Klare Lösungen für ISO 27001 & TISAX® – Einfach. Praxisnah. Zertifizierbar.

Kontakt
1. Dezember, 2025

NIS2: Lieferfähig bleiben, Risiken kontrollieren, Aufträge sichern

Mehr erfahren
NIS2

1. Management Summary – Pflichten verstehen, Anforderungen angemessen erfüllen

Die EU-Richtlinie NIS2 schafft den rechtlichen Rahmen für ein hohes und vergleichbares Niveau der Cyber- und Informationssicherheit in der Europäischen Union. Ziel ist die Sicherstellung eines EU-weit einheitlich hohen Sicherheitsniveaus für wesentliche und wichtige Unternehmen.

  • Die NIS2-Richtlinie der EU richtet sich an ihre Mitgliedstaaten, die die Vorgaben durch nationale Umsetzungsgesetze verbindlich machen
  • Die inhaltlichen Mindestanforderungen sind EU-weit einheitlich
  • Zuständigkeiten, Meldepflichten, Meldefristen und Sanktionen (einschliesslich Bussgeldern) werden national geregelt
  • Die Pflichten gelten ab Inkrafttreten der jeweiligen nationalen Umsetzungsgesetze; explizite Übergangsfristen sind in der Regel nicht vorgesehen

1.1 Wer ist betroffen?

Gesetzlich NIS2-pflichtig sind ausschliesslich Unternehmen mit Sitz oder Niederlassung in der EU, sofern sie den definierten Sektoren angehören und die massgeblichen Grössenkriterien erfüllen.

1.2 Was bedeutet NIS2 konkret für NIS2-pflichtige Unternehmen?

NIS2-pflichtige Unternehmen sind verpflichtet, dauerhaft ein angemessenes Informationssicherheitsniveau sicherzustellen. Gefordert sind keine einmaligen Massnahmen, sondern etablierte, kontinuierlich betriebene Prozesse. Dazu gehören klare Governance-Strukturen, ein systematisches Risikomanagementdefinierte und gelebte Prozesse zur Behandlung von Sicherheitsvorfällen sowie Massnahmen zur Sicherung der Lieferkette. NIS2 ist damit kein zeitlich begrenztes IT-Projekt, sondern eine dauerhafte Management-, Steuerungs- und Kontrollaufgabe.

Die Gesamtverantwortung (Accountability) liegt ausdrücklich bei der Geschäftsleitung und ist nicht delegierbar.

In der Praxis hat sich die Orientierung an etablierten Standards wie ISO/IEC 27001 oder TISAX® bewährt. Eine Zertifizierung ist nicht gesetzlich vorgeschrieben, wird jedoch häufig als belastbarer und anerkannter Nachweis gegenüber EU-Kunden akzeptiert.

👉 Im Fokus steht nicht ein Zertifikat oder teure Sicherheitslösungen, sondern eine Sicherheitsorganisation, die nachvollziehbar, angemessen und dauerhaft wirksam funktioniert.

1.3 NIS2-Relevanz für Schweizer Unternehmen

NIS2 verpflichtet EU-UnternehmenCyber-Risiken entlang ihrer Lieferketten angemessen zu steuern. Für Schweizer Unternehmen wird NIS2 faktisch relevant, sobald sie NIS2-pflichtige EU-Kunden beliefern und von diesen als sicherheitsrelevant eingestuft werden.

Für Schweizer Unternehmen entsteht NIS2-Relevanz nicht durch das Gesetz selbst, sondern durch Anforderungen von NIS2-pflichtigen EU-Kunden. 

2. NIS2-Pflicht – Anwendungsbereich und Abgrenzung

Die EU-Richtlinie NIS2 (Network and Information Security Directive 2) gilt nicht pauschal für alle Unternehmen. Gemäss Art. 2 und Art. 3 NIS2 sind gesetzlich ausschliesslich Einrichtungen betroffen, die zwei Voraussetzungen gleichzeitig erfüllen:

  1. Zugehörigkeit zu einem in NIS2 definierten Sektor, und
  2. Erreichen der relevanten Unternehmensgrösse.

Diese Systematik ist EU-weit einheitlich vorgegeben und wird durch die jeweiligen nationalen Umsetzungsgesetze konkretisiert.

Die Prüfung der NIS2-Betroffenheit obliegt dem Unternehmen selbst und ist eigenverantwortlich durchzuführen. Sie betrifft ausschliesslich Unternehmen mit Sitz oder Niederlassung in der EU; Unternehmen ausserhalb der EU (z. B. Schweizer KMU) unterliegen keiner direkten NIS2-Pflicht.

Für EU-ansässige Unternehmen sind insbesondere zu prüfen:

  • Sektorzugehörigkeit gemäss NIS2,
  • Unternehmensgrösse (wesentliche oder wichtige Einrichtung),
  • Art der erbrachten Leistungen und deren sicherheitsrelevante Einbindung.

Erfüllt ein Unternehmen diese Kriterien, ist es gesetzlich NIS2-pflichtig. In diesem Fall gilt nach Inkrafttreten des jeweiligen nationalen NIS2-Umsetzungsgesetzes eine Registrierungspflicht bei der zuständigen nationalen Behörde (z. B. in Deutschland beim Bundesamt für Sicherheit in der Informationstechnik).

Wichtig: Die NIS2-Pflichten gelten ab Inkrafttreten des nationalen Umsetzungsgesetzes unmittelbarunabhängig davon, ob die Registrierung bereits erfolgt ist.

Zur ersten Orientierung können Hilfsmittel wie der FitNIS2-Navigator genutzt werden:
https://www.fitnis2-navigator.de

Bei Zweifelsfällen ist eine rechtliche Einzelfallprüfung erforderlich.

2.1 Zugehörigkeit zu einem NIS2-Sektor

Voraussetzung für eine NIS2-Pflicht ist zunächst die Tätigkeit in einem der relevanten Sektoren gemäss Anhang I oder II der NIS2-Richtlinie. Dazu zählen unter anderem:

  • Digitale Infrastruktur und digitale Dienste
  • IT- und Managed-Service-Provider
  • Energie, Verkehr, Gesundheit, Wasser
  • Finanzwesen und öffentliche Verwaltung
  • Bestimmte industrielle und kritische Dienstleistungen

👉 Ohne Sektorzugehörigkeit besteht keine gesetzliche NIS2-Pflicht, selbst bei sehr grossen Unternehmen.

2.2 Erreichen relevanter Unternehmensgrössen

Erst nach bestätigter Sektorzugehörigkeit wird geprüft, ob ein Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist. Die Einstufung erfolgt anhand der Unternehmensgrösse gemäss EU-KMU-Definition.

Wesentliche Einrichtungen (Essential Entities)

Als wesentliche Einrichtung gelten in der Regel Grossunternehmen in besonders kritischen Sektoren, sofern mindestens eines der folgenden Kriterien erfüllt ist:

  • ≥ 250 Mitarbeitendeoder
  • > 50 Mio. € Jahresumsatzoder
  • > 43 Mio. € Bilanzsumme

Wichtige Einrichtungen (Important Entities)

Als wichtige Einrichtung gelten in der Regel mittlere Unternehmen in relevanten Sektoren, sofern alle folgenden Bedingungen erfüllt sind:

  • 50–249 Mitarbeitendeund
  • ≤ 50 Mio. € Jahresumsatz oder ≤ 43 Mio. € Bilanzsummeund
  • keine Einstufung als wesentliche Einrichtung erfolgt

Abgrenzender Hinweis: Kleine und Kleinstunternehmen im Sinne der EU-KMU-Definition sind grundsätzlich nicht gesetzlich NIS2-pflichtig, sofern keine besondere Einstufung nach der NIS2-Richtlinie erfolgt. Unabhängig davon können sie faktisch betroffen sein, wenn sie als Lieferanten oder Dienstleister für NIS2-pflichtige Unternehmen tätig sind.

2.3 Bedeutung der Einstufung als wesentliche oder wichtige Einrichtung

Die Einstufung als wesentliche oder wichtige Einrichtung hat keinen Einfluss darauf, welche Informationssicherheitsmassnahmen umzusetzen sind, sondern wie intensiv die behördliche Aufsicht und Durchsetzung ausgestaltet ist.

Beide Kategorien sind gesetzlich NIS2-pflichtig und müssen ein angemessenes Informationssicherheitsniveau sicherstellen. Unterschiede ergeben sich insbesondere bei Aufsicht, Kontrolle und Sanktionierung:

  • Wesentliche Einrichtungen unterliegen einer proaktiven und intensiveren Aufsicht. Behörden können Prüfungen, Audits oder Anordnungen auch ohne konkreten Anlass durchführen. Verstösse werden entsprechend strenger sanktioniert.
  • Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht. Behörden werden in der Regel anlassbezogen tätig, etwa nach Sicherheitsvorfällen oder bei konkreten Hinweisen auf Verstösse. Die Durchsetzung erfolgt abgestuft, bleibt jedoch verbindlich.

Unabhängig von der Einstufung gilt: Die Verantwortung für die Einhaltung der NIS2-Anforderungen liegt bei der Geschäftsleitung. Die Umsetzung und der Betrieb muss nachvollziehbar, wirksam und verhältnismässig erfolgen.

👉 Für Unternehmen bedeutet dies: Die Einstufung entscheidet nicht über das Ob, sondern über das Wie der Aufsicht. In der Praxis empfiehlt sich daher ein einheitlich tragfähiges Sicherheitsniveau, das sowohl regulatorischen Anforderungen als auch Erwartungen von Kunden und Geschäftspartnern gerecht wird.

2.4 Sonderfälle

Bestimmte Einrichtungen (z. B. einzelne digitale Dienste oder Vertrauensdienste) können unabhängig von der Unternehmensgrösse unter die NIS2-Regelungen fallen. Massgeblich ist stets das jeweilige nationale Umsetzungsgesetz.

Für Betreiber kritischer Anlagen oder KRITIS-nahe Einrichtungen können darüber hinaus – abhängig vom nationalen Recht – zusätzliche Anforderungen gelten, etwa der Einsatz von Angriffserkennungssystemen oder ein erhöhtes technisches Schutzniveau.

2.5 Rechtgrundlagen

 

👉 Fazit: NIS2 betrifft Unternehmen nicht pauschal, sondern nur bei Sektorzugehörigkeit plus relevanter Grösse. Die konkrete rechtliche Betroffenheit ergibt sich immer aus der nationalen Umsetzung innerhalb der EU.

3. NIS2-Relevanz für Schweizer Unternehmen – rechtlich nicht verpflichtet, faktisch betroffen

Schweizer Unternehmen sind rechtlich nicht direkt NIS2-pflichtig, da die Richtlinie ausschliesslich für Unternehmen mit Sitz oder Niederlassung in der EU gilt. Für sie bestehen daher keine gesetzlichen Umsetzungs-, Registrierungs- oder Meldepflichten nach NIS2.

In der Praxis ist NIS2 für viele Schweizer KMU dennoch geschäftsrelevant. NIS2-pflichtige Unternehmen in der EU sind gesetzlich verpflichtet, Cyber- und Informationssicherheitsrisiken entlang ihrer Lieferketten zu steuern. Diese Pflicht umfasst auch Lieferanten und Dienstleister ausserhalb der EU, sofern diese sicherheitsrelevant eingebunden sind.

3.1 NIS2 als Marktstandard

Für Schweizer KMU mit EU-Geschäftsbeziehungen wirkt NIS2 zunehmend als faktischer Markt- und Vertrauensstandard. EU-Kunden fordern risikobasiert nachvollziehbare Sicherheitsnachweise, insbesondere:

  • Bestätigungen zur Erfüllung NIS2-relevanter Anforderungen
  • strukturierte Sicherheits- und Fragekataloge
  • vertragliche Sicherheitszusicherungen
  • anerkannte Nachweise wie ISO 27001 oder TISAX®
    (nicht gesetzlich vorgeschrieben, aber häufig akzeptiert)

Unternehmen ohne ausreichende Nachweise werden in der Praxis häufig von Ausschreibungen oder Lieferantenlisten ausgeschlossen.

3.2 Auswirkungen auf Wettbewerb und Verträge

NIS2 beeinflusst damit Ausschreibungen, Vertragsverhandlungen und Lieferantenbewertungen. Eine typische Anforderung lautet bereits heute: „Bitte bestätigen Sie Ihr NIS2-relevantes Sicherheitsniveau.“ Fehlt ein strukturiertes, dokumentiertes Sicherheitsniveau, entstehen klare Wettbewerbsnachteile – auch ohne formale NIS2-Pflicht.

Parallel entwickelt sich auch der regulatorische Rahmen in der Schweiz weiter (z. B. ISG, Meldepflichten für kritische Infrastrukturen). Die Stossrichtung nähert sich dem EU-Niveau an.

👉 Kurzfazit: Ein ISMS und ein NIS2-orientiertes Sicherheitsniveau sind kein Compliance-Luxus, sondern zunehmend Voraussetzung für Marktzugang und Wettbewerbsfähigkeit im EU-Umfeld.

4. Überblick über Pflichten und Konsequenzen

4.1 Rechtliche Einordnung

Die NIS2-Richtlinie gilt seit 2022 auf EU-Ebene, ist jedoch nicht unmittelbar anwendbar. Sie definiert EU-weit einheitliche inhaltliche Mindestanforderungen an die Cyber- und Informationssicherheit, wird aber erst durch nationale Umsetzungsgesetze rechtlich verbindlich. In mehreren EU-Mitgliedstaaten erfolgte bzw. erfolgt diese Umsetzung zeitlich verzögert.

Für NIS2-pflichtige Unternehmen ist daher ausschliesslich das jeweilige nationale Umsetzungsgesetz massgeblich. Dieses konkretisiert die verbindlichen Pflichten ebenso wie Zuständigkeiten, Verfahren, Meldefristen und rechtliche Konsequenzen.

4.2 Rechtliche Pflichten und Konsequenzen am Beispiel Deutschland

Für NIS2-pflichtige Unternehmen ergeben sich insbesondere folgende rechtlich verbindliche Pflichten und Konsequenzen:

  • Registrierungspflicht bei der zuständigen Behörde (z. B. Bundesamt für Sicherheit in der Informationstechnik – BSI)
  • Registrierungspflicht bei der zuständigen Behördem(z. B. Bundesamt für Sicherheit in der Informationstechnik – BSI); die konkrete Registrierungsfrist ergibt sich aus dem nationalen Umsetzungsgesetz.In Deutschland ist hierfür nach aktueller Gesetzeslage eine Frist von drei Monaten nach Inkrafttreten des nationalen Umsetzungsgesetzes vorgesehen.
  • Meldepflichten bei erheblichen Sicherheitsvorfällen gegenüber der zuständigen Behörde
    • Frühwarnung: ≤ 24 Stunden
    • Vollmeldung: ≤ 72 Stunden
    • Abschluss- bzw. Fortschrittsbericht: ≤ 1 Monat
  • Ergänzend zu den Behördenmeldungen können nationale Umsetzungsgesetze Informations- oder Transparenzpflichten gegenüber Kunden, Geschäftspartnern oder der Öffentlichkeit vorsehen, insbesondere bei erheblichen Sicherheitsvorfällen.
  • Behördliche Aufsichts-, Prüf- und Eingriffsbefugnisse
    (z. B. Anordnungen, Kontrollen, Nachforderungen)
  • Verantwortung der Geschäftsleitung
    • persönliche Haftung bei Pflichtverletzungen
    • gesetzliche Schulungspflichten auf Leitungsebene
  • Rechtliche Konsequenzen bei Verstössen (insbesondere Bussgelder und weitere aufsichtsrechtliche Massnahmen)
  • Dokumentations- und Nachweispflichten zur Belegung von Angemessenheit und Wirksamkeit der Massnahmen

👉 Zuständigkeiten, Verfahren und Sanktionen ergeben sich ausschliesslich aus dem nationalen Recht.

4.3 Inhaltliche Mindestanforderungen

Unabhängig vom jeweiligen EU-Mitgliedstaat gelten für alle NIS2-pflichtigen Unternehmen folgende inhaltliche Kernanforderungen, die durch nationale Gesetze verbindlich umgesetzt werden:

  • Risikobasiertes IT- und Informationssicherheitsmanagement
  • Dokumentierte Sicherheitsorganisation mit klaren Rollen und Verantwortlichkeiten
  • Vorfallmanagement (Erkennung, Behandlung, Nachbereitung)
  • Business Continuity und Krisenmanagement
  • Lieferkettensicherheit (Bewertung und vertragliche Absicherung)
  • Sichere Beschaffung, Betrieb und Wartung
  • Wirksamkeitskontrollen (z. B. Reviews, Audits, Kennzahlen)
  • Schulungen und Awareness-Massnahmen
  • Angemessene technische Schutzmassnahmen
    (z. B. Zugriffskontrollen, Authentifizierung, Verschlüsselung)

Diese Anforderungen sind risikobasiert und verhältnismässig umzusetzen. Eine pauschale oder überzogene Umsetzung ist nicht vorgesehen.

👉 Die rechtlichen Pflichten und Konsequenzen ergeben sich aus dem nationalen Umsetzungsgesetz (z. B. Deutschland: BSIG). Die inhaltlichen Sicherheitsanforderungen sind EU-weit identisch und bilden den verbindlichen Kern der NIS2.

5. Umsetzung von NIS2 in der Praxis

Die Umsetzung von NIS2 ist kein einmaliges Projekt, sondern ein dauerhafter Governance-, Risiko- und Verbesserungsprozess. Unternehmen müssen jederzeit nachweisen können, dass Cyber- und Informationssicherheitsrisiken systematisch identifiziert, bewertet, behandelt und regelmässig überprüft werden.

5.1 Struktur statt Aktionismus

NIS2 verlangt keine „neuen“ Sicherheitsideen, sondern eine strukturierte, nachvollziehbare Umsetzung bestehender Anforderungen. In der Praxis bewährt sich die Orientierung an ISO/IEC 27001 oder TISAX® – auch ohne formale Zertifizierung. Diese Rahmenwerke konkretisieren die Anforderungen aus NIS2 Art. 21 und gelten als anerkannter Stand der Technik.

5.2 Erwartung aus Prüfungs- und Aufsichtssicht

Prüfer und Behörden erwarten insbesondere:

  • eine realistische, umsetzungsorientierte Roadmap,
  • regelmässige Wirksamkeitskontrollen
    (z. B. Reviews, Tests, interne Audits),
  • sowie nachweisbare Verbesserungen bei erkannten Schwachstellen
  • Sichtbare Einbindung der Geschäftsleitung in Steuerung, Freigaben und Wirksamkeitsbewertungen.

👉 Prüfungsmassstab: Nicht „Haben Sie alles umgesetzt?“, sondern „Ist das Sicherheitsniveau nachvollziehbar, risikogerecht und wirksam?“

5.3 Praxisnahe Hilfsmittel

Zur ersten Standortbestimmung und laufenden Orientierung können u. a. die ENISA-Leitfäden zur NIS2-Umsetzung, der CyberRisikoCheck nach DIN SPEC 27076 sowie die Informations- und Warnangebote der Allianz für Cyber-Sicherheit genutzt werden:

5.4 Umsetzung von NIS2 aus Sicht Schweizer Unternehmen

In der Praxis unterscheidet sich die inhaltliche Umsetzung von NIS2 kaum von jener bei EU-Unternehmen, sobald Schweizer Unternehmen Teil einer EU-Lieferkette sind. Der Unterschied liegt nicht in den Massnahmen, sondern im Anlass und Adressaten der Nachweise.

Anders für Schweizer Unternehmen:

  • Nachweise gegenüber EU-Kunden, nicht gegenüber Behörden
  • Keine formale Einstufung (wesentlich / wichtig)
  • Flexiblere, risikogerechte Umsetzung ohne nationale Detailpflichten

Gleich wie bei EU-Unternehmen:

  • risikobasiertes Sicherheitsmanagement
  • strukturierte Prozesse (Vorfälle, Notfälle, Lieferanten)
  • klare Verantwortlichkeiten
  • dokumentierte und überprüfte Massnahmen

👉 Kernaussage: Für Schweizer Unternehmen ist NIS2 kein eigenes Regelwerk, sondern ein Erwartungsstandard. Entscheidend ist ein nachvollziehbares, angemessenes und wirksames Sicherheitsniveau – nicht formale Pflichterfüllung.

 

6. Gemeinsamkeiten und Unterschiede zwischen NIS2 und ISO 27001 / TISAX®

FAQ: Erfüllt ISO 27001 oder TISAX® die NIS2-Anforderungen?

Kurzantwort: Ja

Praxis-Einordnung: Eine wirksame ISO/IEC 27001- oder TISAX®-Umsetzung deckt die operativen Kernanforderungen der NIS2 vollständig ab. Ergänzend sind lediglich die gesetzlichen Anzeige-, Melde- und Registrierungspflichten organisatorisch zu verankern.

6.1 Inhaltliche Gemeinsamkeiten (Sicherheitsanforderungen)

Ein unternehmensweit wirksam betriebenes ISMS nach ISO/IEC 27001 oder TISAX® deckt die materiellen Sicherheits- und Risikomanagementanforderungen der NIS2-Richtlinie – insbesondere gemäss Art. 21 NIS2 – methodisch vollständig ab.

Abgedeckt sind insbesondere:

  • risikobasiertes Informationssicherheitsmanagement
  • klare Governance, Rollen und Verantwortlichkeiten
  • Vorfallmanagement und Business Continuity
  • Lieferkettensicherheit
  • technische und organisatorische Schutzmassnahmen
  • Wirksamkeitskontrollen und kontinuierliche Verbesserung

👉 Wesentlich: Sind ISO 27001 oder TISAX® wirksam implementiert und gelebt, sind keine zusätzlichen technischen Massnahmen und kein paralleles „NIS2-System“ erforderlich.

6.2 Rechtliche und regulatorische Unterschiede

Der zentrale Unterschied zwischen NIS2 und ISO 27001 / TISAX® liegt nicht im Sicherheitsniveau, sondern im Rechtscharakter:

  • ISO 27001 / TISAX®
    • freiwillige bzw. vertragliche Standards
    • Fokus auf Managementsystem und Wirksamkeit
    • keine staatliche Aufsicht oder gesetzlichen Sanktionen
  • NIS2
    • gesetzlicher Rahmen (über nationale Umsetzungsgesetze)
    • verbindliche Melde-, Anzeige- und Registrierungspflichten
    • behördliche Aufsicht, Eingriffsrechte und Haftungsregelungen
    • explizite Verantwortung der Geschäftsleitung

👉 Kernaussage: ISO 27001 und TISAX® liefern das Managementsystem. NIS2 liefert den rechtlichen Durchsetzungsrahmen.

6.3 Einordnung für Schweizer Unternehmen

Für Schweizer Unternehmen besteht keine direkte gesetzliche NIS2-Pflicht. NIS2 wirkt für sie mittelbar über Anforderungen von EU-Kunden in Lieferketten, Ausschreibungen und Verträgen.

Ein gut gelebtes ISO/IEC 27001- oder TISAX®-ISMS ist dafür inhaltlich ausreichend. Ein formales Zertifikat kann den Nachweis erleichtern, ist jedoch nicht zwingend erforderlich, sofern Massnahmen nachvollziehbar, dokumentiert und wirksam umgesetzt sind.

👉 Massstab für Schweizer Unternehmen: nicht formale NIS2-Compliance, sondern ein belastbares, prüfbares Sicherheitsniveau.

👉 Zusammengefasst: Ein wirksam betriebenes ISMS nach ISO/IEC 27001 oder TISAX® ist die effizienteste und fachlich richtige Grundlage, um NIS2-Anforderungen zu erfüllen:

  • EU-Unternehmen: zur Erfüllung gesetzlicher Pflichten
  • Schweizer Unternehmen: als Markt- und Vertrauensnachweis gegenüber EU-Kunden

Der Unterschied liegt nicht in der Sicherheit, sondern in rechtlicher Verbindlichkeit, Aufsicht und Haftung.

7. Dokumentation und Nachweise

NIS2 legt besonderen Wert auf Nachvollziehbarkeit, Prüfbarkeit und klare Verantwortlichkeit. Nicht nur Sicherheitsmassnahmen selbst, sondern auch Prozesse, Rollen, Entscheidungen und deren Wirksamkeit müssen dokumentiert sein.

Aus rechtlicher und auditiver Sicht gilt: Was nicht dokumentiert ist, gilt als nicht umgesetzt.

7.1 Zentrale Nachweise

Zu den wesentlichen, prüfungsrelevanten Nachweisen zählen insbesondere:

  • Risikoanalysen und Sicherheitsleitlinie
    (Schutzbedarfe, Bedrohungen, Priorisierung)
  • Rollen und Verantwortlichkeiten
    (inkl. Verantwortung der Geschäftsleitung)
  • Schulungs- und Awareness-Nachweise
  • Incident-Reports und Vorfallbehandlung
  • Lieferanten- und Dienstleisterbewertungen
  • Massnahmenstatus und Umsetzungsfortschritt

7.2 Kontinuierliche Wirksamkeit

NIS2 erwartet zudem eine laufende Überprüfung und Verbesserung, u. a. durch:

  • regelmässige Reviews
  • interne Audits
  • Management-Bewertungen
    (Continuous Improvement)

👉 Dokumentation ist kein Selbstzweck, sondern ein zentrales Schutzinstrument: Sie belegt Angemessenheit und Sorgfalt, reduziert Haftungsrisiken der Geschäftsleitung und ist im Ernstfall entscheidend gegenüber Aufsicht, Kunden und Gerichten.

8. Sanktionen und Bussgelder nach NIS2

NIS2 sieht EU-weit vorgegebene Sanktionsrahmen vor, die durch nationale Umsetzungsgesetze konkretisiert werden.

Sanktionsrahmen nach NIS2:

  • bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
    (wesentliche Einrichtungen)
  • bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
    (wichtige Einrichtungen)
  • behördliche Anordnungen und Auflagen
  • persönliche Verantwortung der Geschäftsleitung

Beispiel Deutschland: Umsetzung über das NIS2-Umsetzungsgesetz im Rahmen des BSIG, Zuständigkeit beim BSI.

👉 Praxis: Sanktioniert werden nicht einzelne Dokumentationsmängel, sondern fehlende Organisation, unklare Verantwortlichkeiten und mangelnde Wirksamkeit der Sicherheitsmassnahmen.

9. Kostenperspektive für KMU

NIS2 verlangt angemessene, risikobasierte Sicherheitsmassnahmen. Für KMU bedeutet das: Der Aufwand ist steuerbar und planbar, sofern strukturiert und am tatsächlichen Risiko ausgerichtet vorgegangen wird.

9.1 Technologieneutrale Ausgestaltung

Die NIS2-Anforderungen sind bewusst technologieneutral formuliert. Unternehmen müssen organisatorische und technische Vorkehrungen treffen, um sicherheitsrelevante Vorfälle rechtzeitig zu erkennen, zu bewerten und fristgerecht zu melden.
Welche konkreten Erkennungs-, Überwachungs- oder Reaktionsmechanismen eingesetzt werden, richtet sich nach Schutzbedarf, Risikolage und Unternehmensgrösse. Entscheidend ist die Wirksamkeit der Gesamtorganisation, nicht der Einsatz bestimmter Tools oder Plattformen.

9.2 Typische Aufwände in der Praxis

In der Umsetzung entstehen Aufwände vor allem durch:

  • Zeitaufwand für Risikoanalyse, Dokumentation sowie die Festlegung von Rollen und Verantwortlichkeiten
  • gezielte Anpassung, Umsetzung und Betrieb bestehender Sicherheitsmassnahmen
  • gegebenenfalls externe Unterstützung bei Strukturierung, Einordnung oder Review

9.3 Praxisnahe Einordnung nach Reifegrad

Der tatsächliche Aufwand hängt stark vom Ausgangsniveau ab:

  • Unternehmen ohne strukturierte IT-Sicherheit haben den höchsten Initialaufwand
  • Unternehmen mit Basismassnahmen müssen meist nur gezielt nachschärfen
  • Unternehmen mit einem ISO/IEC 27001- oder TISAX®-ISMS haben in der Regel geringen Zusatzaufwand

Hinweis zum Initialaufwand: Abhängig vom bestehenden Reifegrad kann insbesondere zu Beginn ein erhöhter Aufwand für Strukturierung, Dokumentation und Rollenklärung entstehen. Dieser Aufwand ist jedoch in der Regel einmalig bzw. temporär und reduziert langfristig operative und haftungsbezogene Risiken.

9.4 Wirtschaftliche Gesamtbetrachtung

In der Gesamtbetrachtung zeigt sich regelmässig: Nichtstun ist häufig teurer als Prävention – etwa durch Sicherheitsvorfälle, Betriebsunterbrüche, Reputationsschäden oder Folgekosten aus Vertrags- und Haftungsfragen.

Was NIS2 in der Regel nicht verlangt:

  • kein eigenes Security Operations Center (SOC)
  • keine 24/7-Überwachung aller Systeme
  • keine vollständige Neuentwicklung bestehender Prozesse

Massgeblich ist stets ein angemessenes, risikobasiertes Sicherheitsniveau.

9.5 Abschliessend gilt: 

Die eigentliche Bewährungsprobe der NIS2 kommt im Sicherheitsvorfall. Unternehmen, die vorbereitet sind, profitieren von höherer Resilienz, professioneller Handlungsfähigkeit und gestärktem Vertrauen bei Kunden und Behörden.

👉 NIS2 ist kein pauschaler Kostentreiber, sondern ein Ordnungs- und Steuerungsrahmen, der es ermöglicht, Sicherheitsaufwand risikogerecht, wirksam und wirtschaftlich dort einzusetzen, wo er tatsächlich erforderlich ist.

Weitere Blogartikel

Weitere Fragen?
Wir sind für Sie da

Sie möchten ISO 27001 oder TISAX® in Ihrem Unternehmen umsetzen?
Erfahren Sie auf unserer Startseite mehr über unsere Vorgehensweise oder entdecken Sie direkt unsere Leistungen im Überblick – kompakt, klar und auf KMU zugeschnitten.