1. Summary – Was Unternehmen jetzt wirklich wissen müssen
NIS2 ist ein EU-weites Gesetz, das das Cybersicherheitsniveau in Europa erhöhen und Lieferketten besser schützen soll. Jede EU-Nation muss die Richtlinie in eigenes Recht überführen – Deutschland hat dies im November 2025 getan. Damit gelten die neuen Pflichten verbindlich und betreffen deutlich mehr Unternehmen als frühere IT-Sicherheitsvorgaben.
Auch in den Nachbarländern der Schweiz ist Bewegung: Italien hat NIS2 bereits umgesetzt, Frankreich arbeitet sektorspezifisch daran, während Österreich hinterherhinkt. Die Folgen spüren auch Schweizer KMU – über Kundenanforderungen, Verträge und Lieferketten.
🔍 Die Kernaussagen für Entscheider
- Pflichten: Risikomanagement, Mindestmaßnahmen, Meldeprozesse, Lieferantenkontrollen und klare Dokumentation werden verpflichtend.
- Aufsicht: Behörden erhalten mehr Eingriffsrechte; Prüfungen erfolgen risikobasiert.
- Kosten: Der Aufwand hängt vom aktuellen Sicherheitsniveau ab – ein schlankes ISMS reduziert die Kosten deutlich.
- Haftung: Die Geschäftsleitung trägt die finale Verantwortung für die Umsetzung – bei Verstößen drohen persönliche Konsequenzen/ Strafen.
🎯 Warum NIS2 unterschiedlich wirkt
„Angemessene“ und „risikobasierte“ Maßnahmen erlauben Interpretationsspielräume. Deshalb sind Teile von NIS2 ähnlich zu ISO 27001/TISAX®, andere aber strenger – je nach Branche, Behörde und nationaler Umsetzung.
✔ Worum es hier geht
Dieser Beitrag konzentriert sich nur auf die eindeutig verbindlichen NIS2-Pflichten, die über ISO 27001/TISAX® hinausgehen – klar, praxisnah und ohne unnötige Komplexität.
Wer ist von NIS2 betroffen? (Zielgruppe & Geltungsbereich)
NIS2 gilt für Unternehmen und Organisationen, die als kritisch, wesentlich oder wichtig eingestuft werden. Das Gesetz definiert insgesamt 18 Sektoren als relevant – darunter Energieversorgung, Transport und Gesundheitswesen, aber auch digitale Dienste/Infrastruktur, öffentliche Verwaltung, Abfallwirtschaft, Produktion und weitere zentrale Branche. Es geht also weit über die klassische KRITIS-Definition hinaus.
Nicht allein der Sektor entscheidet, sondern auch die Unternehmensgrösse: In der Regel fallen Betriebe mit mindestens 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz unter NIS2. Damit werden auch viele mittlere Unternehmen erstmals sicherheitsreguliert – Schätzungen sprechen von über 30.000 Unternehmen in Deutschland, oft Firmen, die bisher kaum Berührungspunkte mit regulatorischer IT-Sicherheit hatten.
Hinweis: Kleinst- und Kleinunternehmen bleiben meist ausgenommen. Allerdings gibt es Ausnahmen: Kritische Infrastrukturen (z.B. besondere Anlagen oder Anbieter digitaler Dienste) können unabhängig von der Mitarbeiterzahl als NIS2-relevant gelten. Jedes Unternehmen sollte daher sorgfältig prüfen, ob es unter NIS2 fällt – entweder aufgrund von Sektor und Grösse oder wegen besonderer kritischer Funktionen.
Wesentliche vs. wichtige Einrichtungen: NIS2 unterscheidet zwei Kategorien. „Wesentliche Einrichtungen“ (Essential Entities) sind meist die hochkritischen Sektoren und grösseren Betreiber – sie unterliegen einer verstärkten Aufsicht und im Ernstfall höheren Strafen. „Wichtige Einrichtungen“ (Important Entities) decken zusätzliche Sektoren wie z.B. Post-/Kurierdienste, Abfallwirtschaft, Chemie, Fertigung etc. – sie haben dieselben Sicherheitsanforderungen, aber die Behördenaufsicht erfolgt etwas risikobasierter (siehe unten). Beide Gruppen müssen jedoch die NIS2-Pflichten erfüllen.
2. Meldepflicht zur Registrierung
Sobald Ihr Unternehmen — z. B. aufgrund Branche, Geschäftsfeld oder Größe — in einem EU-Mitgliedstaat als „wesentlich“ oder „wichtig“ klassifiziert wird, besteht pflichtige Selbstmeldung bei der zuständigen nationalen Behörde.
In Deutschland etwa ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI), ggf. gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Die Registrierung muss spätestens drei Monate nach der Feststellung der Betroffenheit erfolgen.
Gefordert werden u. a. Angaben zur Rechtsform, Adresse, Kontaktdaten, Branche/Sektor, Geschäftstätigkeit in EU-Staaten sowie ggf. technische Angaben (z. B. IP-Adressbereiche, Standorte).
Wer die Registrierung verzögert oder unterlässt, riskiert — sobald nationale Gesetzgebung wirksam ist — Bußgelder oder andere Sanktionen.
3. Aufsicht: Wer kontrolliert und was passiert bei Nicht-Meldung?
Die Überwachung der NIS2-Compliance übernehmen die zuständigen Aufsichtsbehörden der Länder sowie in bestimmten Fällen das BSI als Bundesbehörde in Deutschland. Welche Behörde zuständig ist, hängt vom Sektor ab. So wird beispielsweise das BSI zentrale Anlaufstelle für übergreifende Bereiche wie digitale Dienste, Cloud-Anbieter oder Rechenzentren sein, während in anderen Sektoren die jeweiligen Landesbehörden oder branchenspezifische Regulierer prüfen. Unternehmen müssen also damit rechnen, dass behördliche Stellen ihre Registrierung und später die Einhaltung der Massnahmen überprüfen.
Wie wird geprüft? Da keine flächendeckenden Vor-Ort-Audits für alle Firmen möglich sind, setzen die Behörden auf indirekte Prüfmechanismen und Risikohinweise. So können sie öffentliche Branchenregister, Lizenzverzeichnisse oder Unternehmensdatenbanken auswerten, um abzugleichen, wer sich melden müsste. Auch Auffälligkeiten – etwa Sicherheitsvorfälle, die bekannt werden – oder Hinweise Dritter (z.B. von Kunden, Partnern oder Whistleblowern) können die Behörde darauf stossen, dass ein Unternehmen NIS2-pflichtig ist. Insgesamt gilt: Man kann sich nicht „verstecken“ – wer die Kriterien erfüllt, sollte proaktiv melden, bevor die Behörde von selbst vor der Tür steht.
Nichtmeldung ist kein Kavaliersdelikt, sondern ein eigener Compliance-Verstoss. Wenn ein betroffener Betrieb die Registrierung unterlässt, drohen empfindliche Konsequenzen. Zum einen sieht NIS2 hier Bussgelder vor – der Strafrahmen liegt bei bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) für „wesentliche Einrichtungen“. Für “wichtige” Einrichtungen sind es immer noch bis 7 Mio. € oder 1,4 % vom Umsatz. Zum anderen können weitere Massnahmen folgen: Die Behörde kann Kontrollen anordnen, die sofort nachträgliche Pflichterfüllung verlangen und ggf. Zwangsmassnahmen einleiten. Es drohen verpflichtende Audits/Prüfungen, konkrete Sicherheitsauflagen und sogar Massnahmen gegen die Geschäftsleitung. So ermöglicht das Gesetz etwa, Manager bei groben Verstössen von ihren Funktionen auszuschliessen oder öffentliche Warnungen herauszugeben.
Fazit: Wer sich nicht meldet, ist per Definition nicht compliant – und schafft sich zielsicher ein erhebliches Rechts- und Bussgeldrisiko. Nichtmeldung = automatische Nicht-Compliance.
4. Durchsetzung in der Praxis: Wie streng kontrollieren die Behörden?
Viele KMU fragen sich, ob NIS2 tatsächlich streng flächendeckend durchgesetzt wird. Realistisch betrachtet können die Behörden nicht jedes der tausenden betroffenen Unternehmen regelmässig prüfen – dafür fehlen Personal und Ressourcen. Die Aufsicht erfolgt risikobasiert und selektiv. Im Klartext: Der Fokus der Prüfer wird auf den kritischsten Bereichen liegen – also Branchen und Unternehmen, deren Ausfall gravierende Folgen hätte, sowie solche, die bereits durch Sicherheitsvorfälle oder Hinweise auffällig wurden.
Für “wichtige” (Important) Einrichtungen ist im Gesetz ausdrücklich nur eine anlassbezogene bzw. stichprobenartige Kontrolle vorgesehen. Das heisst, ohne konkreten Anlass (z.B. einen Vorfall) wird man nicht unbedingt sofort geprüft. Entwarnung ist das aber keine: Die eigentliche Gefahr entsteht im Ernstfall. Wenn es zu einem Cyber-Incident kommt – etwa ein erfolgreicher Angriff, der Meldepflichten auslöst – schauen die Behörden ganz genau hin. Spätestens dann müssen alle Nachweise auf dem Tisch liegen. Wer dann keine tragfähige Sicherheitsorganisation vorweisen kann, dem drohen die vollen Sanktionen. Oder prägnant ausgedrückt: NIS2 “trifft” Unternehmen zwar selektiv – aber wenn, dann mit voller Wucht.
Für “wesentliche” (Essential) Einrichtungen wird die Behörde dagegen proaktiver agieren. Das Gesetz sieht hier eine verstärkte Aufsicht vor, inklusive der Möglichkeit regelmässiger Nachweisanforderungen und Vor-Ort-Prüfungen durch das BSI. Diese Unternehmen müssen sich also auf engmaschigere Kontrollen einstellen.
Wichtig: Beide Kategorien – ob essential oder important – müssen die gleichen Sicherheitsmassnahmen umsetzen. Der Unterschied liegt primär im Prüfintervall und Sanktionsrahmen, nicht in den Pflichten an sich.
5. Behördenkontrolle statt Zertifizierung: Keine regelmässigen NIS2-Audits
Ein wesentlicher Unterschied zu freiwilligen Standards wie ISO 27001 oder TISAX® besteht darin, dass es für NIS2 keine offizielle Zertifizierung oder Audit-Zyklen durch Dritte gibt. Es gibt also kein jährlich externes Audit, nach dessen Bestehen man ein NIS2-Zertifikat an die Wand hängen könnte. Stattdessen setzt NIS2 auf staatliche Aufsicht und Eigenverantwortung der Unternehmen:
- Staatliche Aufsicht: Die Erfüllung der NIS2-Vorgaben wird durch die genannten Behörden überwacht. Insbesondere unterliegen wesentliche Einrichtungen einer kontinuierlicheren Überprüfung – hier kann das BSI z.B. regelmässig Berichte und Nachweise verlangen und bei Bedarf vor Ort prüfen.
Bei wichtigen Einrichtungen finden Prüfungen vor allem anlassbezogen statt, z.B. nach Meldungen von Sicherheitsvorfällen oder in sporadischen Stichproben. Unternehmen sollten also jederzeit in der Lage sein, ihre Compliance zu belegen, auch wenn nicht jährlich ein Prüfer vorbeikommt.
- Kein offizielles NIS2-Siegel: Anders als bei ISO/TISAX® gibt es kein formales Zertifikat, das man erwerben kann, um “NIS2-Compliance” nachzuweisen. Ein implementiertes ISMS (Informationssicherheits-Managementsystem) kann aber als interner „Compliance-Motor“ dienen. Es hilft, alle geforderten Dokumente, Prozesse und Reports fortlaufend aktuell zu halten, sodass man bei einer behördlichen Nachfrage oder Prüfung gut vorbereitet ist.
Fazit: Die NIS2-Umsetzung wird eher wie die Erfüllung gesetzlicher Pflichten (ähnlich Arbeitssicherheit, Datenschutz etc.) gehandhabt – nicht wie eine einmalige Prüfung, sondern als Daueraufgabe mit möglicher behördlicher Kontrolle. Unternehmen sollten daher intern eigene Audit-Routinen etablieren, auch ohne externe Zertifizierung, um kontinuierlich konform zu bleiben.
6. Kostenperspektive für KMU: Aufwand vs. Risiko
Gerade für kleine und mittlere Unternehmen stellt sich die Frage der Kosten: Wird NIS2 teuer? Hier lautet die gute Nachricht: NIS2 fordert kein Luxus-Sicherheitsbudget, sondern angemessene Massnahmen. Für ein KMU bedeutet das, dass man kein High-End-SOC oder teure Speziallösungen braucht, solange die grundlegenden Schutzmassnahmen wirksam umgesetzt sind. Ein einfaches ISMS und solide Basistechniken reichen in der Regel aus. Beispielsweise lässt sich ein Grossteil der Anforderungen mit vorhandenen Bordmitteln (gute Firewall/Endpoint-Security, regelmässige Updates, Backups, Schulungen etc.) abdecken – es geht um Struktur und Vollständigkeit, nicht um teure Gadgets.
Wichtig ist, die Aufwände planbar zu machen: Wer frühzeitig anfängt, kann die Umsetzungsschritte über mehrere Monate verteilen und so die Kosten glätten. Ausserdem gibt es oft Fördermöglichkeiten oder brancheninterne Ressourcen, die genutzt werden können.
Dem gegenüber steht das Kostenrisiko, nichts zu tun: Ein schwerer Sicherheitsvorfall kostet in der Regel um ein Vielfaches mehr als präventive Massnahmen – sei es durch Betriebsunterbrechung, Datenverlust, Imageschaden oder jetzt neu auch Bussgelder.
Der teuerste Weg ist daher: gar nichts tun. NIS2 gibt einen Rahmen vor, in dem sich sinnvolle Investitionen bewegen: lieber jetzt in Prävention und Organisation investieren, als später die Schäden (und Strafen) zu tragen.
Positiv für bereits zertifizierte Unternehmen: Wer schon ein ISMS nach ISO 27001 oder TISAX® betreibt, hat nur geringfügigen Zusatzaufwand. Diese Unternehmen erfüllen heute schon schätzungsweise 70–90 % der NIS2-Anforderungen. Meist geht es nur um einige zusätzliche Nachweise (z.B. Meldeprozesse, Managementeinbindung, Lieferantenbewertungen) und formale Anpassungen. Für solche Firmen ist NIS2 eher eine Erweiterung bestehender Sicherheit, keine völlig neue Baustelle.
7. ISO 27001 und TISAX® als Fundament – So verhindert man Chaos
NIS2 schreibt Was erreicht werden soll vor, aber nicht detailliert Wie. Hier kommen etablierte Sicherheitsstandards ins Spiel: ISO/IEC 27001 (der internationale Standard für Informationssicherheits-Management) und der branchenspezifische Standard TISAX® (für die Automobilindustrie) bieten erprobte Frameworks, um die NIS2-Ziele strukturiert umzusetzen. Für KMU sind diese Standards Gold wert, um Chaos zu vermeiden:
- Klare Rollen & Verantwortlichkeiten:
ISO 27001 verlangt definierte Verantwortliche (z.B. Informationssicherheits-Beauftragter, Managementverantwortung). NIS2 fordert explizit, dass Geschäftsleitungen in die Verantwortung gehen. Ein ISMS sorgt dafür, dass Zuständigkeiten von Anfang an geklärt sind. - Prozessorientiertes Risikomanagement:
Beide Standards setzen auf laufende Risikoanalysen und Behandlung von Risiken. Das deckt sich mit NIS2, das wirksame, verhältnismässige Massnahmen basierend auf Risikoexposition fordert. Mit ISO hat man bereits die Methodik, um Risiken systematisch zu bewerten und zu behandeln. - Lieferantensteuerung:
ISO 27001 beinhaltet Kontrollen zur Lieferkettensicherheit (z.B. Evaluierung von Dienstleistern, vertragliche Sicherheitsanforderungen). NIS2 hebt dieses Thema auf die regulatorische Ebene – mit einem ISMS hat man schon den Prozess, um die neuen Pflichten bei Lieferantenmanagement zu erfüllen. - Incident-Handling & Notfallmanagement:
ISO fordert definierte Abläufe für Security Incidents und Business Continuity. NIS2 schreibt konkrete Meldewege und Fristen vor und erwartet Notfallpläne. Unternehmen mit ISO/TISAX® haben in der Regel bereits Incident-Response-Pläne, die nur an die neuen Meldepflichten angepasst werden müssen. - Dokumentation und kontinuierliche Verbesserung:
Ein ISMS lebt von Policies, Berichten, Überprüfungen und Verbesserungszyklen. Genau das verlangt NIS2 – z.B. regelmässige Wirksamkeitskontrollen, Nachweise gegenüber Behörden und Updates der Sicherheitsstrategie. ISO/TISAX® liefern die Werkzeuge (Interne Audits, Management-Reviews, KPIs), um diese Aufgaben zu bewältigen.
Unterm Strich decken ISO 27001 und TISAX® bereits einen Grossteil der NIS2-Vorgaben ab. Sie bieten einen Baukasten an Prozessen und Massnahmen, den man “nur” mit den NIS2-spezifischen Zusatzanforderungen ergänzen muss. So behält man den Überblick und vermeidet Aktionismus nach jeder neuen Vorschrift. Für viele KMU ist ein schlankes ISMS daher der Königsweg, um NIS2 gelassen entgegenzusehen.
8. NIS2: Welche Anforderungen gehen über ISO/TISAX® hinaus?
Obwohl ISO 27001/TISAX® viel abdecken, gibt es einige NIS2-Pflichten, die eindeutig darüber hinausgehen – diese sollten Unternehmen besonders im Blick haben, da sie neu und gesetzlich bindend sind. Hier die wichtigsten zusätzlichen Anforderungen von NIS2:
- Gesetzliche Meldepflichten bei Sicherheitsvorfällen (mit festen Fristen):
Erstmals schreibt eine EU-Richtlinie verbindliche Cyber-Meldewege vor. Betroffene Unternehmen müssen erhebliche IT-Sicherheitsvorfälle an das BSI melden, und zwar gestaffelt innerhalb enger Fristen: spätestens 24 Stunden nach Bekanntwerden eine erste Frühwarnung, nach 72 Stunden eine ausführliche Folgemeldung mit Details, und innerhalb von 1 Monat einen Abschlussbericht. Diese Meldepflicht ist rechtlich durchsetzbar – Versäumnisse (zu späte oder ausbleibende Meldungen) gelten als Compliance-Verstoss und können direkt mit Bussgeld sanktioniert werden.
ISO 27001 fordert zwar interne Vorfallbehandlung, aber keine externe Meldung unter Androhung von Strafe. NIS2 macht hier ernst: Unternehmen müssen klar definierte Meldeprozesse etablieren und rund um die Uhr in der Lage sein, innerhalb von 24h zu reagieren. - Management-Pflichten & persönliche Haftung:
NIS2 nimmt das Top-Management ausdrücklich in die Pflicht. Geschäftsführungen bzw. Vorstände müssen sich aktiv in die Cybersicherheitsstrategie einbringen, zentrale Sicherheitskonzepte genehmigen, die Umsetzung überwachen und regelmässig Schulungen zur Cybersecurity absolvieren. Damit soll gewährleistet sein, dass Entscheider über ausreichende Kompetenz verfügen. Diese Anforderungen gehen deutlich weiter als das blosse “Management Commitment” bei ISO. Zudem schafft NIS2 eine Haftungsebene für Führungskräfte: Vernachlässigt das Management seine Cybersicherheits-Pflichten gröblich, können persönliche Konsequenzen drohen – bis hin zu Organhaftung oder dem Verlust der Eignung, Leitungsfunktionen auszuüben. Für die Praxis heisst das: Die Geschäftsleitung muss NIS2-Compliance zur Chefsache machen und sich im Zweifel weiterbilden, um ihrer Verantwortung gerecht zu werden. - Lieferkettensicherheit – jetzt behördlich prüfbar:
Erstmals wird Supply-Chain-Cybersicherheit zur gesetzlichen Pflicht. Betreiber im NIS2-Rahmen müssen risikobasiert ihre wesentlichen IT-Dienstleister und Zulieferer bewerten, vertragliche Sicherheitsanforderungen an diese Partner stellen und nachhalten, dass die Lieferkette angemessen geschützt ist. Im Unterschied zum reinen Audit-Thema (wie bisher bei ISO) kann nun auch die Behörde Unterlagen zum Lieferantenmanagement einsehen und Massnahmen verlangen.
Wichtig: Die Accountability bleibt beim auslagernden Unternehmen – es kann sich im Fall eines Vorfalls nicht damit entschuldigen, dass der Dienstleister unsicher war. NIS2 verlangt, dass Sie vorausschauen: Schwachstellen in der Supply Chain proaktiv adressieren und dokumentieren. Zwar ist das kein „Lieferkettensicherheitsgesetz“ mit externen Audits, aber ein prüfbarer interner Prozess, der aufgebaut sein muss. - Verpflichtende Fähigkeit zur Angriffserkennung:
Unternehmen müssen künftig über Mechanismen verfügen, Angriffe auf ihre IT-Systeme frühzeitig zu erkennen, zu analysieren und darauf zu reagieren. Das wird im neuen BSIG (§31) konkretisiert, etwa als „System zur Angriffserkennung (SzA)“ definiert - Technikzwang gibt es dabei nicht – es ist also nicht vorgeschrieben, ein bestimmtes SIEM, IDS oder Security Operations Center zu betreiben. Aber die Nachweispflicht ist klar: Jedes NIS2-pflichtige Unternehmen muss ein funktionierendes Detection-&-Response-Konzept vorweisen können. Das umfasst kontinuierliches Monitoring, geeignete Alarmierungs- und Analysesysteme (den Umständen entsprechend) sowie geübte Reaktionsprozesse. In ISO 27001 wird zwar Monitoring erwähnt, aber NIS2 erhebt es zur Pflicht mit Qualitätsanspruch. Firmen sollten daher prüfen: Können wir Angriffe zuverlässig bemerken? Wenn nicht, muss hier nachgebessert werden – sei es durch externe Security-Dienstleister oder den Ausbau interner Log- und Überwachungsfähigkeiten.
- Erhöhter Sanktionsrahmen & Eingriffsmöglichkeiten:
Anders als freiwillige Standards kennt NIS2 harsche Sanktionen. Während bei ISO/TISAX® maximal der Zertifizierungsentzug droht, setzt NIS2 auf empfindliche Bussgelder und behördliche Befugnisse. Für Verstösse (inkl. Organisationsmängel, Nicht-Meldung, mangelnde Massnahmenwirksamkeit) können Strafen bis 10 Mio. € oder 2 % des globalen Jahresumsatzes verhängt werden (bzw. 7 Mio.€/1,4% für wichtige Einrichtungen).
Zusätzlich dürfen Behörden verbindliche Anordnungen treffen, z.B. bestimmte Security-Massnahmen erzwingen, und – wie erwähnt – leitende Personen aus dem Verkehr ziehen (Untersagung der Tätigkeit) oder öffentliche Warnungen aussprechen. Dieser Sanktionsrahmen liegt deutlich über allem, was ISO/TISAX® vorsehen. Unternehmen müssen sich der ernsthaften Konsequenzen bewusst sein: NIS2-Compliance ist kein „nice-to-have“, sondern ein Muss, das notfalls mit Macht durchgesetzt wird.
9. Was bedeutet NIS2 für KMU in der Schweiz?
Auch wenn die Schweiz kein EU-Mitglied ist, können Schweizer KMU mittelbar von NIS2 betroffen sein. Der Grund: Die Richtlinie verpflichtet EU-Unternehmen im Rahmen ihrer Lieferketten- und Drittparteienverantwortung, Sicherheitsstandards auch bei ihren externen Partnern sicherzustellen. Dadurch geraten Schweizer Zulieferer und Dienstleister in den Fokus der NIS2-Anforderungen ihrer EU-Kunden.
In der Praxis zeigt sich das bereits heute. Erste Schweizer Firmen erhalten vermehrt Anfragen wie: „Bitte bestätigen Sie uns Ihre NIS2-Konformität.“
NIS2 beeinflusst damit zunehmend geschäftliche Beziehungen: In Ausschreibungen, Vertragsverhandlungen und Lieferantenbewertungen wird ein strukturiertes Sicherheitsniveau vorausgesetzt. Unternehmen, die diese Anforderungen nicht erfüllen können, riskieren Wettbewerbsnachteile – selbst dann, wenn für sie (noch) keine unmittelbare rechtliche Verpflichtung besteht.
Kurz gesagt: Für Schweizer KMU ist NIS2 kein Gesetz, aber ein Marktstandard. Wer EU-Kunden bedienen will, wird faktisch an den Erwartungen der Richtlinie gemessen.
Besonders relevant ist dies für Schweizer Unternehmen, die
- kritische oder sicherheitsrelevante Dienstleistungen für EU-Organisationen erbringen, oder
- Tochtergesellschaften bzw. Niederlassungen in der EU betreiben.
Letztere können direkt unter NIS2 fallen. Die daraus entstehenden Konzernvorgaben und Sicherheitsrichtlinien wirken häufig zurück auf das Schweizer Stammhaus.
Gleichzeitig entwickelt sich auch die Schweiz weiter: Mit dem Informationssicherheitsgesetz (ISG) und der Stärkung des NCSC/BACS hat der Bund erste regulatorische Schritte gesetzt – z. B. eine Meldepflicht für Vorfälle in kritischen Infrastrukturen innerhalb von 24 Stunden. Die inhaltliche Stoßrichtung ähnelt derjenigen der EU zunehmend.
Fazit für Schweizer KMU:
Ein gut etabliertes ISMS und ein Sicherheitsniveau, das sich an NIS2 orientiert, wird zum klaren Wettbewerbsvorteil. Wer früh handelt, stärkt die eigene Position in europäischen Lieferketten und gilt als verlässlicher Partner.
10. Sieben Schritte für KMU: Pragmatische Umsetzung von NIS2
NIS2 klingt umfangreich, ist aber machbar – wenn man jetzt strukturiert vorgeht. Für KMU empfiehlt sich ein pragmatischer Ansatz in überschaubaren Schritten. Hier ein Fahrplan in sieben Schritten, um die NIS2-Compliance effizient anzugehen:
- NIS2-Betroffenheit prüfen:
Führen Sie eine gründliche Betroffenheitsanalyse durch. Anhand der Sektorlisten und Schwellenwerte (≥50 Mitarbeiter/10 Mio.€ Umsatz) ermitteln Sie, ob Ihre Organisation als “wichtige” oder “wesentliche” Einrichtung gilt. Nutzen Sie Hilfsmittel wie den 【BSI-NIS2-Selbsttest【23†L173-L182】 oder konsultieren Sie Experten, um die Einschätzung abzusichern. Diese Analyse ist die Basis für alle weiteren Schritte. - Sicherheitsniveau bewerten & Lücken identifizieren:
Analysieren Sie den Status quo Ihrer IT-Sicherheit. Welche Massnahmen und Prozesse sind schon vorhanden, wo gibt es Gaps im Vergleich zu NIS2? Falls Sie bereits ISO 27001/TISAX® umgesetzt haben, erstellen Sie eine gezielte Gap-Analyse gegenüber den NIS2-Anforderungen – so sehen Sie, welche zusätzlichen Punkte (z.B. Meldethemen, Managementeinbindung, Lieferantendokumentation) noch fehlen. Ohne bestehendes ISMS kann eine Basis-Sicherheitsanalyse helfen, Schwachstellen aufzudecken. - Verantwortlichkeiten festlegen:
Bestimmen Sie intern klare Rollen für die Informationssicherheit und die NIS2-Compliance. Wer ist operativ verantwortlich (z.B. ein IT-Sicherheitsbeauftragter) und wer trägt auf Management-Ebene die Verantwortung? Die Geschäftsleitung sollte offiziell jemanden benennen, der als Ansprechpartner gegenüber Behörden (NIS2-Kontaktstelle) fungiert. Stellen Sie sicher, dass das Top-Management seine neue Rolle versteht und akzeptiert – idealerweise durch Briefing oder Schulung zu NIS2-Pflichten. - Meldewege und Incident Response einrichten:
Implementieren Sie einen robusten Incident-Response-Prozess. Definieren Sie klare Meldeketten intern und extern: Wer alarmiert wen im Fall eines Sicherheitsvorfalls? Stellen Sie sicher, dass Sie die gesetzlichen Meldefristen (24h/72h/30d) einhalten können – z.B. durch vorbereitete Meldeformulare und 24/7-Erreichbarkeit von Verantwortlichen. Angriffserkennung ist hier entscheidend: Richten Sie Monitoring ein (Log-Auswertung, Intrusion Detection o.Ä.), damit Vorfälle überhaupt bemerkt werden. Dokumentieren Sie jeden Vorfall und Ihre Reaktionen darauf – diese Nachweise braucht es im Zweifel für die Behörde. - Lieferantenrisiken managen:
Gehen Sie Ihre wichtigsten IT-Dienstleister und Zulieferer durch und bewerten Sie deren Sicherheitsniveau. Identifizieren Sie kritische Lieferanten (z.B. Cloud-Provider, Hosting, wichtige Software-Lieferanten) und führen Sie eine risikobasierte Bewertung durch: Haben diese ein ISMS? Welche Sicherheitsmassnahmen sind vertraglich vereinbart? Aktualisieren Sie Verträge mit wichtigen Partnern, um Mindest-Sicherheitsanforderungen festzuschreiben (z.B. Verpflichtung zu ISO 27001, Incident-Meldungen an Sie als Kunde, Audit-Rechte). Legen Sie ein Lieferantenverzeichnis mit den Bewertungen an. So können Sie auf Nachfrage belegen, dass Sie das Thema Supply-Chain-Security im Griff haben. - Leichtgewichtiges ISMS einführen:
Wenn noch nicht vorhanden, etablieren Sie ein Informationssicherheits-Managementsystem – schlank und pragmatisch. Das heisst: Richtlinien schreiben, Risiken dokumentieren, Massnahmen planen und Verantwortliche benennen. Sie müssen nicht gleich eine ISO-Zertifizierung anstreben; es genügt, dass Systematik und kontinuierliche Verbesserung erkennbar sind. Orientieren Sie sich an den Controls der ISO 27001 oder BSI-Grundschutz – diese geben praktisch eine Checkliste der wichtigsten Massnahmen. Ein kompakter NIS2-Start-Workshop (z.B. 60–90 Minuten) mit einem Experten kann helfen, die richtigen Prioritäten und einen Umsetzungsplan für Ihr Unternehmen zu erarbeiten – so verlieren Sie keine Zeit mit irrelevanten Themen. - Dokumentation & Nachweise sichern:
Dokumentieren Sie alle relevanten Aspekte schriftlich: die Ergebnisse der Risikoanalyse, Ihre Sicherheitsleitlinie, Rollenbeschreibung, Schulungsnachweise, Incident-Reports, Lieferantenbewertungen und die Umsetzung der einzelnen Massnahmen. NIS2 verlangt Nachvollziehbarkeit. Bei einer Prüfung müssen Sie zeigen können, dass und wie Sie die Anforderungen erfüllen. Führen Sie regelmässig interne Reviews durch und halten Sie Verbesserungen fest (Continuous Improvement). Eine sauber gepflegte Dokumentation ist am Ende Ihr Schutzschild gegenüber der Aufsicht – sie beweist, dass Sie strukturiert vorgehen und ernsthaft dran sind.
Tipp: Perfektion ist nicht das Ziel – Struktur und Nachweisbarkeit sind entscheidend. Es geht darum, im Fall der Fälle vorzeigen zu können, dass man seine Sorgfaltspflichten erfüllt hat. Ein schrittweiser Ausbau Ihrer Security gemäss obigem Plan ist völlig ausreichend, solange er konsequent betrieben und belegt wird. Wer bereits ISO 27001 oder TISAX® umgesetzt hat, kann NIS2 mit sehr geringem Zusatzaufwand erfüllen – oft sind nur einige Prozesse anzupassen oder formale Pflichten (wie die Registrierung/Meldung) ergänzend einzurichten. Zögern Sie nicht, bei Bedarf externe Hilfe oder Beratung in Anspruch zu nehmen, um effizient auf Kurs zu kommen.
11. Fazit – Wie “heiss” wird NIS2 gegessen?
NIS2 ist ohne Frage ein ernstzunehmendes Gesetz – aber es ist gut beherrschbar. Die Behörden werden mit Augenmass vorgehen und risikobasiert prüfen; kein Unternehmen muss in Panik verfallen, dass morgen ungeprüft die Fabrik stillgelegt wird. Die eigentliche Nagelprobe kommt nach einem Incident: Dann offenbart sich, ob man vorbereitet war. Daher sollten Unternehmen NIS2 nicht auf die leichte Schulter nehmen. Wer jetzt proaktiv handelt, für den wird NIS2 zur Chance: zur Chance, die eigene Cyber-Resilienz zu steigern, professionalisierter aufzutreten und Vertrauen bei Kunden und Partnern aufzubauen. Besonders für KMU kann ein schlankes ISMS nach ISO 27001/TISAX® die Last in einen Vorteil verwandeln – man stärkt die Sicherheitskultur, minimiert langfristig Schäden und erfüllt die Mehrheit der Pflichten “nebenbei”.
Am Ende gilt der alte Spruch: Nichts wird so heiss gegessen, wie es gekocht wird. NIS2 wird “heiss gekocht”, sprich oft dramatisiert – und es bringt durchaus Pflichten und potenzielle Strafen mit sich – aber wenn Unternehmen sich strukturiert vorbereiten, wird es auch nicht unbezahlbar “heiss gegessen”. Mit Augenmass, Planung und bewährten Sicherheitsstandards lässt sich NIS2 erfolgreich umsetzen, ohne das Tagesgeschäft lahmzulegen. Für verantwortungsbewusste KMU ist es vielmehr ein Weckruf, Cybersicherheit als festen Bestandteil der Unternehmensführung zu etablieren. Damit erhöht NIS2 unterm Strich nicht nur den Druck, sondern bietet die Chance auf mehr Sicherheit, Professionalität und Wettbewerbsfähigkeit in der digitalisierten Wirtschaft.
