Die NIS2-Richtlinie der EU ist seit Oktober 2024 in Kraft. Für viele Schweizer Unternehmen gilt: Sie sind betroffen, auch wenn sie ihren Sitz ausserhalb der EU haben. Wer EU-Kunden hat, Teil einer EU-Lieferkette ist oder Tochtergesellschaften in der EU betreibt, muss sich mit den Anforderungen auseinandersetzen.

Das klingt nach einem weiteren Compliance-Projekt. In unserer Erfahrung ist es das auch, aber einem, das sich lohnt, wenn man es richtig angeht. NIS2 zwingt dich, Fragen zu beantworten, die du für die operative Resilienz ohnehin beantworten müsstest: Welche Systeme sind kritisch? Wer ist verantwortlich, wenn etwas ausfällt? Wie schnell kannst du auf einen Angriff reagieren?

Dieser Leitfaden erklärt, wen NIS2 betrifft, was die Anforderungen konkret bedeuten, und wie du eine Umsetzung planst, die nicht zwei Jahre dauert.

Was ist NIS2 eigentlich?

NIS2 steht für "Network and Information Security Directive 2" – die zweite Version der EU-Richtlinie zur Netz- und Informationssicherheit.

Die erste NIS-Richtlinie kam 2016 und war in der Praxis zu vage und kaum durchgesetzt. Zu vage Anforderungen, zu wenige betroffene Unternehmen, kaum Durchsetzung. Die EU hat gemerkt: Das reicht nicht.

Also kam NIS2. Verabschiedet Ende 2022, mit Umsetzungsfrist Oktober 2024 für EU-Mitgliedstaaten.

Was ist anders?

Erstens: Der Anwendungsbereich wurde massiv erweitert. Wo die alte NIS-Richtlinie nur eine Handvoll Sektoren betraf (Energie, Gesundheit, Verkehr), umfasst NIS2 jetzt 18 Sektoren.

Zweitens: Die Anforderungen sind viel konkreter. Nicht mehr "ihr solltet vielleicht mal über Cybersecurity nachdenken", sondern klare Vorgaben zu Risikomanagement, Incident Response, Supply Chain Security, etc.

Drittens: Die Strafen haben echte Zähne. Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Und – das ist neu – persönliche Haftung für die Geschäftsleitung.

Und für Schweizer Unternehmen?

Die Schweiz ist nicht in der EU. Wir sind nicht verpflichtet, EU-Richtlinien 1:1 zu übernehmen.

Für Schweizer Unternehmen gilt trotzdem: Wenn dein Unternehmen Tochtergesellschaften in der EU hat, kritische Dienste für EU-Kunden erbringt, Teil der Lieferkette von EU-Unternehmen ist oder in der EU tätig ist – NIS2 lässt sich nicht ignorieren. Deine EU-Partner werden Compliance-Nachweise verlangen. Verträge werden NIS2-Klauseln enthalten.

Wir sehen das bei GDPR – faktisch mussten viele Schweizer Unternehmen GDPR-konform werden, auch wenn das Schweizer DSG etwas anderer Natur war. Bei NIS2 wird es ähnlich laufen.

Betrifft NIS2 dein Unternehmen?

NIS2 unterscheidet zwischen zwei Kategorien:

1. Wesentliche Einrichtungen (Essential Entities)

• Energie: Strom, Gas, Öl, Fernwärme, Wasserstoff

• Verkehr: Luftfahrt, Eisenbahn, Schifffahrt, Strassenverkehr

• Bankwesen & Finanzmarktinfrastruktur

• Gesundheitswesen: Krankenhäuser, Labore, Forschungseinrichtungen, Pharma

• Trinkwasser & Abwasser

• Digitale Infrastruktur: Internet-Knoten, DNS-Anbieter, TLD-Registries, Cloud-Dienste, Rechenzentren

• Weltraum: Satellitenbetreiber

• Öffentliche Verwaltung (nur auf zentraler Ebene)

2. Wichtige Einrichtungen (Important Entities)

• Post- und Kurierdienste

• Abfallwirtschaft

• Chemische Produktion & Vertrieb

• Lebensmittelproduktion & -vertrieb

• Fertigung: Medizinprodukte, Computer/Elektronik, Maschinen, Fahrzeuge

• Digitale Dienste: Online-Marktplätze, Suchmaschinen, Social-Media-Plattformen, B2B-SaaS

• Forschungsorganisationen

Die EU wollte alle Bereiche erfassen, die bei einem Cyberangriff die Wirtschaft oder Gesellschaft ernsthaft beeinträchtigen könnten.

Die Grössenschwellen

Du bist betroffen, wenn du 50 oder mehr Mitarbeitende hast ODER mehr als 10 Millionen Euro Jahresumsatz machst.

Es gibt Ausnahmen für kleinere Unternehmen in bestimmten Sektoren, aber wenn du in einem kritischen Bereich tätig bist, kommst du wahrscheinlich nicht drum herum.

Der Schweizer Self-Assessment-Check

1. Sektor-Check:

• [ ] Ist mein Unternehmen in einem der 18 NIS2-Sektoren tätig?

• [ ] Betreibe ich kritische Infrastruktur (Energie, Verkehr, Gesundheit)?

• [ ] Biete ich digitale Dienste an (Cloud, SaaS, Rechenzentrum)?

2. Grössen-Check:

• [ ] Habe ich 50+ Mitarbeitende?

• [ ] Übersteigt mein Jahresumsatz 10 Millionen Euro?

3. EU-Exposure-Check:

• [ ] Habe ich Niederlassungen oder Tochtergesellschaften in der EU?

• [ ] Sind meine Kunden EU-Unternehmen in regulierten Sektoren?

• [ ] Bin ich Teil der Lieferkette von NIS2-pflichtigen Unternehmen?

• [ ] Verarbeite ich Daten von EU-Bürgern oder -Unternehmen?

Wenn du mindestens eine Frage pro Kategorie mit "Ja" beantwortest: herzlich willkommen im NIS2-Club.

Die Grauzone: Schweizer Besonderheiten

Die Schweiz wird wahrscheinlich ein eigenes Cybersecurity-Gesetz entwickeln, ähnlich wie wir beim Datenschutz unser DSG haben statt GDPR. Also selbst wenn du rein auf den Schweizer Markt fokussiert bist: Die Richtung ist klar. NIS2-konform zu werden ist auch für rein schweizerische Unternehmen eine gute Vorbereitung.

Die 10 wichtigsten NIS2-Anforderungen

Jetzt wird's konkret. Was verlangt NIS2 eigentlich von dir?

1. Risikomanagement

Du musst deine Cyber-Risiken systematisch identifizieren, bewerten und managen. Regelmässige Risikoanalysen, dokumentierte Bewertungsmethodik, Priorisierung nach Kritikalität, Massnahmenplan. NIS2 verlangt, dass du es dokumentierst und nachweisen kannst. Die meisten Unternehmen machen informelle Risikoanalysen – NIS2 will formelle Prozesse.

2. Incident Response (24-Stunden-Meldepflicht)

Du musst Cybersecurity-Vorfälle innerhalb von 24 Stunden an die zuständige Behörde melden. Das braucht einen Incident Response Plan, klare Eskalationswege, und definierten Meldeprozess (24h-Ersterkennung, 72h-Zwischenbericht, 30-Tage-Abschlussbericht). Für Schweizer Unternehmen: national aktuell keine 24h-Meldepflicht. Aber wenn du EU-Kunden bedienst, musst du dich an deren Regeln halten.

3. Business Continuity & Disaster Recovery

Du brauchst einen Plan, wie du nach einem Cyberangriff den Betrieb wiederaufnimmst. Business Continuity Plan, Disaster Recovery Plan, Backup-Strategie mit regelmässigen Tests, definierte RTO und RPO. "Wir haben Backups" reicht nicht. Du musst zeigen, dass du sie auch wiederherstellen kannst. Wir sehen immer wieder: Backups existieren, aber die Restore-Prozedur wurde nie getestet.

4. Supply Chain Security

Du bist verantwortlich für die Cybersecurity deiner Lieferanten und Dienstleister. Security-Assessment der kritischen Lieferanten, vertragliche Security-Anforderungen, Incident-Notification-Klauseln. Du kannst nicht jeden Lieferanten auditieren. Aber du musst die kritischen identifizieren und deren Security-Level kennen. Die SolarWinds-Attacke 2020 hat gezeigt: Dein schwächstes Glied ist oft nicht in deinem Haus, sondern in der Lieferkette.

5. Network Security

Segmentierung (Zero Trust Ansatz), Firewalls und Intrusion Detection/Prevention, VPN für Remote Access, Network Monitoring. Mehr dazu: Zero Trust – Wo fange ich eigentlich an?

Viele Unternehmen haben "Flat Networks" – alles kann mit allem kommunizieren. Das ist das Gegenteil von dem, was NIS2 will.

6. Access Control

Multi-Faktor-Authentifizierung überall, Least Privilege Prinzip, regelmässige Access Reviews, Privileged Access Management für Admin-Accounts. MFA ist 2025 nicht optional. Und SMS-basierte MFA reicht nicht. Authenticator-Apps oder Hardware-Tokens.

7. Kryptografie & Encryption

TLS 1.3 für alle Verbindungen, verschlüsselte Datenbanken, verschlüsselte Backups, Key Management. "Unsere Daten sind in der Cloud, die ist sicher" reicht nicht. Du musst kontrollieren, wer die Encryption Keys hat.

8. Mitarbeiter-Schulung

Jährliche Security Awareness Trainings, Phishing-Simulationen, Incident Reporting Training, rolle-spezifische Schulungen. 90% der Breaches starten mit Phishing oder Social Engineering. Das nervigste Compliance-Training der Welt ist auch das wichtigste.

9. Sicherheitstests & Audits

Vulnerability Scans (monatlich oder quartalsweise), Penetration Tests (jährlich), Security Audits. "Wir hatten noch nie einen Angriff, also sind wir sicher" ist kein Argument mehr.

10. Management-Verantwortung & Governance

Die Geschäftsleitung ist verantwortlich. Nicht die IT. Die C-Suite. Geschäftsleitung muss Cybersecurity-Massnahmen genehmigen und überwachen, regelmässige Berichterstattung, Budget-Verantwortung, und persönliche Haftung bei grober Fahrlässigkeit.

Früher konnte die Geschäftsleitung sagen "IT-Thema, kümmert euch". Jetzt nicht mehr. NIS2 macht Cybersecurity zur Chefsache.

Mehr dazu: CISO-as-a-Service – Führung in der Cybersicherheit

Der NIS2-Umsetzungsfahrplan

Du weisst jetzt, was NIS2 will. Wie setzt man das um, ohne die nächsten zwei Jahre nur damit beschäftigt zu sein?

Phase 1: Gap-Analyse (4-6 Wochen)

Scope Definition, Ist-Zustand dokumentieren, Mapping zu NIS2-Anforderungen, Gap-Identifikation, Risiko-Bewertung. Output: Gap-Analyse-Report mit priorisierten Handlungsfeldern.

Die meisten Unternehmen sind bei 40-60% Compliance. Das ist normal. Niemand startet bei Null. Aber auch niemand ist aus Versehen NIS2-konform.

Phase 2: Roadmap & Priorisierung (2-3 Wochen)

Quick Wins identifizieren, Mittel- und Langfristplanung, Ressourcen und Budget klären, Risikopriorisierung, Buy-In der Geschäftsleitung. Output: 12-18 Monate Roadmap mit Meilensteinen.

NIS2-Compliance ist kein 3-Monats-Projekt. Rechne mit 12-18 Monaten für vollständige Umsetzung. Aber nach 3-6 Monaten solltest du die kritischsten Gaps geschlossen haben.

Phase 3: Implementierung (6-12 Monate)

Monat 1-3: Quick Wins – MFA aktivieren, Incident Response Plan erstellen, Basis-Monitoring aufsetzen, kritische Patches, erste Trainings.

Monat 4-6: Core Security – Netzwerk-Segmentierung, PAM, Backup Recovery Testing, Supply Chain Assessment der Top 10 Lieferanten.

Monat 7-12: Advanced & Governance – Zero Trust Architektur, Penetration Tests, Business Continuity Pläne, Governance Framework, Management Reporting.

NIS2 verlangt "angemessene" Massnahmen. Das bedeutet: risikobasiert, verhältnismässig. Kleine Unternehmen müssen nicht die gleichen Massnahmen haben wie Konzerne, aber die richtigen.

Phase 4: Dokumentation (laufend)

Risiko-Analysen, Security Policies, Incident Response Pläne, Training Records, Audit-Reports, Management Reviews, Lieferanten-Assessments.

"Wenn es nicht dokumentiert ist, ist es nicht passiert" – das gilt bei Audits.

Phase 5: Testing & Continuous Improvement

• Quartalsweise: Vulnerability Scans, Access Reviews, Policy Updates

• Halbjährlich: Security Awareness Trainings, Backup Recovery Tests

• Jährlich: Penetration Tests, Risiko-Analyse-Update, Management Review

NIS2-Compliance ist kein Projekt, es ist ein Programm. Die Frage ist nicht "Wann sind wir compliant?", sondern "Wie bleiben wir compliant?"

Die häufigsten Fehler bei der NIS2-Umsetzung

Fehler 1: NIS2 als reines IT-Projekt behandeln

"IT, kümmert euch um NIS2" – und die IT versucht es alleine zu stemmen. NIS2 ist ein Business Risk Management Thema. Es braucht Geschäftsleitung, Legal, HR, Einkauf und alle Fachbereiche. Lösung: Cross-funktionales NIS2-Projektteam mit Executive Sponsor.

Fehler 2: Dokumentation unterschätzen

"Wir machen das schon irgendwie alles, wir müssen es nur mal aufschreiben." Dieses "Mal aufschreiben" wird zu einem 6-Monats-Projekt. Weil du merkst: Du machst vieles doch nicht konsistent. Dokumentation von Anfang an einplanen.

Fehler 3: Supply Chain Security ignorieren

"Wir konzentrieren uns erstmal auf unsere eigenen Systeme. Lieferanten kommen später." Später kommt nie. Top 10-20 kritische Lieferanten identifizieren und frühzeitig ansprechen.

Fehler 4: Zu lange warten

"NIS2 betrifft uns vielleicht, aber die Schweiz ist nicht in der EU, also haben wir Zeit." Deine EU-Kunden und -Partner warten nicht. Verträge enthalten bereits NIS2-Klauseln. RFPs verlangen Compliance-Nachweise. Jetzt anfangen.

Fehler 5: Perfektion anstreben statt Pragmatismus

Die kritischsten 20% der Massnahmen schliessen 80% der Risiken. Risikobasiert vorgehen. NIS2 verlangt "angemessen" – nicht "perfekt".

Was passiert bei Nicht-Compliance?

Für wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes.

Für wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes.

Persönliche Haftung: Die Geschäftsleitung kann persönlich haftbar gemacht werden bei grober Fahrlässigkeit.

Für Schweizer Unternehmen aktuell keine direkten Strafen durch EU-Behörden. Aber: EU-Partner können Verträge kündigen, Reputationsschaden, Schweizer Regulierung kommt, zivilrechtliche Haftung bei Datenpannen.

Der Business Case für Compliance

1. Risikoreduktion: Die Massnahmen machen dich tatsächlich sicherer. Dazu: The real cost of being unprepared for ransomware

2. Wettbewerbsvorteil: "Wir sind NIS2-konform" wird ein Verkaufsargument, besonders bei grossen, regulierten Kunden.

3. Versicherbarkeit: Cyber-Versicherungen verlangen zunehmend Mindeststandards.

4. M&A-Readiness: Due Diligence bei Übernahmen schaut auf Cybersecurity.

5. Grundlage für Wachstum: Solide Security-Grundlagen ermöglichen schnelleres, sicheres Wachstum in neue Märkte.

Wie wir bei der NIS2-Umsetzung helfen

Wir haben in den letzten Monaten mit Dutzenden von Unternehmen NIS2-Assessments und Roadmaps gemacht. Von KMUs bis zu grossen Konzernen. In regulierten und nicht-regulierten Branchen.

Unser Ansatz ist assessment-first. Wir starten nicht mit "Hier ist, was ihr braucht". Wir starten mit "Wo steht ihr heute?"

Schritt 1: Scope & Applicability Assessment – Seid ihr überhaupt betroffen? Welche Systeme, Prozesse, Daten sind relevant? Essential oder Important Entity?

Schritt 2: Gap-Analyse – Ist-Zustand dokumentieren, Mapping zu NIS2-Anforderungen, Gaps identifizieren und priorisieren.

Schritt 3: Roadmap & Business Case – Umsetzungsplanung, Budget und Ressourcen, Präsentation für Geschäftsleitung.

Schritt 4: Implementierungsunterstützung – Projektmanagement, technische Umsetzung oder Koordination mit euren Teams und Partnern, Dokumentation und Testing.

Unser Job ist es, den Prozess zu strukturieren, die Lücken zu identifizieren, euch durch die Komplexität zu führen, und sicherzustellen, dass ihr am Ende nicht nur compliant seid, sondern tatsächlich sicherer.

Nächste Schritte

Schritt 1: Klären, ob ihr betroffen seid (1-2 Stunden)

Nutze die Self-Assessment-Checkliste weiter oben. Wenn unklar: besser auf der sicheren Seite und ein Assessment machen.

Schritt 2: Erste Gap-Analyse (intern, 1-2 Wochen)

• Liste die 10 NIS2-Anforderungen auf

• Bewerte auf einer Skala 1-10, wo ihr steht

• Identifiziere die Top 5 Gaps

• Schätze grob Budget und Aufwand

Schritt 3: Stakeholder informieren und Buy-In holen

NIS2 ist Chefsache. Informiere die Geschäftsleitung früh. "Persönliche Haftung" ist ein gutes Argument für Budget und Aufmerksamkeit.

Schritt 4: Professionelles Assessment (empfohlen)

Eine externe Gap-Analyse kostet 4-8 Wochen und ein paar Zehntausend Franken. Dafür bekommst du: objektive Bewertung ohne blinde Flecken, Benchmarking, priorisierte Roadmap, Business Case für Geschäftsleitung, und das Fundament für den Compliance-Nachweis.

Schritt 5: Starten, nicht warten

Die Unternehmen, die jetzt starten, haben einen Vorteil: sie können in Ruhe, strukturiert vorgehen. Die Unternehmen, die warten bis der erste EU-Kunde NIS2-Compliance im Vertrag verlangt, sind in Zeitnot und machen Fehler.

Du musst nicht perfekt sein. Aber du musst anfangen.