1. Zweck dieses Dokuments – Orientierung für KMU in der Schweiz
Dieser Leitfaden zeigt, worauf es für Geschäftsleitungen wirklich ankommt:
Welche Gesetze verpflichten – und wo bleibt Spielraum?
Welche Standards erwarten Kunden – und welche stärken freiwillig Ihr Vertrauen am Markt?
Welche Normen sind für KMU wirklich hilfreich?
Mit welchem Aufwand und welchen Kosten müssen Sie rechnen?
Wie sparen Sie am Ende Zeit & Geld durch kluge Priorisierung und Synergien?
2. Summary – Gesetze und Standards für KMU Schweiz
| Kategorie | Gesetz / Standard | Beschreibung / Relevanz |
| Pflicht Schweiz | 1. DSG (CH) | Pflicht für alle KMU, die Personendaten verarbeiten (revDSG seit 01.09.2023). |
| Pflicht Schweiz | 2. KRITIS (CH) | Ab 01.04.2025: 24h-Meldepflicht für Cyberangriffe – nur kritische Infrastrukturen. |
| Pflicht Schweiz | 3. PCI DSS | Pflicht bei Kreditkartenzahlungen; Vorgabe durch Kartenorganisationen. |
| EU / International | 4. DSGVO (EU) | Pflicht bei EU-Kunden oder Daten von EU-Bürgern. |
| EU / International | 5. NIS2 (EU) | Ab 2025 Pflicht in kritischen Sektoren; CH-KMU betroffen als Zulieferer. |
| EU / International | 6. CRA (EU) | Ab 11.12.2027: Cyber-Sicherheitsvorgaben für Produkte mit digitalen Komponenten. |
| EU / International | 7. DORA (EU) | Seit 17.01.2025: Finanzbranche & ICT-Dienstleister, auch CH über EU-Kunden. |
| EU / International | 8. HIPAA (USA) | Nur relevant bei Verarbeitung von US-Gesundheitsdaten. |
| Quasi-Pflicht | 9. ISO/IEC 27001 | ISMS-Standard; häufig Ausschreibungsanforderung. |
| Branchenspezifisch | 10. TISAX® (Auto) | Pflicht für Zulieferer; baut auf ISO 27001 auf. |
| Branchenspezifisch | 11. IEC 62443 (Industrie/OT) | OT-Sicherheit; gefordert in Produktion & Energie. |
| Branchenspezifisch | 12. ISAE 3402 / SOC 2 / BSI C5 | Nachweise für IT-/Cloud-Dienstleister. |
| Weitere Standards | 13. ISO/IEC 27017 & 27018 (Cloud) | Leitlinien für Cloud-Sicherheit & Datenschutz. |
| Weitere Standards | 14. ISO 22301 (Business Continuity) | BCMS; Notfall- und Wiederanlaufstrategien. |
| Weitere Standards | 15. ISO/IEC 27701 (Privacy) | Erweiterung zu ISO 27001 für Datenschutz. |
👉 Wichtig: Klare Prozesse, Schulungen und einfache, wirksame Schutzmassnahmen.
3. Warum ein Gesamtkonzept entscheidend ist
Ein Gesamtkonzept für Informations- und Cybersecurity spart Kosten und Zeit, weil sich viele Standards überschneiden und ineinandergreifen. Wer die Einführung in der richtigen Reihenfolge plant, vermeidet Doppelarbeit, reduziert den Aufwand und gewinnt zusätzlich Vertrauen bei Kunden und Partnern.
Die folgenden Praxisbeispiele zeigen, wie sich Synergien konkret nutzen lassen:
ISO 27001 → TISAX® (Automobil):
Ein Zulieferer startet mit ISO 27001. Damit sind 70–80 % der TISAX®-Kontrollen bereits abgedeckt. Ergebnis: bis zu 50 % weniger Auditaufwand, internationale Anerkennung und bessere Marktchancen.
ISO 27001 → CRA (EU-Produktanforderungen):
Ein IoT-Hersteller nutzt sein ISMS nach ISO 27001 und ergänzt es um Produkt-Security-Prozesse. Synergie: Risikomanagement, Incident-Response und Dokumentation sind schon vorhanden. Ergebnis: weniger Doppelarbeit, niedrigere Kosten und schnellere EU-Marktzulassung.
ISO 27001 → ISO 22301 (Business Continuity):
Ein IT-Dienstleister ergänzt sein ISMS um Notfallpläne und Wiederanlaufstrategien nach ISO 22301. Synergie: Risikoanalyse und Incident-Prozesse bestehen bereits. Ergebnis: kürzere Ausfallzeiten, zufriedene Kunden, geringerer Auditaufwand.
👉 So wird sichtbar: Mit einer klaren Strategie und sinnvoller Reihenfolge lassen sich Standards effizient kombinieren, Kosten senken und gleichzeitig Sicherheit, Resilienz und Marktchancen erhöhen.
4. Gesetze & Standards im Detail: Massnahmen, Häufigkeit, Aufwand
Gesetze – verbindlich (Pflicht)
Nr. | Gesetz / Regelung | Was zu tun ist | Wie oft | Aufwand / Kosten* |
1 | DSG (CH) | Datenschutzerklärung aktualisieren, Dateninventar führen, Auftragsverträge prüfen, jährliche Mitarbeiterschulung | Review alle 1–2 Jahre, Schulung jährlich | CHF 2’000–10’000 |
2 | KRITIS (CH, ab 2025) | Meldeprozess ans NCSC einrichten, Notfallplan, Alarmübungen | Einmalig + jährliche Tests | CHF 3’000–20’000 |
3 | PCI DSS | Payment-Provider zertifizieren, Firewall & Verschlüsselung, externe Scans/Audits | Quartalsweise Scans, jährliches Audit | CHF 5’000–15’000 initial, danach 2’000–10’000/Jahr |
4 | DSGVO (EU) | AV-Verträge prüfen, Prozesse für Datenpannen (72h), Betroffenenrechte umsetzen | Laufend, jährliche Reviews | CHF 5’000–20’000 |
5 | NIS2 (EU, ab 2025) | Security-Managementsystem, Vorfallmeldungen (24h/72h), GL-Schulung | Laufend, quartalsweise Reports, Vorfälle sofort | CHF 10’000–50’000 initial, danach 5’000–20’000/Jahr |
6 | CRA (EU, Pflichten ab 11.12.2027) | CE-Kennzeichnung, Update-Prozesse, Schwachstellenmanagement | Initialprojekt, dann pro Release | CHF 10’000–100’000 |
7 | DORA (EU, seit 17.01.2025) | ICT-Risikomanagement, Notfallübungen, Drittanbieter-Kontrolle | Jährlich Tests, Meldungen bei Vorfällen | CHF 20’000–80’000/Jahr |
8 | HIPAA (USA) | Business-Associate-Verträge, Schutzmassnahmen, jährliche Reviews | Laufend, nur bei US-Geschäft | CHF 20’000–100’000 |
Standards – Kundenanforderung, Wettbewerbsvorteil oder Sicherheit
Nr. | Standard | Nutzen / Wer fordert es | Was zu tun ist | Wie oft | Aufwand / Kosten* |
9 | ISO 27001 | Quasi-Pflicht, oft Voraussetzung für Aufträge | ISMS aufbauen (Risiko-Register, Policies), interne Audits, externe Zertifizierung | Intern jährlich, extern alle 3 Jahre | CHF 15’000–50’000 initial, danach 5’000–20’000/Jahr |
10 | TISAX® (Automobil) | Pflicht in der Autoindustrie | ENX-Registrierung, Selbstbewertung, externes Audit | Extern alle 3 Jahre, intern jährlich | CHF 10’000–40’000 |
11 | IEC 62443 (Industrie/OT) | Gefordert in Produktion, Energie, Automatisierung | Netzwerke segmentieren, Patch-Plan, OT-Sicherheitsmassnahmen | Laufend, jährliche Kontrolle | CHF 20’000–100’000 |
12 | ISAE 3402 / SOC 2 / BSI C5 (IT/Cloud) | Kundenanforderung bei IT-/Cloud-Diensten | Prozesse dokumentieren, externes Audit, Kundenberichte | Jährlich | CHF 15’000–60’000/Jahr |
13 | ISO/IEC 27017 & 27018 (Cloud) | Vertrauensvorteil, oft in Cloud-Verträgen | Verträge anpassen, Cloud-Controls prüfen, Verschlüsselung sicherstellen | Einmalig + Review jährlich | CHF 5’000–15’000 |
14 | ISO 22301 (Business Continuity) | Erwartet von Banken, Versicherungen, Grosskunden | Business-Impact-Analyse, Wiederanlaufpläne, Krisenübungen | BIA alle 2–3 Jahre, Übungen jährlich | CHF 10’000–40’000 |
15 | ISO/IEC 27701 (Privacy) | Ergänzung zu DSG/DSGVO, in sensiblen Branchen erwartet | Datenschutzprozesse dokumentieren, PIA durchführen | Laufend, Audit alle 2–3 Jahre | CHF 5’000–25’000 |
* Aufwand/Kosten = Erfahrungswerte / Mittelwerte. Diese können je nach Unternehmensgrösse, Branche, Kundenanforderungen und bestehender Sicherheitsreife stark abweichen.
5. Häufig gestellte Fragen, FAQ
Alle Unternehmen in der Schweiz müssen seit dem neuen Datenschutzgesetz (DSG, 2023) Personendaten schützen. Wer EU-Kunden hat, muss zusätzlich die DSGVO einhalten. Weitere Pflichten ergeben sich aus Branche, Kundenanforderungen und Geschäftspartnern.
Gesetze wie DSG oder DSGVO sind verbindlich. Standards wie ISO 27001 oder TISAX® sind formal freiwillig, werden aber häufig von Kunden verlangt – und sind damit oft entscheidend für Aufträge.
Zuerst gesetzliche Anforderungen prüfen (DSG/DSGVO). Danach Prozesse für Informationssicherheit aufbauen (Risikoanalyse, Awareness, Notfallpläne). Anschliessend Standards gezielt einführen – beginnend mit ISO 27001, weil viele weitere Normen darauf aufbauen.
ISO 27001 gilt als Schlüsselstandard. Er erleichtert die Einführung weiterer Normen (TISAX®, ISO 22301, ISO 27701) und reduziert Audit- und Nachweisaufwand.
Die Kosten variieren stark: von wenigen Tausend Franken für Basis-Massnahmen bis zu sechsstelligen Beträgen für umfassende Zertifizierungen. Die im Artikel genannten Werte sind Erfahrungswerte und können je nach Unternehmensgrösse, Branche und Kundenanforderungen deutlich abweichen.
6. Fazit: Cybersecurity ist kein Luxus mehr – sie ist Voraussetzung für Vertrauen und Erfolg
Jedes KMU steht an einem anderen Punkt: Einige starten mit ersten Massnahmen, andere haben bereits ein ISMS eingeführt oder Zertifizierungen erreicht. Wichtig ist nicht, wo Sie stehen – sondern dass Sie konsequent weitergehen.
👉 Ihre nächsten Schritte – passend zu Ihrem Reifegrad:
- Erste Schritte: DSG/DSGVO-Check durchführen und Verantwortlichkeiten festlegen.
- Aufbauphase: Prozesse für Informationssicherheit vertiefen, ein ISMS strukturieren und bei Bedarf zertifizieren lassen. Synergien zu weiteren Standards (z. B. TISAX®, ISO 22301, ISO 27701) gezielt nutzen.
- Fortgeschritten: Erstellen Sie eine strategische Roadmap über die nächsten Jahre: Welche Gesetze kommen (z. B. NIS2, CRA, DORA)? Welche Standards sind für Ihre Branche notwendig oder als Wettbewerbsvorteil sinnvoll? Und setzen Sie diese konsequent um.
- Alle: Mit Ihren wichtigsten Kunden abstimmen, welche Nachweise oder Standards konkret erwartet werden.
Jeder Schritt bringt Sie weiter. Je früher KMU handeln, desto einfacher und kostengünstiger ist es. Abwarten kostet – nicht nur Geld, sondern auch Geschäftschancen.
