NIS2-Richtlinie für Schweizer Unternehmen: Der ultimative Umsetzungsleitfaden

- NIS2 betrifft mehr Unternehmen als gedacht: Kritische Infrastruktur + wichtige Sektoren (50+ Mitarbeiter oder 10M+ Umsatz) - Oktober 2024 war der Deadline: EU-Mitgliedstaaten mussten die Richtlinie umsetzen – Enforcement kommt 2026 - Auch Schweizer Unternehmen sind betroffen: Wer in der EU tätig ist oder EU-Kunden bedient, muss sich damit auseinandersetzen - Management haftet persönlich: Das ist neu – Geschäftsleitung kann nicht mehr delegieren und wegschauen

Noch eine EU-Verordnung… wirklich jetzt?

Ich weiss. Du denkst wahrscheinlich: “Schon wieder eine neue Compliance-Anforderung. Haben wir nicht gerade erst GDPR verdaut?”

Und ja… NIS2 ist wieder so ein EU-Ding. Wieder Papierkrieg, wieder neue Prozesse, wieder Budget das eigentlich für Innovation gedacht war.

Aber hier ist der Unterschied: NIS2 ist nicht einfach nur eine weitere Checkbox-Übung. Die Richtlinie zielt darauf ab, echte Cybersecurity-Resilienz zu schaffen. Und für Schweizer Unternehmen – auch wenn wir nicht in der EU sind – gibt es keine Möglichkeit, das zu ignorieren.

Warum? Weil wenn du in der EU Geschäfte machst, wenn du EU-Kunden hast, wenn deine Lieferkette EU-Unternehmen einschliesst… dann bist du mittendrin. Die EU-Regulierung hat eine lustige Art, über Schweizer Grenzen zu schwappen.

Lass uns das Ganze entmystifizieren. Ohne Juristen-Sprache. Ohne Panikmache. Einfach praktisch: Was ist NIS2, wen betrifft es wirklich, und wie setzt man das um, ohne die nächsten zwei Jahre nur damit beschäftigt zu sein?

Was ist NIS2 eigentlich?

NIS2 steht für “Network and Information Security Directive 2” – die zweite Version der EU-Richtlinie zur Netz- und Informationssicherheit.

Die erste NIS-Richtlinie kam 2016 und… naja, war ein bisschen zahnlos. Zu vage Anforderungen, zu wenige betroffene Unternehmen, kaum Durchsetzung. Die EU hat gemerkt: Das reicht nicht.

Also kam NIS2. Verabschiedet Ende 2022, mit Umsetzungsfrist Oktober 2024 für EU-Mitgliedstaaten.

Was ist anders?

Erstens: Der Anwendungsbereich wurde massiv erweitert. Wo die alte NIS-Richtlinie nur eine Handvoll Sektoren betraf (Energie, Gesundheit, Verkehr), umfasst NIS2 jetzt 18 Sektoren. Ja, achtzehn.

Zweitens: Die Anforderungen sind viel konkreter. Nicht mehr “ihr solltet vielleicht mal über Cybersecurity nachdenken”, sondern klare Vorgaben zu Risikomanagement, Incident Response, Supply Chain Security, etc.

Drittens: Die Strafen haben echte Zähne. Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Und – das ist neu – persönliche Haftung für die Geschäftsleitung.

Und für Schweizer Unternehmen?

Hier wird es interessant. Die Schweiz ist nicht in der EU. Wir sind nicht verpflichtet, EU-Richtlinien 1:1 zu übernehmen.

Aber (und das ist ein grosses Aber)…

Wenn dein Unternehmen:

Tochtergesellschaften in der EU hat
Kritische Dienste für EU-Kunden erbringt
Teil der Lieferkette von EU-Unternehmen ist
In der EU tätig ist (auch nur teilweise)

…dann kannst du NIS2 nicht ignorieren. Deine EU-Partner werden Compliance-Nachweise verlangen. Verträge werden NIS2-Klauseln enthalten. Und die Schweizer Behörden schauen sehr genau hin, wie sich EU-Standards entwickeln.

Wir sehen das bei GDPR – faktisch mussten viele Schweizer Unternehmen GDPR-konform werden, auch wenn das Schweizer DSG (Datenschutzgesetz) etwas anderer Natur war.

Bei NIS2 wird es ähnlich laufen.

Betrifft NIS2 dein Unternehmen?

Die wichtigste Frage zuerst: Bist du überhaupt betroffen?

NIS2 unterscheidet zwischen zwei Kategorien:

1. Wesentliche Einrichtungen (Essential Entities)

Das sind die “kritischen” Sektoren:

Energie: Strom, Gas, Öl, Fernwärme, Wasserstoff
Verkehr: Luftfahrt, Eisenbahn, Schifffahrt, Strassenverkehr
Bankwesen & Finanzmarktinfrastruktur
Gesundheitswesen: Krankenhäuser, Labore, Forschungseinrichtungen, Pharma
Trinkwasser & Abwasser
Digitale Infrastruktur: Internet-Knoten, DNS-Anbieter, TLD-Registries, Cloud-Dienste, Rechenzentren
Weltraum: Ja, Satellitenbetreiber.
Öffentliche Verwaltung (nur auf zentraler Ebene)

2. Wichtige Einrichtungen (Important Entities)

Das erweiterte Netz:

Post- und Kurierdienste
Abfallwirtschaft
Chemische Produktion & Vertrieb
Lebensmittelproduktion & -vertrieb
Fertigung: Medizinprodukte, Computer/Elektronik, Maschinen, Fahrzeuge
Digitale Dienste: Online-Marktplätze, Suchmaschinen, Social-Media-Plattformen, B2B-SaaS
Forschungsorganisationen

Klingt breit, oder? Das ist Absicht. Die EU wollte alle Bereiche erfassen, die bei einem Cyberangriff die Wirtschaft oder Gesellschaft ernsthaft beeinträchtigen könnten.

Die Grössenschwellen

Nicht jedes Mini-Startup ist betroffen. Es gibt Schwellenwerte:

Du bist betroffen, wenn du:

50 oder mehr Mitarbeitende hast, ODER
Mehr als 10 Millionen Euro Jahresumsatz machst

Es gibt Ausnahmen für kleinere Unternehmen in bestimmten Sektoren… aber wenn du in einem kritischen Bereich tätig bist, kommst du wahrscheinlich nicht drum herum.

Der Schweizer Self-Assessment-Check

Okay, praktisch. Beantworte diese Fragen:

1. Sektor-Check:

[ ] Ist mein Unternehmen in einem der 18 NIS2-Sektoren tätig?
[ ] Betreibe ich kritische Infrastruktur (Energie, Verkehr, Gesundheit, etc.)?
[ ] Biete ich digitale Dienste an (Cloud, SaaS, Rechenzentrum)?

2. Grössen-Check:

[ ] Habe ich 50+ Mitarbeitende?
[ ] Übersteigt mein Jahresumsatz 10 Millionen Euro?

3. EU-Exposure-Check:

[ ] Habe ich Niederlassungen oder Tochtergesellschaften in der EU?
[ ] Sind meine Kunden EU-Unternehmen in regulierten Sektoren?
[ ] Bin ich Teil der Lieferkette von NIS2-pflichtigen Unternehmen?
[ ] Verarbeite ich Daten von EU-Bürgern oder -Unternehmen?

Wenn du mindestens eine Frage pro Kategorie mit “Ja” beantwortest… herzlich willkommen im NIS2-Club.

Die Grauzone: Schweizer Besonderheiten

Hier wird es kompliziert. Die Schweiz wird wahrscheinlich ein eigenes Cybersecurity-Gesetz entwickeln (ähnlich wie wir beim Datenschutz unser DSG haben statt GDPR).

Also selbst wenn du rein auf den Schweizer Markt fokussiert bist: Die Richtung ist klar. Cybersecurity-Mindeststandards kommen. NIS2-konform zu werden ist auch für rein schweizerische Unternehmen eine gute Vorbereitung.

Die 10 wichtigsten NIS2-Anforderungen

Jetzt wird’s konkret. Was verlangt NIS2 eigentlich von dir?

Hier sind die zehn Kern-Anforderungen, ohne Juristen-Sprache:

1. Risikomanagement (Risk Management)

Was es bedeutet: Du musst deine Cyber-Risiken systematisch identifizieren, bewerten und managen.

In der Praxis:

Regelmässige Risikoanalysen (mindestens jährlich, besser quartalsweise)
Dokumentierte Risiko-Bewertungsmethodik
Priorisierung nach Kritikalität
Massnahmenplan zur Risikoreduktion

Das ist nicht neu… aber NIS2 verlangt, dass du’s dokumentierst und nachweisen kannst.

Der Reality-Check: Die meisten Unternehmen machen informelle Risikoanalysen (“Ja, wir wissen, dass unser HR-System veraltet ist”). NIS2 will formelle Prozesse.

2. Incident Response (24-Stunden-Meldepflicht!)

Was es bedeutet: Du musst Cybersecurity-Vorfälle innerhalb von 24 Stunden melden. An die zuständige Behörde (in EU-Ländern die CSIRT – Computer Security Incident Response Team).

In der Praxis:

Incident Response Plan muss existieren
Klare Eskalationswege
24h-Ersterkennung und -Meldung an Behörde
72h-Zwischenbericht
30-Tage-Abschlussbericht

Der Reality-Check: Viele Unternehmen entdecken Breaches erst nach Wochen oder Monaten. NIS2 sagt: Ihr habt 24 Stunden. Das ist… ambitioniert. Aber machbar mit den richtigen Monitoring-Tools.

Für Schweizer Unternehmen: Die Schweiz hat aktuell keine 24h-Meldepflicht. Aber wenn du EU-Kunden bedienst, musst du dich an deren Regeln halten.

3. Business Continuity & Disaster Recovery

Was es bedeutet: Du brauchst einen Plan, wie du nach einem Cyberangriff den Betrieb wiederaufnimmst.

In der Praxis:

Business Continuity Plan (BCP)
Disaster Recovery Plan (DRP)
Backup-Strategie (und regelmässige Tests!)
Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) definiert

Der Reality-Check: “Wir haben Backups” reicht nicht. Du musst zeigen, dass du sie auch wiederherstellen kannst. Und wie lange das dauert.

Wir sehen immer wieder: Unternehmen haben Backups. Aber die Restore-Prozedur wurde nie getestet. Oder die Backups sind verschlüsselt… aber der Decryption-Key liegt auf dem System, das gerade verschlüsselt wurde. Oops.

4. Supply Chain Security (Lieferkettenrisiken)

Was es bedeutet: Du bist verantwortlich für die Cybersecurity deiner Lieferanten und Dienstleister.

In der Praxis:

Security-Assessment deiner kritischen Lieferanten
Vertragliche Security-Anforderungen
Monitoring und Audits
Incident-Notification-Klauseln

Der Reality-Check: Das ist hart. Du kannst nicht jeden Lieferanten auditieren. Aber du musst die kritischen identifizieren und deren Security-Level kennen.

Die SolarWinds-Attacke 2020 hat gezeigt: Dein schwächstes Glied ist oft nicht in deinem Haus, sondern in der Lieferkette.

5. Network Security (Netzwerksicherheit)

Was es bedeutet: Du musst dein Netzwerk schützen. Klingt banal, aber NIS2 ist spezifisch:

In der Praxis:

Segmentierung (Zero Trust Ansatz)
Firewalls und Intrusion Detection/Prevention
VPN für Remote Access
Network Monitoring

Spannender Beitrag dafür: Zero Trust - Wo fange ich eigentlich an?

Der Reality-Check: Viele Unternehmen haben “Flat Networks” – alles kann mit allem kommunizieren. Das ist das Gegenteil von dem, was NIS2 will.

Mikrosegmentierung ist der Goldstandard. Ja, es ist aufwendig. Aber ein Ransomware-Vorfall ist aufwendiger.

6. Access Control (Zugriffskontrolle)

Was es bedeutet: Nur autorisierte Personen dürfen auf kritische Systeme zugreifen.

In der Praxis:

Multi-Faktor-Authentifizierung (MFA) überall
Least Privilege Prinzip (minimale Berechtigungen)
Regelmässige Access Reviews
Starke Passwort-Policies
Privileged Access Management (PAM) für Admin-Accounts

Der Reality-Check: MFA ist 2025 nicht optional. Punkt.

Und nein, SMS-basierte MFA ist nicht gut genug. Authenticator-Apps oder Hardware-Tokens.

7. Kryptografie & Encryption

Was es bedeutet: Daten müssen verschlüsselt werden. In transit und at rest.

In der Praxis:

TLS 1.3 für alle Verbindungen
Verschlüsselte Datenbanken
Verschlüsselte Backups
Key Management (wer hat Zugriff auf Encryption Keys?)

Der Reality-Check: “Unsere Daten sind in der Cloud, die ist sicher” – nein. Du musst kontrollieren, wer die Encryption Keys hat.

8. Mitarbeiter-Schulung (Security Awareness)

Was es bedeutet: Deine Mitarbeitenden müssen regelmässig zu Cybersecurity geschult werden.

In der Praxis:

Jährliche Security Awareness Trainings (minimum)
Phishing-Simulationen
Incident Reporting Training
Rolle-spezifische Schulungen (z.B. für Entwickler, Admins)

Der Reality-Check: Das nervigste Compliance-Training der Welt. Aber auch das wichtigste. 90% der Breaches starten mit Phishing oder Social Engineering.

9. Sicherheitstests & Audits

Was es bedeutet: Du musst regelmässig testen, ob deine Security-Massnahmen funktionieren.

In der Praxis:

Vulnerability Scans (monatlich oder quartalsweise)
Penetration Tests (jährlich, nach grossen Änderungen)
Security Audits (intern oder extern)
Code Reviews (für Software-Entwicklung)

Der Reality-Check: “Wir hatten noch nie einen Angriff, also sind wir sicher” ist kein Argument mehr.

10. Management-Verantwortung & Governance

Was es bedeutet: Die Geschäftsleitung ist verantwortlich. Nicht die IT. Nicht der CISO. Die C-Suite.

In der Praxis:

Geschäftsleitung muss Cybersecurity-Massnahmen genehmigen und überwachen
Regelmässige Berichterstattung an Board/Geschäftsleitung
Budget-Verantwortung
Persönliche Haftung bei grober Fahrlässigkeit

Der Reality-Check: Das ist der Gamechanger. Früher konnte die Geschäftsleitung sagen “IT-Thema, kümmert euch”. Jetzt nicht mehr.

NIS2 macht Cybersecurity zur Chefsache. Und zwar mit persönlicher Haftung. Das hat Aufmerksamkeit erzeugt… sagen wir mal so.

Blogbeitrag: CISO-as-a-Service – Führung in der Cybersicherheit, wenn es darauf ankommt

Der NIS2-Umsetzungsfahrplan

Okay. Du weisst jetzt, was NIS2 will. Wie setzt man das um, ohne die nächsten zwei Jahre nur damit beschäftigt zu sein?

Hier ist unser bewährter Ansatz. Keine Theorie – das ist, was wir mit Kunden machen.

Phase 1: Gap-Analyse (4-6 Wochen)

Ziel: Verstehen, wo du stehst vs. wo du sein musst.

Was passiert:

Scope Definition: Welche Systeme, Prozesse, Daten sind NIS2-relevant?
Ist-Zustand: Dokumentation der aktuellen Security-Massnahmen
Soll-Zustand: Mapping zu NIS2-Anforderungen
Gap-Identifikation: Was fehlt? Was muss verbessert werden?
Risiko-Bewertung: Welche Gaps sind kritisch?

Output: Gap-Analyse-Report mit priorisierten Handlungsfeldern.

Der Reality-Check: Die meisten Unternehmen sind bei 40-60% Compliance. Das ist normal. Niemand startet bei Null. Aber auch niemand ist “aus Versehen” NIS2-konform.

Phase 2: Roadmap & Priorisierung (2-3 Wochen)

Ziel: Realistische Umsetzungsplanung mit Business-Buy-In.

Was passiert:

Quick Wins identifizieren: Was können wir in 4-8 Wochen umsetzen?
Mittel- und Langfristplanung: Was braucht 6-12 Monate?
Ressourcen & Budget: Was kostet das wirklich?
Risiko vs. Aufwand: Wo investieren wir zuerst?
Buy-In der Geschäftsleitung: Präsentation und Genehmigung

Output: 12-18 Monate Roadmap mit Meilensteinen, Budget, Ressourcen.

Der Reality-Check: NIS2-Compliance ist kein 3-Monats-Projekt. Rechne mit 12-18 Monaten für vollständige Umsetzung. Aber nach 3-6 Monaten solltest du die kritischsten Gaps geschlossen haben.

Phase 3: Implementierung (6-12 Monate)

Ziel: Massnahmen umsetzen. Dokumentieren. Testen.

Die Phasen innerhalb der Implementierung:

Monat 1-3: Quick Wins & Foundations

MFA überall aktivieren
Incident Response Plan erstellen
Basis-Monitoring aufsetzen
Kritische Patches einspielen
Erste Security Awareness Trainings

Monat 4-6: Core Security Improvements

Netzwerk-Segmentierung
PAM (Privileged Access Management)
Backup & Recovery Testing
Supply Chain Assessment (Top 10 Lieferanten)
Vulnerability Management Prozess

Monat 7-12: Advanced & Governance

Zero Trust Architektur (schrittweise)
Penetration Tests
Business Continuity Pläne
Governance Framework
Management Reporting

Der Reality-Check: Du wirst nicht alles perfekt umsetzen. Das ist okay. NIS2 verlangt “angemessene” Massnahmen. Das bedeutet: risikobasiert, verhältnismässig, state-of-the-art.

Kleine Unternehmen müssen nicht die gleichen Massnahmen haben wie Konzerne. Aber sie müssen die richtigen Massnahmen haben.

Phase 4: Dokumentation (laufend!)

Ziel: Nachweisen, dass du compliant bist.

Was dokumentiert werden muss:

Risiko-Analysen und -Bewertungen
Security Policies und Prozesse
Incident Response Pläne und Vorfälle
Training Records (wer wurde wann geschult?)
Audit-Reports und Testergebnisse
Management Reviews und Entscheidungen
Lieferanten-Assessments

Der Reality-Check: Dokumentation ist der ungeliebte Teil. Aber bei NIS2 kritisch.

“Wenn es nicht dokumentiert ist, ist es nicht passiert” – das gilt bei Audits.

Du brauchst nicht perfekte Dokumentation. Aber du brauchst nachvollziehbare Dokumentation.

Phase 5: Testing & Continuous Improvement (ongoing)

Ziel: Sicherstellen, dass die Massnahmen funktionieren. Und mit der Bedrohungslandschaft Schritt halten.

Was regelmässig passieren muss:

Quartalsweise: Vulnerability Scans, Access Reviews, Policy Updates
Halbjährlich: Security Awareness Trainings, Backup Recovery Tests
Jährlich: Penetration Tests, Risiko-Analyse-Update, Management Review

Der Reality-Check: NIS2-Compliance ist kein Projekt. Es ist ein Programm.

Du wirst nie “fertig” sein. Threats ändern sich. Technologie ändert sich. Dein Business ändert sich.

Die Frage ist nicht “Wann sind wir compliant?”, sondern “Wie bleiben wir compliant?”

Die häufigsten Fehler bei der NIS2-Umsetzung

Wir sehen immer wieder die gleichen Stolpersteine. Hier sind die Top 5:

Fehler #1: NIS2 als reines IT-Projekt behandeln

Das Problem: “IT, kümmert euch um NIS2” – und die IT versucht es alleine zu stemmen.

Warum das scheitert: NIS2 ist ein Business Risk Management Thema, kein IT-Thema. Es braucht:

Geschäftsleitung (Governance, Budget, Haftung)
Legal (Verträge, Datenschutz, Meldepflichten)
HR (Schulungen, Awareness)
Einkauf (Lieferantenmanagement)
Alle Fachbereiche (Risiko-Identifikation)

Die Lösung: Cross-funktionales NIS2-Projektteam. Mit Executive Sponsor aus der Geschäftsleitung.

Fehler #2: Dokumentation unterschätzen

Das Problem: “Wir machen das schon irgendwie alles, wir müssen es nur mal aufschreiben.”

Warum das scheitert: “Mal aufschreiben” wird zu einem 6-Monats-Projekt. Weil du merkst: Du machst vieles eben doch nicht. Oder nicht konsistent. Oder nicht nachvollziehbar.

Die Lösung: Dokumentation von Anfang an einplanen. Templates nutzen. Nicht perfekt, aber vollständig.

Fehler #3: Supply Chain Security ignorieren

Das Problem: “Wir konzentrieren uns erstmal auf unsere eigenen Systeme. Lieferanten kommen später.”

Warum das scheitert: Später kommt nie. Und deine Lieferanten brauchen Zeit, um ihre Security zu verbessern.

Die Lösung: Supply Chain Security von Anfang an einbeziehen. Top 10-20 kritische Lieferanten identifizieren und ansprechen. Frühzeitig.

[LINK: third-party-risk-management] (wenn vorhanden)

Fehler #4: Zu lange warten

Das Problem: “NIS2 betrifft uns vielleicht, aber die Schweiz ist nicht in der EU, also haben wir Zeit…”

Warum das scheitert: Deine EU-Kunden und -Partner warten nicht. Verträge enthalten bereits NIS2-Klauseln. RFPs verlangen Compliance-Nachweise.

Die Lösung: Jetzt anfangen. Gap-Analyse kostet 4-6 Wochen. Danach weisst du, wo du stehst. Und kannst fundiert entscheiden.

Fehler #5: Perfektion anstreben statt Pragmatismus

Das Problem: “Wir setzen NIS2 zu 100% um, bevor wir irgendetwas melden oder dokumentieren.”

Warum das scheitert: 100% gibt es nicht. Du wirst immer Optimierungspotenzial finden.

Die Lösung: Risikobasiert vorgehen. Die kritischsten 20% der Massnahmen schliessen 80% der Risiken. Start there.

NIS2 verlangt “angemessen” und “state-of-the-art”. Nicht “perfekt”.

Was passiert bei Nicht-Compliance?

Okay, real talk. Was passiert, wenn du NIS2 ignorierst?

Die Strafen (in der EU)

Für “wesentliche Einrichtungen” (Essential Entities):

Bis zu 10 Millionen Euro ODER
2% des weltweiten Jahresumsatzes
Je nachdem, was höher ist

Für “wichtige Einrichtungen” (Important Entities):

Bis zu 7 Millionen Euro ODER
1,4% des weltweiten Jahresumsatzes

Persönliche Haftung: Neu bei NIS2: Die Geschäftsleitung kann persönlich haftbar gemacht werden bei grober Fahrlässigkeit.

Das bedeutet: Wenn die Geschäftsleitung Cybersecurity ignoriert hat, trotz Warnungen, und es kommt zum schwerwiegenden Incident… persönliche Konsequenzen sind möglich.

Das ist ein Paradigmenwechsel. Und hat bei vielen CEOs/CFOs für kalte Duschen gesorgt.

Die Realität der Enforcement

Aber: Theorie vs. Praxis.

Die EU-Mitgliedstaaten sind gerade dabei, die Durchsetzungs-Infrastruktur aufzubauen. CSIRTs (Computer Security Incident Response Teams) müssen geschaffen oder erweitert werden. Auditoren müssen geschult werden.

Das bedeutet nicht, dass du Zeit hast. Es bedeutet, dass die ersten 12-24 Monate wahrscheinlich fokussiert sein werden auf:

Schwere Vorfälle (grosse Breaches, kritische Infrastruktur-Ausfälle)
Wiederholungstäter (Unternehmen, die Warnungen ignorieren)
Exempel (ein paar hochkarätige Cases, um ein Zeichen zu setzen)

Für Schweizer Unternehmen: Aktuell keine direkten Strafen durch EU-Behörden (wir sind nicht in der EU).

ABER:

Vertragliche Konsequenzen: EU-Partner können Verträge kündigen oder nicht verlängern
Reputationsschaden: “Wir sind nicht NIS2-konform” ist kein gutes Sales-Argument
Schweizer Regulierung kommt: NCSC arbeitet an nationalen Standards, die ähnlich sein werden
Zivilrechtliche Haftung: Bei Datenpannen können Kunden Schadensersatz fordern

Der Business Case für Compliance

Vergiss die Strafen. Hier ist der echte Grund, warum NIS2-Compliance sinnvoll ist:

1. Risikoreduktion: Die Massnahmen machen dich tatsächlich sicherer. Ransomware-Vorfälle kosten im Durchschnitt 1-5 Millionen Euro. Plus Reputationsschaden. Plus Betriebsunterbrechung.

Beitrag dazu: Ist es günstiger, nach einer Ransomware-Attacke zu recovern oder neu aufzubauen?

2. Wettbewerbsvorteil: “Wir sind NIS2-konform” wird ein Verkaufsargument. Besonders bei grossen, regulierten Kunden.

3. Versicherbarkeit: Cyber-Versicherungen werden zunehmend Mindeststandards verlangen. NIS2-Compliance hilft.

4. M&A-Readiness: Due Diligence bei Übernahmen schaut auf Cybersecurity. NIS2-Compliance macht dich attraktiver (oder weniger riskant).

5. Grundlage für Wachstum: Solide Security-Grundlagen ermöglichen schnelleres, sicheres Wachstum. Du kannst neue Märkte erschliessen, neue Technologien nutzen, ohne jedes Mal von vorne zu starten.

Wie wir bei der NIS2-Umsetzung helfen

Wir haben in den letzten Monaten mit Dutzenden von Unternehmen NIS2-Assessments und Roadmaps gemacht. Von KMUs bis zu grossen Konzernen. In regulierten und nicht-regulierten Branchen.

Unser Ansatz ist assessment-first.

Wir starten nicht mit “Hier ist, was ihr braucht”. Wir starten mit “Wo steht ihr heute?”

Der ODCUS NIS2-Prozess

Schritt 1: Scope & Applicability Assessment (1-2 Wochen)

Seid ihr überhaupt betroffen?
Welche Systeme, Prozesse, Daten sind relevant?
Essential oder Important Entity?

Schritt 2: Gap-Analyse (3-4 Wochen)

Ist-Zustand dokumentieren
Mapping zu NIS2-Anforderungen
Gaps identifizieren und priorisieren
Risiko-Bewertung

Schritt 3: Roadmap & Business Case (2-3 Wochen)

Umsetzungsplanung (Quick Wins, Mittel-, Langfristig)
Budget und Ressourcen
Business Case und ROI
Präsentation für Geschäftsleitung

Schritt 4: Implementierungsunterstützung (optional, 6-12 Monate)

Projektmanagement
Technische Umsetzung (oder Koordination mit euren Teams/Partnern)
Dokumentation
Testing und Validation

Schritt 5: Audit-Vorbereitung (optional, 2-4 Wochen)

Compliance-Review
Dokumentation vervollständigen
Mock-Audit
Gap-Remediation

Unser Job ist es, den Prozess zu strukturieren, die Lücken zu identifizieren, euch durch die Komplexität zu führen, und sicherzustellen, dass ihr am Ende nicht nur compliant seid… sondern tatsächlich sicherer.