updates liefern. CSA und CRA bilden zusammen das EU-Cyber-Ökosystem: CRA verhindert Vorfälle ex ante, CSA reagiert ex post.

DORA – Finanzsektor

Verordnung 2022/2554 (Digital Operational Resilience Act) gilt seit Januar 2025 für Banken, Versicherer, Asset Manager. Verlangt ICT-Risikomanagement, Drittparteien-Register, Resilience-Tests. CSA-Reserve kann auch DORA-Akteure unterstützen – relevant für CH-Finanzdienstleister mit EU-Geschäft.

ENISA – die Koordinationsstelle

Die EU-Agentur für Cybersicherheit führt Trusted-Provider-Liste, koordiniert Cyber Hubs, betreibt Incident Review Mechanism. Publiziert Threat Landscape Reports und Best Practices, die auch für CH-KMU frei nutzbar sind.

BACS – das Schweizer Pendant

Das Bundesamt für Cybersicherheit (BACS) ist seit 2024 die zentrale Schweizer Cyberbehörde. Meldepflicht (24h) für kritische Infrastruktur seit 1. April 2025. BACS stimmt sich mit ENISA ab, übernimmt aber nicht den CSA-Mechanismus – CH hat eigene Cyber-Strategie.

Was bedeutet das für Schweizer KMU?

Direkte Anwendbarkeit: Keine. Die Schweiz ist nicht EU-Mitglied; CSA-Verordnungen gelten nicht unmittelbar in CH.
Indirekte Wirkung über Vertragsklauseln: EU-Kunden (DE, AT, FR) verlangen zunehmend CSA-/NIS2-konforme Incident-Response-Pläne von ihren CH-Lieferanten.
Trusted-Provider-Markt: Reserve-Anbieter (z. B. grosse europäische IR-Firmen, MSSPs) gelten als qualifizierte Wahl – CH-KMU können sie vorvertraglich binden.
BACS-Meldepflicht (24h): Seit 1. April 2025 für Betreiber kritischer Infrastruktur in CH. Parallel zur NIS2-Meldepflicht 24h für EU-Geschäft – Doppel-Compliance möglich.
IoC-Ströme: Über BACS, ISACs und kommerzielle Threat-Intel-Anbieter profitieren CH-Unternehmen indirekt von den EU Cyber Hubs – Frühwarnung wird besser.
Lieferketten-Mapping: Wer EU-Kunden hat, sollte die eigene Sub-Lieferanten-Kette dokumentieren (Cloud-Anbieter, Software-Lieferanten, MSPs) – das wird vertraglich verlangt.
CRA-Bezug: Hardware-/Software-Hersteller, die in die EU verkaufen, brauchen ab Dezember 2027 CRA-Konformität – CSA verstärkt das Reaktions-Ökosystem dazu.
Versicherung: Cyber-Policen referenzieren zunehmend Trusted-Provider-Bindung als Voraussetzung für volle Deckung – Pre-Contracting wird Standard.
Schweizer Behördenkooperation: BACS, NCSC-CH und ENISA arbeiten bilateral; CH ist beim European Cyber Crisis Liaison Organisation Network (EU-CyCLONe) als Beobachter dabei.
Pragmatischer Rat: CSA nicht als „EU-Theater" ignorieren – die Wirkung kommt indirekt, aber sicher über Verträge und Anbieterökosystem.

8-Wochen-Roadmap zur CSA-Bereitschaft

Woche 1 – Lieferketten-Mapping

Welche EU-Kunden haben Sie? Welche stellen vertragliche Cyber-Anforderungen? Welche Sub-Lieferanten (Cloud, SaaS, MSP) sind Teil der eigenen Lieferkette?

Konkret: Kunden- und Lieferanten-Matrix mit Cyber-Klauseln dokumentiert.

Woche 2 – Incident-Response-Plan-Update

Bestehenden IRP gegen NIS2/CSA-Erwartungen prüfen: Erkennungs-, Eindämmungs-, Wiederherstellungsphasen. Rollen, Kommunikationswege, RTO/RPO definieren.

Konkret: IRP überarbeitet, Versionsstand 2026, Geschäftsleitungs-Freigabe.

Woche 3 – Trusted-Provider identifizieren

IR-Anbieter aus der EU Cybersecurity Reserve oder vergleichbare (Mandiant, NCC Group, Orange Cyberdefense, InfoGuard, Compass Security) sondieren. Retainer-Vertrag mit definierter Reaktionszeit.

Konkret: Retainer-Vertrag mit IR-Anbieter, SLA 4h Erstreaktion.

Woche 4 – Meldewege BACS & EU-Kunden

BACS-Meldeportal kennen, 24h-Erstmeldung üben. Für EU-Kunden: Meldekette über deren NIS2-Pflicht verstehen, vertragliche Eskalationspfade dokumentieren.

Konkret: Meldevorlagen BACS, Kunden-Eskalationsmatrix.

Woche 5 – IoC-Quellen anbinden

BACS-Bulletins, MELANI-Nachfolge-Feeds, ENISA-Threat-Reports, kommerzielle Threat Intel (z. B. CrowdStrike, Recorded Future, MISP) ins SIEM/SOC integrieren.

Konkret: Mindestens 3 Threat-Intel-Feeds aktiv im SIEM.

Woche 6 – Tabletop-Übung

Realistisches Szenario (Ransomware, Supply-Chain-Angriff) mit Geschäftsleitung, IT und Kommunikation durchspielen. Lücken identifizieren.

Konkret: Tabletop-Protokoll, Massnahmenliste, Folgetermin.

Woche 7 – Versicherung & Verträge

Cyber-Police prüfen: Trusted-Provider-Bindung anerkannt? Schadenobergrenzen realistisch? Lieferanten-Verträge mit Cyber-Klauseln nachverhandeln.

Konkret: Police-Review, Vertrags-Nachträge bei kritischen Lieferanten.

Woche 8 – Dokumentation & Governance

Alle Artefakte (IRP, Verträge, Tabletop-Protokolle, Threat-Intel-Setup) in ein CSA-/NIS2-Compliance-Dossier. Jahresplan: Übung, Review, Audit.

Konkret: Dossier 2026 fertig, Jahres-Governance-Kalender publiziert.

Typische Stolpersteine

CSA mit CRA verwechseln: CRA regelt Produkte (Hard-/Software), CSA regelt Krisenreaktion (Reserve, Hubs). Beide ergänzen sich, ersetzen sich aber nicht.
CSA ignorieren weil „Schweiz nicht EU": Indirekte Wirkung über EU-Kunden-Verträge und Lieferantenmarkt ist real – wer ignoriert, verliert Aufträge.
BACS-Meldepflicht (24h) übersehen: Seit 1. April 2025 für Betreiber kritischer Infrastruktur in CH bindend – unabhängig vom CSA. Verstoss kann mit Busse geahndet werden.
Trusted Provider erst im Krisenfall suchen: Wer im Vorfall erst Verträge verhandelt, verliert kritische Stunden – Retainer-Vertrag vor dem Ernstfall ist Pflicht.
NIS2-Pflicht der EU-Kunden auf eigene Compliance reflektieren: CH-Lieferanten werden vertraglich in NIS2-Lieferkettenanforderungen eingebunden – Klauseln aktiv prüfen.
IRP nur auf Papier: Ein nie geübter Plan ist im Krisenfall wertlos. Mindestens jährliche Tabletop-Übung mit Geschäftsleitung ist Standard.
Threat-Intel-Feeds ohne Konsumenten: IoC-Ströme nützen nur, wenn SIEM/SOC sie auswertet und Alerts generiert. Reines „Abonnieren" ist Theater.
Cyber-Versicherung als Allheilmittel: Policen haben Ausschlüsse (staatliche Akteure, mangelnde Sorgfalt). Versicherung ersetzt keinen Plan – sie ergänzt ihn.
Kommunikationsplan vergessen: Im Krisenfall sind Kundenkommunikation, Medien und Behördenmeldung gleich wichtig wie technische Eindämmung.
CSA-Reserve-Mythos: Die Reserve hilft Staaten und kritische Institutionen, nicht jedes KMU. Eigener Retainer mit kommerziellem IR-Anbieter bleibt nötig.

Fazit: Indirekt, aber wirksam

Der EU Cyber Solidarity Act ist 2026 für Schweizer KMU formal nicht bindend – aber er prägt das europäische Cybersecurity-Ökosystem, von dem CH-Unternehmen über Lieferkette, Anbietermarkt und Bedrohungs-Intel ohnehin abhängen. Wer EU-Kunden bedient, wird vertraglich in NIS2-/CSA-Anforderungen eingebunden; wer Software in die EU verkauft, fällt zudem unter den CRA. Pragmatische Antwort: Incident-Response-Plan aktualisieren, Trusted-Provider vor der Krise binden, BACS-Meldepflicht integrieren, jährlich üben.

Die EU Cybersecurity Reserve ist für CH-KMU nicht direkt zugänglich, aber sie schafft eine de-facto-Qualitätsmarke für IR-Anbieter, die auch CH-Verträge prägen wird. Ein 8-Wochen-Programm reicht für die meisten KMU, um vertraglich, organisatorisch und technisch CSA-kompatibel zu sein – mit Investitionen ab CHF 15'000 für Beratung, Tabletop-Übung und Retainer-Verhandlung, plus laufende Threat-Intel- und SIEM-Kosten. Tipp: BACS-Bulletins abonnieren, ENISA-Threat-Landscape-Report jährlich lesen, und einen IR-Retainer mit klarer SLA noch 2026 abschliessen.

CSA-Bereitschaft pragmatisch aufgebaut

Wir mappen Ihre Lieferkette, aktualisieren den Incident-Response-Plan, binden einen Trusted Provider und integrieren BACS-Meldepflicht – inkl. Tabletop-Übung in 8 Wochen.

Beratung anfragen