Kurz vorweg: NIS2 gilt formal nur in der EU – aber rund 40% der Schweizer KMU sind über Lieferketten betroffen. Wer EU-Kunden im regulierten Sektor beliefert, bekommt 2026 standardmässig Sicherheits-Klauseln und Audit-Rechte in den Verträgen. Parallel verlangt das Schweizer ISG seit April 2025 eine 24h-Meldepflicht für Vorfälle bei kritischen Infrastrukturen. Wer früh handelt, vermeidet Notfall-Projekte und gewinnt Aufträge.
NIS2 in 2 Minuten: Was die EU verlangt
Die NIS2-Richtlinie (EU 2022/2555) ist seit Oktober 2024 in nationales Recht der EU-Mitgliedstaaten umgesetzt. Sie weitet den Anwendungsbereich der alten NIS-Richtlinie massiv aus und verschärft Pflichten und Bussen. Im Kern geht es um drei Dinge:
Erweiterter Anwendungsbereich
Statt 7 Sektoren wie früher fallen heute 18 Sektoren unter NIS2 – darunter digitale Infrastruktur, ICT-Dienstleister, Maschinenbau, Lebensmittelproduktion, Post & Logistik, Gesundheit, Forschung, Abfallwirtschaft und öffentliche Verwaltung. Ab 50 Mitarbeitenden oder EUR 10 Mio. Umsatz greift die Pflicht typischerweise direkt.
Konkrete Sicherheitsmassnahmen
Pflicht-Bausteine: Risikoanalyse, Incident-Handling, Business Continuity, Lieferkettensicherheit, Zugriffskontrolle (MFA), Krypto-Standards, Awareness-Trainings, Sicherheits-Tests. Die Geschäftsleitung muss die Massnahmen genehmigen – und ist persönlich haftbar.
Meldepflicht & Bussen
Frühwarnung an die zuständige Behörde innerhalb von 24h, Erstbericht 72h, Abschlussbericht 1 Monat. Bussen bis EUR 10 Mio. oder 2% des weltweiten Konzernumsatzes – plus persönliche Haftung der Geschäftsleitung bei grober Fahrlässigkeit.
ISG: Was die Schweiz seit April 2025 vorschreibt
Das Informationssicherheitsgesetz (ISG) ist die Schweizer Antwort auf NIS2 – schlanker, aber mit klarer Meldepflicht. Es richtet sich primär an Betreiber kritischer Infrastrukturen: Energie, Trinkwasser, Verkehr, Gesundheit, Telekommunikation, Banken, Lebensmittelversorgung, öffentliche Verwaltung. Konkret verlangt das ISG seit dem 1. April 2025:
- 24h-Meldepflicht ans NCSC/BACS bei Cybervorfällen mit Auswirkungen auf die Verfügbarkeit, Integrität oder Vertraulichkeit kritischer Dienste.
- Risiko-basiertes Sicherheitskonzept – orientiert am NCSC-Mindeststandard für die Versorgungssicherheit oder ISO 27001.
- Dokumentation der Massnahmen, regelmässige Überprüfung und Update bei wesentlichen Änderungen.
- Bussen bis CHF 100’000 bei vorsätzlicher oder grobfahrlässiger Verletzung der Meldepflicht.
- Empfehlung an alle KMU: Auch wenn nicht direkt verpflichtet, ist eine Meldung beim NCSC bei grossen Vorfällen sinnvoll – sie verschafft Zugang zu Erstberatung und entlastet im Schadenfall gegenüber Versicherern und revDSG-Aufsicht.
Lieferketten-Effekt: Warum NIS2 fast jeden CH-Zulieferer trifft
Auch wenn NIS2 in der Schweiz formal nicht gilt, kommt die Pflicht über die Verträge: Wer als Schweizer KMU einen EU-Kunden in einem geregelten Sektor hat (z.B. einen Maschinenbauer in Bayern oder eine Klinik in Mailand), wird ab 2026 standardmässig folgende Klauseln im Rahmenvertrag finden:
- Verpflichtung zur Einhaltung eines anerkannten ISMS-Standards (ISO 27001, BSI Grundschutz oder NIST CSF) – inkl. Nachweis durch Zertifikat oder Selbstauskunft.
- Recht des Kunden, im Verdachtsfall Audits oder Sicherheits-Reviews durchzuführen – auch unangekündigt, mit oder ohne Externe.
- Subprocessor-Pflichten: Auch Ihre Cloud-Anbieter, IT-Dienstleister und Subunternehmer müssen die Anforderungen erfüllen, mit dokumentierter Kette.
- 24/72h-Meldepflicht von Vorfällen, die den EU-Kunden betreffen könnten – mit empfindlichen Vertragsstrafen bei Verzug.
- Erhöhte Versicherungssummen für Cyberschäden – häufig CHF 5–20 Mio., teils mit Selbstbehalten von CHF 50’000+.
Die 7 Bausteine: NIS2-/ISG-Konformität pragmatisch erreichen
Sie müssen kein zertifiziertes ISMS aufbauen, um auditfest zu sein – ein dokumentierter, gelebter Sicherheits-Stack reicht für >90% der Anforderungen aus.
Risiko-Inventar & Asset-Liste
Welche Systeme, Daten, Schnittstellen sind kritisch? Eine simple Excel-Tabelle mit Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit) reicht für den Start. Update halbjährlich.
Schriftliche Sicherheitspolicy
8–15 Seiten Dokument: Verantwortlichkeiten, Passwort-Regeln, Mobile-Device-Use, Cloud-Use, Datenklassifikation, Incident-Meldekette. Vorlage vom NCSC-Mindeststandard übernehmen und anpassen.
MFA & Zugriffsmanagement
Phishing-resistente MFA für alle Konten – idealerweise mit Conditional Access (Microsoft 365 Business Premium oder Google Workspace Enterprise). Privilegierte Konten zwingend mit Hardware-Token (YubiKey).
EDR & Patch-Management
Modernes EDR/XDR statt klassischem AV (Microsoft Defender P1/P2, SentinelOne, CrowdStrike). Automatisches Patching für OS und Drittanwendungen, monatlicher Reporting-Zyklus.
Backups & Wiederherstellung getestet
3-2-1-1-0-Regel: 3 Kopien, 2 Medien, 1 offsite, 1 immutable, 0 Fehler. Restore mindestens halbjährlich auf Testumgebung üben – inkl. RTO-Messung.
Incident-Response-Plan
Wer entscheidet? Welche Telefonnummern (NCSC, Cyberversicherung, IT-Dienstleister, Anwalt, EU-Kunde)? Welche Meldewege (24h-Frühwarnung, 72h-Bericht)? Jährlich als Tabletop-Übung durchspielen.
Awareness & Lieferanten-Steuerung
Pflicht: jährliche Schulung mit Phishing-Simulation und dokumentiertem Abschluss. Plus: Lieferanten-Selbstauskunft (Cloud-Provider, IT-Dienstleister) zur Sicherheits-Due-Diligence.
Realistische Roadmap: 12 Wochen zur Erst-Konformität
| Phase | Inhalt | Dauer |
|---|---|---|
| Wochen 1–2 | Scope-Klärung, Asset-Liste, Risiko-Bewertung, Lieferanten-Liste | 2 Wochen |
| Wochen 3–4 | Sicherheitspolicy schreiben, Verantwortlichkeiten festlegen, GL-Beschluss | 2 Wochen |
| Wochen 5–7 | MFA-Rollout, EDR-Deployment, Patch-Management aktivieren | 3 Wochen |
| Wochen 8–9 | Backup-Strategie überarbeiten, Immutability einrichten, Restore-Test | 2 Wochen |
| Wochen 10–11 | Incident-Response-Plan inkl. Tabletop-Übung, Awareness-Training | 2 Wochen |
| Woche 12 | Audit-Vorbereitung, Lieferanten-Self-Assessment, Dokumenten-Review | 1 Woche |
Realistisches Budget für ein 30-Personen-KMU
| Position | Einmalig | Pro Monat |
|---|---|---|
| Beratung & Policy-Erstellung | CHF 8’000–14’000 | – |
| M365 Business Premium | – | CHF 680 |
| EDR (Defender P2 oder SentinelOne) | – | CHF 150–270 |
| Backup mit Immutability | CHF 1’500 | CHF 250 |
| Awareness-Training | – | CHF 150 |
| Patch-Management & Monitoring | – | CHF 130 |
| Incident-Response-Plan & Übung | CHF 3’500 | – |
| Total | CHF 13’000–19’000 | ≈ CHF 1’360–1’480 |
Fazit: NIS2/ISG als Wettbewerbsvorteil
Compliance kostet Zeit und Geld – aber wer 2026 auditfest ist, gewinnt Aufträge. Schweizer KMU mit dokumentiertem ISMS-Stack werden bei EU-Ausschreibungen bevorzugt, sparen Versicherungsprämien und sind im Schadenfall deutlich besser aufgestellt. Wer wartet, riskiert hingegen vertragliche Ausschlüsse durch EU-Kunden und unangekündigte Audits.
Der pragmatische Weg: kein ISO-27001-Marathon, sondern ein 12-Wochen-Sprint zu einer dokumentierten Erst-Konformität. Anschliessend kontinuierliche Verbesserung mit halbjährlichen Reviews. So bleibt Cybersecurity Teil des Tagesgeschäfts – statt einmaliges Compliance-Theater.
NIS2-/ISG-Readiness-Check
Wir prüfen in 4 Stunden Ihre Sicherheits-Policies, technische Massnahmen und Lieferketten-Risiken – und liefern eine priorisierte Roadmap. Erstgespräch kostenlos.
Check anfragen