NIS2-Leitfaden für Schweizer Anbieter: So gelingt die Umsetzung!

NIS2 macht Cybersecurity zur Nachweisfrage. Für in der EU präsenten Schweizer Anbieter reicht es nicht mehr, Sicherheitsstandards intern zu kennen oder punktuell umzusetzen – sie müssen gegenüber EU-Kunden, Partnern und zuständigen Stellen auch belastbar belegbar sein. Für diese Unternehmen stellt sich damit die zentrale Frage: Wo entsteht konkreter Handlungsbedarf?

NIS2: Warum Schweizer Firmen jetzt handeln müssen

Die NIS2-Richtlinie ist seit dem 6. Dezember 2025 in Deutschland in Kraft. Direkt betroffen sind auch Schweizer Unternehmen mit Aktivitäten in der EU.

Im Fokus stehen insbesondere folgende Bereiche:

• Angebot von Dienstleistungen wie etwa Cloud-Dienste, IT-Outsourcing, SaaS-Lösungen und Managed Services.

• Vertrieb von Produkten wie IoT-Geräte, Medizintechnik, Industrieautomation oder Komponenten für kritische Infrastrukturen.

• Aktiv als Lieferant oder Subunternehmer für EU-Unternehmen, insbesondere in kritischen Sektoren (KRITIS).

• Betrieb von Tochtergesellschaften oder Niederlassungen in EU-Mitgliedstaaten.

Mögliche Konsequenzen bei Nichteinhaltung:

• Bussgelder in Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes

• Ausschluss von EU-weiten Ausschreibungen und öffentlichen Aufträgen

• Verlust von Grosskunden und Vertragspartnern aufgrund fehlender Compliance-Nachweise

• Reputationsschäden durch öffentlich bekannte Sicherheitsmängel

«Mit nachweisbarer Umsetzung der NIS2-Anforderungen belegen Schweizer Unternehmen höhere Sicherheitsstandards und differenzieren sich bei EU-Kunden.»

Aktueller Umsetzungsstand in Deutschland und Österreich

• Deutschland (Inkrafttreten: 06.12.2025): Keine Übergangsphase; die Registrierungspflicht ist seit dem 6. März 2026 abgelaufen. Was das bedeutet, haben wir in einem separaten Blogartikel zusammengefasst.

• Österreich (Inkrafttreten: 01.10.2026): 9 Monate Vorbereitungszeit; Registrierung bis 31.12.2026 gemäss NISG.

Betroffenheitsprüfung: Bin ich als Schweizer Anbieter betroffen?

Die folgende Übersicht hilft, typische Betroffenheitsszenarien und den jeweiligen Handlungsbedarf einzuordnen:

Die vier zentralen NIS2-Pfilichten für Schweizer Unternehmen

NIS2 verlangt keine Einzelmassnahme, sondern ein belastbares Zusammenspiel aus Governance, Prozessen, Technik und Nachweisen.

Folgende vier Bereiche sind relevant:

• Risikomanagement und Cybersicherheit:

  ▪️Anforderung: Durchführung einer systematischen Risikoanalyse nach anerkannten Standards (z. B. BSI 200-3 oder ISO 27001).

  ▪️Handlungsbedarf: Abweichungen von den NIS2-Anforderungen beheben und die Compliance kontinuierlich sicherstellen.

  ▪️Empfehlung: Eine ISO 27001-Zertifizierung erfüllt die Anforderungen beider Rahmenwerke und bietet internationale Anerkennung.

• Meldepflichten bei Cybervorfällen (24-Stunden-Frist):

  ▪️NIS2 (EU): Initial Notification innerhalb von 24 Stunden an die zuständige Behörde.

  ▪️Handlungsbedarf: Anpassung der internen Prozesse, um die 24-Stunden-Frist für EU-Aktivitäten einzuhalten.

• Sicherheit in der Lieferkette:

  ▪️Anforderung: Nachweis der Einhaltung von Sicherheitsstandards durch alle Lieferanten und Subunternehmer.

  ▪️Vertragsgestaltung: Integration von Compliance-Anforderungen in Verträge.

  ▪️Tools: Nutzung von Dependency-Track zur Überwachung von Schwachstellen in der Lieferkette.

• Geschäftskontinuität:

  ▪️Anforderung: Der Geschäftsbetrieb kann bei einem Vorfall (mit kurzem Unterbruch) aufrechterhalten werden.

  ▪️Handlungsbedarf: Erstellen und Testen von Plänen für den Fortbetrieb im Krisenfall.

In 3 Schritten zur NIS2-Compliance

NIS2-Compliance beginnt mit Klarheit über den eigenen Status quo. Wer Lücken systematisch identifiziert, Meldewege vorbereitet und die Lieferkette prüft, schafft die Grundlage für eine nachweisbare Umsetzung.

Die Umsetzung erfolgt in 3 Schritten:

1. Durchführung einer NIS2-Gap-Analyse

   ▪️Identifikation der Lücken zu den Anforderungen der NIS2-Richtlinie.

2. Anpassung der Meldeprozesse
   

   ▪️Etablierung eines 24-Stunden-Meldeprozesses für Vorfälle in der EU.

   ▪️Klare Definition der zuständigen Behörden wie beispielsweise das BSI für Deutschland, sektorspezifisches bzw. nationales CSIRT in Österreich).

   ▪️Schulung der Mitarbeitenden für die schnelle und korrekte Meldung.
   

3. Prüfung der Lieferkette

   ▪️Bewertung aller Lieferanten auf NIS2-Compliance.

   ▪️Anpassung der Verträge zur Einhaltung der Sicherheitsstandards.

   ▪️Erstellung von Notfallplänen für kritische Lieferanten.

NIS2 als Wettbewerbsvorteil: Nachweisen geht über Behaupten

Wer die NIS2-Anforderungen mit bestehenden Massnahmen strukturiert verzahnt, stärkt die Compliance und die eigene Position im EU-Markt.

• Cybersicherheit als Alleinstellungsmerkmal: Zertifizierungen wie ISO 27001 als Verkaufsargument einsetzen.

• Gewinnung neuer Kunden: NIS2-Compliance als Zugangskriterium für EU-Ausschreibungen und Grosskunden nutzen.

• Premium-Preismodelle: Durch nachgewiesene Sicherheit können 10 bis 20 % höhere Preise für Produkte und Dienstleistungen gerechtfertigt werden.

Machen Sie Ihre NIS2-Umsetzung belastbar. Prüfen Sie Betroffenheit, Lücken und Umsetzungsbedarf frühzeitig – und schaffen Sie die Grundlage für nachvollziehbare NIS2-Compliance gegenüber EU-Kunden.

Wir berichten immer wieder über NIS2 und viele weitere Compliance-Themen. Indem Sie unsere Blog-Updates abonnieren, bleiben Sie up-to-date! Einordnungen und Handlungsempfehlungen zur aktuellen Cyberbedrohungslage erhalten Sie so direkt in Ihr Postfach – kompakt, relevant und mit den wichtigsten Entwicklungen aus erster Hand.

Bildlegende: mit KI generiertes Bild