Yannick H.,
04.02.2026
TLDR;
NIS2, FINMA, KRITIS-G – viele sehen Regulierung als Bürokratie. Die cleveren Unternehmen nutzen diese Anforderungen als Struktur für das, was sie ohnehin brauchen. Wir zeigen dir, wie du regulatorische Anforderungen auf dein Resilienz-Framework mappst und Compliance zum Wettbewerbsvorteil machst – statt zur Last.
"Schon wieder neue Regulierung. Als ob wir nichts Besseres zu tun hätten."
Das ist die häufigste Reaktion, die wir hören, wenn NIS2 oder FINMA-Anforderungen auf den Tisch kommen. Verständlich. Noch mehr Papierkram, noch mehr Audits, noch mehr Kosten.
Aber hier ist die Sache...
Die Anforderungen, die diese Regulierungen stellen? Die brauchst du ohnehin. Kritische Prozesse identifizieren. Incident Response vorbereiten. Lieferketten-Risiken managen. Das sind keine Compliance-Übungen – das sind Grundlagen operativer Resilienz.
Die Regulierung gibt dir nur die Struktur. Und eine externe Deadline.
Der Perspektivwechsel
Alte Perspektive: Compliance = Kosten. Aufwand. Bürokratie. Auditor zufriedenstellen. Abhaken. Vergessen.
Neue Perspektive: Compliance = Checkliste für operative Fähigkeiten, die du sowieso brauchst. Mit dem Bonus: Rechtssicherheit und Wettbewerbsvorteil.
Der Unterschied liegt nicht in den Aktivitäten – die sind oft dieselben. Der Unterschied liegt in der Denkweise.
Wenn du NIS2 als "nervige Pflicht" angehst, bekommst du minimale Compliance und keinen operativen Nutzen. Wenn du NIS2 als "Struktur für Resilienz" angehst, bekommst du beides.
Was NIS2 und FINMA wirklich fordern
Lass uns mal durch die wesentlichen Anforderungen gehen – und schauen, was sie für die operative Resilienz bedeuten.
NIS2: Die wichtigsten Anforderungen
NIS2-Anforderung | Was bedeutet das? | Resilienz-Dimension |
|---|---|---|
Identifikation kritischer Dienste | Liste aller geschäftskritischen Services und deren Abhängigkeiten | Dimension 1: Business Impact |
Risikomanagement | Systematische Bewertung von Cyber-Risiken und Behandlungspläne | Dimension 3: Technical Architecture |
Incident Response | Dokumentierte Prozesse für Erkennung, Reaktion, Recovery | Dimension 2: Process Resilience |
Business Continuity | Pläne für Weiterbetrieb bei Störungen | Dimension 2: Process Resilience |
Lieferketten-Sicherheit | Bewertung und Management von Drittanbieter-Risiken | Dimension 1: Dependencies |
Meldepflichten | Fristgerechte Meldung an Behörden | Dimension 4: Organizational |
FINMA: Operative Resilienz für Finanzsektor
FINMA-Anforderung | Was bedeutet das? | Resilienz-Dimension |
|---|---|---|
Kritische Funktionen | Identifikation der Funktionen, die bei Störung systemische Auswirkungen haben | Dimension 1: Business Impact |
Toleranzschwellen | Maximale tolerierbare Ausfallzeiten definieren | Dimension 1: RTO-Definition |
Szenarien-Tests | Regelmässige Tests der BC/DR-Pläne | Dimension 2: Testing |
Outsourcing-Governance | Kontrolle über ausgelagerte Funktionen | Dimension 3: Dependencies |
Eskalation & Meldung | Klare Eskalationswege, fristgerechte Meldungen | Dimension 4: Organizational |
Schweizer KRITIS-G (ab Oktober 2025)
KRITIS-G Anforderung | Was bedeutet das? | Konsequenz bei Verstoss |
|---|---|---|
Meldepflicht | Cyberangriffe innert 24h an NCSC melden | Bis CHF 100'000 pro Tag |
Kritische Infrastruktur | Identifikation, ob Unternehmen unter KRITIS fällt | Höhere Anforderungen |
Incident-Dokumentation | Vollständige Dokumentation von Vorfällen | Nachweis bei Prüfung |
Wie du Compliance zur Resilienz machst
Hier ist der praktische Teil: Wie mappst du regulatorische Anforderungen auf dein Resilienz-Framework?
Schritt 1: Compliance-Mapping erstellen
Für jede regulatorische Anforderung fragst du:
Welche Resilienz-Dimension adressiert das?
Haben wir das bereits abgedeckt?
Wenn ja: Wo ist der Nachweis?
Wenn nein: Was müssen wir tun?
Beispiel Compliance-Mapping-Matrix:
Regulatorische Anforderung | Resilienz-Dimension | Status | Nachweis / Gap |
|---|---|---|---|
NIS2: Kritische Services identifizieren | Dimension 1: BIA | ✅ Erfüllt | BIA-Report mit Kritikalitäts-Assessment |
NIS2: Incident-Response-Prozess | Dimension 4: Organizational | ✅ Erfüllt | RACI-Matrix, Incident Playbooks |
FINMA: Degraded Operations | Dimension 2: Process Resilience | ✅ Erfüllt | MVO-Dokumentation für kritische Prozesse |
NIS2: Lieferketten-Management | Dimension 1: Dependencies | ⚠️ In Arbeit | Dependency-Mapping in Umsetzung |
FINMA: Regelmässige Tests | Dimension 2: Testing | ⚠️ In Planung | Test-Szenarien definiert, Q1/26 erster Test |
Schritt 2: Synergien nutzen
Das Schöne an diesem Ansatz: Viele Anforderungen überlappen sich.
Beispiel:
NIS2 fordert "Identifikation kritischer Dienste"
FINMA fordert "Kritische Funktionen identifizieren"
ISO 27001 fordert "Asset Management mit Schutzbedarfsfeststellung"
Das ist dreimal dieselbe Übung. Mit einer guten Business Impact Analyse deckst du alle drei ab.
Statt für jeden Regulator separate Dokumentation zu erstellen, erstellst du ein integriertes Resilienz-Framework – und mappst es auf die verschiedenen Anforderungen.
Schritt 3: Nachweis-Struktur aufbauen
Regulierung bedeutet auch: Du musst nachweisen können, was du tust.
Was du dokumentieren solltest:
Anforderung | Nachweis-Dokument | Review-Frequenz |
|---|---|---|
Kritische Prozesse | BIA-Report | Jährlich |
Risikobewertung | Risk Register | Jährlich + nach Incidents |
Incident Response | Playbooks + RACI-Matrix | Halbjährlich |
Business Continuity | BC-Pläne + Test-Protokolle | Quartalsweise Tests |
Lieferketten-Risiken | Vendor Risk Assessments | Jährlich pro Kritikalität |
Tipp: Halte die Dokumentation aktuell. Ein veralteter BC-Plan ist bei einer Prüfung schlimmer als keiner – weil er zeigt, dass du das Thema nicht ernst nimmst.
Der Wettbewerbsvorteil
Compliance als Wettbewerbsvorteil? Ja, wirklich.
1. Kundenvertrauen
Wenn du einem Enterprise-Kunden zeigen kannst, dass du NIS2-compliant bist und regelmässig BC-Tests durchführst, bist du glaubwürdiger als der Wettbewerber, der das nicht kann.
Gerade bei Ausschreibungen im Enterprise-Segment werden Resilience-Nachweise immer häufiger abgefragt.
2. Versicherungskonditionen
Cyber-Versicherungen werden teurer und restriktiver. Aber: Versicherer geben bessere Konditionen für Unternehmen mit nachweisbaren Resilience-Massnahmen.
Wir haben Fälle gesehen, wo die Prämieneinsparung die Kosten der Resilience-Implementation im ersten Jahr übersteigt.
3. Lieferketten-Qualifikation
Grosse Unternehmen prüfen zunehmend die Cyber-Resilienz ihrer Lieferanten. Wenn du nachweisen kannst, dass du deine Risiken im Griff hast, qualifizierst du dich für Aufträge, die anderen verwehrt bleiben.
4. M&A-Due-Diligence
Bei Unternehmensverkäufen oder -käufen wird IT-Resilienz geprüft. Unternehmen mit sauberer Compliance-Dokumentation erzielen bessere Bewertungen – weil das Risiko für den Käufer geringer ist.
Die Falle: Compliance um der Compliance willen
Hier ist die Warnung: Es gibt auch den falschen Ansatz.
Der falsche Ansatz:
Minimale Dokumentation erstellen, um Audit zu bestehen
Checklisten abhaken ohne operative Umsetzung
Separate "Compliance-Dokumente" neben den echten Prozessen
Einmal erstellen, dann vergessen
Das Ergebnis:
Compliance-Kosten ohne operativen Nutzen
Bei echtem Vorfall: Die Dokumente helfen nicht
Bei nächstem Audit: Alles wieder von vorne
Der richtige Ansatz:
Resilienz-Fähigkeiten aufbauen, die funktionieren
Compliance-Nachweise als Nebenprodukt dieser Fähigkeiten
Integrierte Dokumentation, die den echten Prozess abbildet
Regelmässige Tests und kontinuierliche Verbesserung
Die kurze Version
Perspektivwechsel: Compliance ist keine Bürokratie – es ist eine Checkliste für das, was du brauchst
Synergien nutzen: NIS2, FINMA, ISO 27001 fordern oft dasselbe
Ein Framework, mehrere Nachweise: Integriertes Resilienz-Framework statt separate Compliance-Dokumente
Wettbewerbsvorteil: Kundenvertrauen, Versicherungskonditionen, Lieferketten-Qualifikation, M&A-Bewertung
Die Falle vermeiden: Keine Compliance um der Compliance willen – sondern operative Fähigkeiten mit Compliance-Nachweis
Wie weiter?
Beantworte dir diese Fragen:
Welche Regulierungen gelten für dein Unternehmen? (NIS2? FINMA? KRITIS-G? GDPR?)
Hast du eine aktuelle Business Impact Analyse?
Könntest du bei einem Audit morgen nachweisen, was du für Business Continuity tust?
Wenn du bei Frage 2 oder 3 unsicher bist, hast du deinen Startpunkt.
(Und falls ihr Unterstützung braucht, um Compliance und Resilienz sinnvoll zu integrieren – genau dafür sind wir da.)
Weiterlesen
NIS2-Richtlinie für Schweizer Unternehmen – Der ultimative Umsetzungsleitfaden
Die 5 Dimensionen operativer Resilienz – Das vollständige Framework
Business Impact Analyse – Kritische Geschäftsprozesse identifizieren
