Was ist NIST CSF 2.0 und warum ist es für Schweizer KMU relevant?

NIST CSF 2.0 (Februar 2024 veröffentlicht) ist die zweite Major-Version des Cybersecurity Frameworks vom US National Institute of Standards and Technology – seit 11 Jahren der weltweit am häufigsten genutzte freiwillige Cyber-Rahmen. Wichtigste Neuerung: die sechste Funktion „Govern" als Querschnitt für alle anderen. Für Schweizer KMU relevant aus drei Gründen: (1) Cyber-Versicherer und Auditoren nutzen CSF-Mapping in Fragebögen. (2) Bietet pragmatischen Aufbau ohne ISO-27001-Aufwand – ideal als Vorstufe oder dauerhafter Reife-Rahmen. (3) Liefert ein gemeinsames Vokabular für Geschäftsleitung, IT und Lieferanten. CSF ist nicht zertifizierbar (anders als ISO 27001), aber als Selbst-Bewertung sehr wirksam.

Was ist neu in NIST CSF 2.0 gegenüber 1.1?

Sechs grosse Änderungen: (1) Neue Funktion „Govern" – Strategie, Rollen, Risikomanagement, Lieferkette und Aufsicht als eigenständige Säule mit 6 Kategorien (GV.OC, GV.RM, GV.RR, GV.PO, GV.OV, GV.SC). (2) Erweiterung über kritische Infrastruktur hinaus – explizit für KMU geeignet. (3) Konkretisierung Lieferketten-Risiko (Supply Chain Risk Management) – ganze Kategorie GV.SC. (4) Quick-Start-Guides für kleine Organisationen, neue/grosse Programme und Mergers. (5) Implementation Examples und neue Tiers-Beschreibung. (6) Bessere Verzahnung mit anderen NIST-Frameworks (Privacy, AI RMF). CSF 1.1 ist seit Februar 2024 ausgelaufen – wer noch dort steht, sollte 2026 migrieren.

Wie startet ein Schweizer KMU pragmatisch mit NIST CSF 2.0?

Pragmatischer Start in 90 Tagen: Tage 1–15 Current Profile (Ist-Aufnahme) – pro Funktion und Kategorie: was machen wir, wie reif? Tage 16–30 Target Profile (Soll-Aufnahme) – wo wollen wir hin, abhängig von Branche, Risiko, Compliance (revDSG, NIS2 für EU-Geschäft, ISO 27001 bei Bedarf). Tage 31–60 Gap-Analyse und Priorisierung – Top-15 Massnahmen mit Aufwand, ROI, Pflicht-Verknüpfung. Tage 61–90 Aktionsplan beschliessen, Owner zuweisen, Quick-Wins (MFA, Patch-SLA, Awareness) angehen. Cyber-Versicherer und Kunden-Fragebögen lassen sich auf Anhieb beantworten. Quartalsweise Review, jährliche Tier-Hebung um eine Stufe.

Was kostet ein CSF-2.0-Programm für ein KMU?

Realistisch für Schweizer KMU 30–250 MA: einmaliger Aufbau (Ist/Soll-Profil, Aktionsplan, Dokumentation) 8–20 Beratertage (CHF 12'000–35'000). Laufend 1–2 Tage pro Quartal Pflege + Tier-Hebung. Im Vergleich: ISO 27001 ist 3–6x teurer und produziert ein Zertifikat. CSF reicht für 70 % der Schweizer KMU – wer Banken, Versicherer, kritische Infrastruktur oder regulierte Branchen-Kunden hat, geht später auf ISO 27001 weiter. Faustregel: CSF macht jedes ISMS sauberer, weil das gemeinsame Vokabular Diskussionen abkürzt. Tools wie Vanta, Drata, secjur mappen CSF automatisch mit anderen Frameworks – das halbiert den Pflegeaufwand.

NIST CSF 2.0 für KMU Schweiz 2026: Govern, Identify, Protect, Detect

Kurz vorweg: CSF 2.0 hat sechs Funktionen (Govern, Identify, Protect, Detect, Respond, Recover), 22 Kategorien und 106 Subkategorien. Tiers 1–4 messen Reife (Partial, Risk Informed, Repeatable, Adaptive). Profile vergleichen Ist und Soll. Implementation Examples zeigen wie. Für KMU ist „CSF light" (Top-5-Kategorien pro Funktion) ausreichend – das deckt 80 % der Risiken bei 20 % Aufwand. Govern (GV) ist der eigentliche Game-Changer: ohne klare Strategie, Rollen und Lieferkette läuft jede technische Massnahme ins Leere.

Die sechs Funktionen von CSF 2.0

Govern (neu)

Cyber-Strategie, Risiko-Management, Rollen und Verantwortlichkeiten, Policy, Aufsicht, Supply-Chain-Risk-Management. Querschnitt für alle anderen Funktionen – das Steuerungs-Layer.

Identify

Asset Management, Business Environment, Risk Assessment, Improvement. Wer/was muss geschützt werden? Was sind die Kron-Juwelen? Welche Risiken sind real?

Protect

Identity Management, Awareness, Datensicherheit, Information Protection, Platform Security, Technology Infrastructure Resilience. Klassische präventive Massnahmen.

Detect

Continuous Monitoring, Adverse Event Analysis. Erkennen, dass etwas passiert: SIEM, EDR, Anomalie-Erkennung, NetFlow-Analyse.

Respond

Incident Management, Analysis, Mitigation, Reporting and Communication. Vorfälle koordiniert bewältigen – inkl. revDSG/BACS-Meldung und Forensik.

Recover

Incident Recovery Plan Execution, Recovery Communication. Wiederherstellung des Normalbetriebs nach einem Vorfall – Backup, DR, Lessons Learned.

Die neue Govern-Funktion im Detail

GV.OC – Organizational Context

Geschäftsmission, Erwartungen interner/externer Stakeholder, rechtliche Anforderungen (revDSG, NIS2, DORA), Risiko-Toleranz. Ohne diesen Kontext sind alle anderen Funktionen Selbstzweck.

GV.RM – Risk Management Strategy

Risiko-Bewertungsmethodik (qualitativ/quantitativ), Risiko-Akzeptanz-Schwellen, Risiko-Behandlungs-Optionen. Verknüpfung mit unternehmensweitem ERM.

GV.RR – Roles, Responsibilities, Authorities

Wer entscheidet was? Geschäftsleitungs-Mandat, ISO/CISO (auch vCISO), DPO, IT-Verantwortliche, Business-Owner. RACI-Matrix, klare Eskalationswege.

GV.PO – Policy

Cyber-Policy als Dach-Dokument plus untergeordnete Richtlinien (Passwort, Akzeptable Nutzung, Datenklassifikation, KI). Versioniert, regelmässig review-t, kommuniziert.

GV.OV – Oversight

Aufsicht und Reporting an Geschäftsleitung/Verwaltungsrat – Cyber-Metriken (KPI/KRI), Quartals-Review, jährlicher Cyber-Bericht. CSF-Profil als Steuerungsinstrument.

GV.SC – Supply Chain Risk Management

Lieferanten-Risiko: Vertrags-Pflichten (DPA, ZDP, Security-Klauseln), Vendor-Assessments, Sub-Outsourcing, Exit-Pläne. Besonders wichtig durch NIS2 und DORA.

Tiers: Vom Ad-hoc zur Reife

Tier 1 (Partial): Risikomanagement ad hoc, kaum Awareness, keine externe Zusammenarbeit. Typisch für KMU vor dem ersten Vorfall.
Tier 2 (Risk Informed): Risikomanagement ist Genehmigt, aber nicht durchgängig umgesetzt. Reaktion auf konkrete Vorfälle, beginnende Lieferketten-Praxis.
Tier 3 (Repeatable): Cyber-Risikomanagement formal in Policy, regelmässig review-t, in Geschäftsprozesse integriert. Standard-Ziel für die meisten KMU.
Tier 4 (Adaptive): kontinuierliche Verbesserung, Lessons Learned eingebaut, prädiktive Erkennung, Industry-Sharing. Für regulierte Branchen und Cyber-reife KMU.
Praxis-Tipp: Tier nicht pauschal pro Organisation, sondern pro Funktion/Kategorie messen. Govern Tier 3, Protect Tier 3, aber Detect noch Tier 2 – ehrliche Selbstbewertung.
Jahres-Ziel: pro Funktion eine Tier-Stufe nach oben. Realistisch über 12 Monate.

90-Tage-Roadmap CSF 2.0

Tag 1–15: Scoping & Current Profile

Scope festlegen (gesamte Organisation oder Tochter/Sparte), pro Funktion und Kategorie aktuellen Reife-Tier dokumentieren. Mitarbeitende interviewen, Dokumente prüfen, kein Schönreden.

Konkret: Current Profile mit Tiers pro Kategorie dokumentiert.

Tag 16–30: Target Profile & Gap

Soll-Tier pro Kategorie definieren – abhängig von Risiko-Appetit, Compliance (revDSG, NIS2), Kunden-Anforderungen. Gap-Analyse: pro Lücke konkrete Massnahmen entwerfen.

Konkret: Target Profile + Gap-Liste mit ca. 30–50 Massnahmen.

Tag 31–60: Priorisierung & Aktionsplan

Top-15 Massnahmen priorisieren nach Risiko, Aufwand, Pflicht-Verknüpfung. Owner zuweisen, Budgets schätzen. Quick-Wins (MFA, Patch-SLA, Awareness) sofort starten.

Konkret: Aktionsplan mit 15 Top-Massnahmen, Owner, Budget, Fristen.

Tag 61–90: Quick-Wins & Operate

Erste 5 Quick-Wins umsetzen, restliche 10 starten. Operate-Modell: monatlicher Status, Quartals-Review, jährliche Profil-Aktualisierung. CSF-Mapping in Cyber-Versicherungs-/Kunden-Fragebögen verwenden.

Konkret: 5 Quick-Wins live, Operate-Rhythmus etabliert, Mapping-Cheat-Sheet bereit.

Typische Stolpersteine

CSF als „bürokratisches Beiwerk" gesehen: ohne Geschäftsleitungs-Mandat verkommt es zur Excel-Tapete – Govern ist nicht optional.
Tier 4 als pauschales Ziel: für die meisten KMU ist Tier 3 das richtige Ziel. Tier 4 nur für regulierte Branchen.
Current Profile schöngerechnet: ohne ehrliche Ist-Aufnahme entsteht kein nützlicher Plan. Externe Perspektive holen.
Govern ignoriert: KMU starten mit Protect/Detect-Tools, ohne die Steuerung zu klären – Tool-Sammlung statt Programm.
Supply Chain übersehen: GV.SC ist 2024 explizit hinzugekommen. Lieferanten-Risiko ist DAS Top-Risiko 2026 (NIS2-Effekt, DORA, CRA).
CSF und ISO 27001 als Konkurrenz: ISO 27001-Controls mappen 1:1 auf CSF-Kategorien. CSF ist Reife-Rahmen, ISO 27001 ist zertifizierbares ISMS – sie ergänzen sich.
Kein Owner für CSF: ohne benannten Cyber-Governance-Owner (CISO, vCISO, IT-Leiter) versickert die Wirkung nach 6 Monaten.
Aktionsplan ohne Budget: 15 Top-Massnahmen sind ohne CHF-Schätzung und Ressourcen-Reserve nicht entscheidungsfähig.
Profil nie aktualisiert: ein einmal erstelltes Profil ist nach 12 Monaten veraltet – jährlicher Refresh ist Pflicht.
Mapping zu revDSG/NIS2/ISO 27001 fehlt: ohne Mapping doppelte Arbeit – CSF mit Compliance-Vorgaben verbinden.

Fazit: CSF 2.0 als KMU-Cyber-Rahmen

NIST CSF 2.0 ist 2026 der pragmatischste Cyber-Rahmen für Schweizer KMU. Er ersetzt keine ISO-27001-Zertifizierung, ist aber der ideale Startpunkt: gemeinsames Vokabular, ehrliche Reife-Bewertung, klarer Aktionsplan. Die neue Govern-Funktion zwingt KMU dazu, Cyber als Geschäftsleitungs-Thema zu führen statt als IT-Insellösung. Supply Chain (GV.SC) ist 2026 das Top-Risiko – NIS2 und DORA haben es offiziell gemacht.

Wer in 90 Tagen ein erstes Profil aufbaut, hat den grössten Hebel: Cyber-Versicherer und Kunden-Audits werden auf Anhieb beantwortbar, Investitionen lassen sich nachvollziehbar priorisieren, und die Geschäftsleitung erhält endlich Cyber-Reporting in nutzbarer Form. Tier 3 als 24-Monats-Ziel ist realistisch und genug. Wer regulierte Kunden bedient oder selbst NIS2/DORA-Pflichten hat, wandert später auf ISO 27001 – das CSF-Profil ist dann 70 % der Vorarbeit.

CSF-2.0-Profil für Ihr KMU

Wir bauen Ihr Current und Target Profile, mappen Pflichten (revDSG, NIS2, ISO 27001) und priorisieren Top-15-Massnahmen – in 90 Tagen vom Ist zum Aktionsplan.

Beratung anfragen

NIST CSF 2.0 2026:
Cyber-Rahmen für KMU

Die sechs Funktionen von CSF 2.0

Govern (neu)

Identify

Protect

Detect

Respond

Recover

Die neue Govern-Funktion im Detail

GV.OC – Organizational Context

GV.RM – Risk Management Strategy

GV.RR – Roles, Responsibilities, Authorities

GV.PO – Policy

GV.OV – Oversight

GV.SC – Supply Chain Risk Management

Tiers: Vom Ad-hoc zur Reife

90-Tage-Roadmap CSF 2.0

Tag 1–15: Scoping & Current Profile

Tag 16–30: Target Profile & Gap

Tag 31–60: Priorisierung & Aktionsplan

Tag 61–90: Quick-Wins & Operate

Typische Stolpersteine

Fazit: CSF 2.0 als KMU-Cyber-Rahmen

CSF-2.0-Profil für Ihr KMU

Passende Leistungen für Ihr KMU

NIST CSF 2.0 2026: Cyber-Rahmen für KMU

Die sechs Funktionen von CSF 2.0

Govern (neu)

Identify

Protect

Detect

Respond

Recover

Die neue Govern-Funktion im Detail

GV.OC – Organizational Context

GV.RM – Risk Management Strategy

GV.RR – Roles, Responsibilities, Authorities

GV.PO – Policy

GV.OV – Oversight

GV.SC – Supply Chain Risk Management

Tiers: Vom Ad-hoc zur Reife

90-Tage-Roadmap CSF 2.0

Tag 1–15: Scoping & Current Profile

Tag 16–30: Target Profile & Gap

Tag 31–60: Priorisierung & Aktionsplan

Tag 61–90: Quick-Wins & Operate

Typische Stolpersteine

Fazit: CSF 2.0 als KMU-Cyber-Rahmen

CSF-2.0-Profil für Ihr KMU

Passende Leistungen für Ihr KMU

NIST CSF 2.0 2026:
Cyber-Rahmen für KMU