Klare Lösungen für ISO 27001 & TISAX® – Einfach. Praxisnah. Zertifizierbar.

Kontakt

NIS2 – EU Pflichten und Relevanz für Schweizer KMU

NIS2 kurz zusammengefasst für Entscheider und Verantwortliche
NIS2

👉 Weiterführende Details zu NIS2

Die EU-Richtlinie NIS2 (Network and Information Security Directive 2) verfolgt das Ziel, ein hohes und einheitliches Niveau der Cyber- und Informationssicherheit in der Europäischen Union sicherzustellen. Sie verpflichtet bestimmte Unternehmen in der EU zur Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen.

NIS2 definiert EU-weit einheitliche inhaltliche Mindestanforderungen, richtet sich rechtlich jedoch an die EU-Mitgliedstaaten. Diese setzen die Vorgaben durch nationale Gesetze um, welche insbesondere Zuständigkeiten, Meldepflichten, Fristen und Sanktionen regeln. Die konkrete Ausgestaltung kann daher je nach Mitgliedstaat variieren.

Rechtliche Betroffenheit

Gesetzlich NIS2-pflichtig sind ausschließlich Unternehmen und Organisationen mit Sitz oder Niederlassung in der EU, die einem der definierten Sektoren angehören und die festgelegten Größenkriterien (z. B. Mitarbeiterzahl, Umsatz) erfüllen.

Einordnung für Schweizer Unternehmen

Schweizer Unternehmen sind rechtlich nicht NIS2-pflichtig. Für sie bestehen keine gesetzlichen Umsetzungs-, Registrierungs- oder Meldepflichten nach NIS2 oder den nationalen Umsetzungsgesetzen der EU.

In der Praxis ist NIS2 dennoch relevant: NIS2-pflichtige EU-Unternehmen sind verpflichtet, Cyber- und Informationssicherheitsrisiken entlang ihrer Lieferkette angemessen zu steuern. Lieferanten werden risikobasiert nach Schutzbedarf klassifiziert. Abhängig von dieser Einstufung verlangen EU-Kunden zunehmend vertraglich definierte Sicherheitsanforderungen sowie nachvollziehbare Nachweise – auch von Schweizer Lieferanten und Dienstleistern.

Die geforderten Maßnahmen sind risikobasiert und verhältnismäßig umzusetzen; pauschale oder überzogene Anforderungen sind rechtlich nicht vorgesehen.

Praktische Konsequenz

Unternehmen, die diese Anforderungen nicht erfüllen oder keine geeigneten Nachweise erbringen, werden in der Praxis häufig von Ausschreibungen ausgeschlossen. Informationssicherheit entwickelt sich damit von einem freiwilligen Qualitätsmerkmal zu einem marktüblichen Erwartungs- und Vertrauensstandard – auch für Schweizer KMU mit EU-Geschäftsbeziehungen.

👉 Hier setzt unsere NIS2-Beratung für KMU an: pragmatisch, risikoorientiert und ohne unnötige Bürokratie.

👉 Jetzt unverbindlich Kontakt aufnehmen – wir freuen uns auf das Gespräch

Was verlangt NIS2 – in der Praxis relevant für KMU

NIS2 verlangt keine theoretischen Konzepte, sondern funktionsfähige Prozesse, die im Alltag gelebt werden. Insbesondere ergeben sich aus den Artikeln 20 und 21 folgende Anforderungen:

  • Risikomanagement & Schutzbedarfe –Regelmässig prüfen, welche Systeme und Daten kritisch sind – und welche Risiken sofort adressiert werden müssen

  • Sicherheitsmassnahmen – Einen klaren Mindeststandard an Technik und Organisation etablieren (Zugriffe, Updates, Backup, Logging, Netzwerk-Schutz usw.)

  • Incident-Handling & Meldeprozesse – Ein strukturierter Ablauf, wie Vorfälle erkannt, bewertet, eskaliert und – falls nötig – fristgerecht gemeldet werden

  • Lieferketten- und Dienstleisterkontrollen – Prüfen, ob IT-Dienstleister und kritische Lieferanten grundlegende Sicherheitsanforderungen erfüllen – und dies vertraglich absichern

  • Business Continuity & Notfallmanagement – Prozesse, wie der Betrieb bei Ausfällen weiterläuft: Notfallplan, Wiederanlaufverfahren, Ansprechpartner

  • Awareness & Schulungen – Mitarbeitende regelmässig zu Cyberrisiken, Phishing und sicheren Arbeitsweisen zu sensibilisieren und zu schulen

  • Dokumentation & Nachweise – Beschreiben, was existiert – und zeigen können, dass es funktioniert (Policies, Protokolle, Tests, Reports)

  • Top-Management-Verantwortung – Die Geschäftsleitung muss Sicherheitsmassnahmen verstehen, priorisieren und freigeben, regelmässig deren Umsetzung überwachen und sich selbst zu ihren Pflichten schulen lassen – inklusive Nachweis der Teilnahme
Was verlangt NIS2
NIS2 Einstieg

Der pragmatische Einstieg: eine kompakte Gap-Analyse

Bevor Massnahmen geplant oder Budgets entschieden werden, braucht es einen klaren Überblick: Wo stehen wir heute – und was fehlt wirklich, um NIS2 zu erfüllen?

Eine kompakte Gap-Analyse liefert hier den nötigen Überblick, indem sie die zentralen Bereiche beleuchtet:

  • bestehende IT- und Security-Strukturen
  • vorhandene Richtlinien und Prozesse
  • technische und organisatorische Sicherheitsmassnahmen
  • Reifegrad im Risikomanagement
  • Incident-Handling und Meldewege
  • Lieferanten- und Dienstleistermanagement


Am Ende steht eine klare und verständliche Prioritätenliste als Entscheidungsgrundlage, die zeigt:

  • was notwendig,
  • was sinnvoll,
  • und was nice-to-have ist.

Struktur schafft Klarheit – wie ISO 27001 und TISAX ® die Massnahmenplanung unterstützen

Bevor ein Unternehmen konkrete Sicherheitsmassnahmen plant, braucht es eine klare, nachvollziehbare Struktur. Genau dabei unterstützen etablierte Standards wie ISO 27001 und TISAX®: Sie stellen einen geordneten Rahmenbereit, der definiert, wie Risiken bewertet werdenwie Verantwortlichkeiten festzulegen sind und wie technische und organisatorische Massnahmen systematisch geplant werden.

Auf dieser strukturierten Grundlage können die NIS2-Pflichten vollständig, logisch und prüfbar umgesetzt werden. Sind Massnahmen definiert, priorisiert und dokumentiert, gilt die zentrale NIS2-Anforderung an die Massnahmenplanung als erfüllt.

Gerade im KMU-Umfeld verhindert eine solche Struktur, dass Aufgaben unkoordiniert nebeneinanderlaufen, Verantwortlichkeiten unklar bleiben oder relevante Sicherheitsbereiche übersehen werden. Diese strukturierte Vorgehensweise schafft Orientierung – und stellt sicher, dass Informationssicherheit effizient, wirksam und wirtschaftlich umgesetzt wird.

NIS2 Struktur
Fragezeichen

Häufig gestellte Fragen zu NIS2

FAQ

Schweizer KMU fallen nicht direkt unter NIS2.
Relevant wird NIS2, weil EU-Kunden, Partner oder Konzernmütter zunehmend ein vergleichbares Sicherheitsniveau verlangen – oft als Voraussetzung für Zusammenarbeit, Lieferantenbeziehungen oder Ausschreibungen.

Ja.
Der vollständige Massnahmenkatalog (Art. 21) gilt für alle NIS2-pflichtigen Unternehmen, unabhängig von der Einstufung.
Unterschiede gibt es nur in der Behördenaufsicht, nicht bei den Pflichten.

NIS2 fordert gelebte Sicherheitsprozesse in Bereichen wie:
Risikomanagement, technische und organisatorische Kontrollen, Incident-Handling und Meldewege, Business Continuity, Lieferantenmanagement, Schulungen, Dokumentation und klare Top-Management-Verantwortung.

ISO 27001 und TISAX helfen, die Massnahmen systematisch zu planen.
Sie bieten einen strukturierten Rahmen, damit Risiken, Rollen, Prozesse und Sicherheitskontrollen vollständig und nachvollziehbar geplant werden – ohne unnötige Bürokratie.

Mit einer kompakten Gap-Analyse, die den aktuellen Stand bewertet und eine klare Prioritätenliste liefert:
was notwendig, was sinnvoll und was nice-to-have ist.

Diese bildet die belastbare Grundlage für die Planung der NIS2-relevanten Massnahmen.

👉 Weiterführende Details zu NIS2 finden Sie in unserem Blog