NIS2 Schweiz: Wann Schweizer Firmen betroffen sind
NIS2 gilt formal nur in der EU – doch Schweizer Unternehmen mit DE-Niederlassung oder EU-Lieferkette sind direkt betroffen. Was konkret gefordert wird.
Autor: MineData GmbH
NIS2 Schweiz: Drei Wege, auf denen die Richtlinie euch trotzdem trifft
Die NIS2-Richtlinie (EU 2022/2555) ist seit Oktober 2024 in den EU-Mitgliedstaaten national umgesetzt — darunter Deutschland mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG). Die Schweiz ist kein EU-Mitglied und hat NIS2 nicht ins nationale Recht übernommen. Das Schweizer Pendant ist das revidierte Informationssicherheitsgesetz (ISG) sowie das neue BACS-Meldewesen für kritische Infrastrukturen, das ab 2025 greift.
Trotzdem ist «wir sind in der Schweiz, also geht uns NIS2 nichts an» für viele KMU die falsche Schlussfolgerung. Es gibt drei konkrete Situationen, in denen NIS2 Schweizer Unternehmen direkt betrifft:
- Deutsche oder EU-Niederlassung: Wer eine GmbH, Zweigniederlassung oder auch nur eine «Betriebsstätte» im EU-Raum hat, fällt mit diesem Rechtssubjekt unter NIS2, sofern der Sektor und die Grösse passen.
- Lieferkette zu regulierten EU-Unternehmen: NIS2 verpflichtet betroffene Unternehmen ausdrücklich, Sicherheitsanforderungen an «wichtige Lieferanten und Dienstleister» weiterzugeben (Art. 21 Abs. 3). Ein Schweizer Softwarehaus, das SaaS an eine deutsche Stadtwerke-Tochter liefert, bekommt diese Anforderungen vertraglich aufgebürdet.
- Exportmarkt-Compliance: Schweizer Anbieter, die aktiv in den deutschen oder österreichischen Markt verkaufen und dort als «wesentlicher» oder «wichtiger» Anbieter eingestuft werden könnten, sollten prüfen, ob sie selbst in den Anwendungsbereich fallen.
Wen NIS2 in der EU direkt erfasst — und was das für Schweizer Töchter bedeutet
NIS2 unterscheidet zwei Kategorien:
| Kategorie | Sektoren (Auswahl) | Schwellenwert |
|---|---|---|
| Wesentliche Einrichtungen | Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur | ≥ 250 MA oder ≥ EUR 50 Mio. Umsatz |
| Wichtige Einrichtungen | Post, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau, IT-Dienstleister | ≥ 50 MA oder ≥ EUR 10 Mio. Umsatz |
Kleinstunternehmen (< 50 MA, < EUR 10 Mio.) sind grundsätzlich ausgenommen — ausser sie sind «kritische Einzelanbieter» in einem Sektor.
Für Schweizer Muttergesellschaften mit einer deutschen GmbH gilt: Das deutsche Rechtssubjekt wird separat bewertet. Überschreitet die DE-GmbH allein die Schwellen nicht, kann die Konzernzugehörigkeit trotzdem relevant sein, wenn NIS2 auf die «Unternehmensgruppe» abstellt (was in einigen nationalen Umsetzungen der Fall ist). Im Zweifelsfall braucht es eine juristische Einschätzung durch einen deutschen NIS2-Spezialisten.
Welche Massnahmen NIS2 konkret fordert
Art. 21 NIS2 listet zehn Pflichtkategorien. Die folgenden vier sind erfahrungsgemäss die grössten Lücken in mittelständischen IT-Umgebungen:
1. Incident-Response und Meldepflicht
Betroffene müssen «erhebliche Sicherheitsvorfälle» innerhalb von 24 Stunden an die nationale Behörde (in Deutschland: BSI) melden und innerhalb von 72 Stunden einen vollständigen Bericht nachliefern. Diese Fristen setzen voraus, dass Erkennung und Klassifizierung in Echtzeit funktionieren — ohne ein Security Operations Center oder zumindest ein Managed Detection-Service ist das in der Praxis kaum einzuhalten. MineData betreibt dafür einen SOC-as-a-Service, der die 24h-Meldefrist technisch absichert.
2. Risikomanagement mit dokumentierter Governance
NIS2 fordert kein ISO-27001-Zertifikat, aber eine «angemessene und verhältnismässige» Sicherheitsstrategie mit dokumentierter Verantwortung auf Leitungsebene. Geschäftsführer haften persönlich für grobe Pflichtverletzungen — in Deutschland drohen Bussgelder bis EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes. Ein Policy-Dokument im Ordner reicht nicht; es braucht nachweisbare Reviews.
3. Supply-Chain-Sicherheit
Lieferanten müssen nach NIS2 aktiv bewertet werden. Konkret: schriftliche Sicherheitsanforderungen in Verträgen, Nachweise über Schutzmassnahmen (Penetrationstests, Zertifizierungen), regelmässige Neubewertung bei Vertragsänderungen. Schweizer IT-Dienstleister, die deutschen Kunden zuliefern, erhalten diese Anforderungen via Vertragsklauseln — unabhängig davon, ob NIS2 auf sie direkt anwendbar ist.
4. Business Continuity und Backup
Backup-Konzepte müssen getestet und dokumentiert sein. NIS2 nennt explizit «Krisenmanagement», «Backup-Management» und «Notfallwiederherstellung». Die maximale tolerierbare Ausfallzeit (RTO) und der maximal tolerierbare Datenverlust (RPO) müssen schriftlich festgelegt und regelmässig geprobt werden.
Abgrenzung zur DSG-Revision
Die Schweizer DSG-Revision (in Kraft seit September 2023) und NIS2 verfolgen unterschiedliche Ziele und sollten nicht vermischt werden:
| Kriterium | DSG-Revision (CH) | NIS2 (EU) |
|---|---|---|
| Schutzgut | Personendaten natürlicher Personen | Netz- und Informationssicherheit von Infrastruktur |
| Meldepflicht | EDÖB bei hohem Risiko für Betroffene, «so rasch als möglich» | BSI/nationale Behörde, 24h/72h-Frist |
| Adressat | Jeder, der Personendaten bearbeitet | Sektoren-spezifisch, Grössen-abhängig |
| Sanktionen CH | Bis CHF 250'000 (Individualstrafe) | Bis EUR 10 Mio. oder 2 % Umsatz |
| Technische Vorgaben | Keine sektoriellen Pflichtkataloge | Zehn-Punkte-Katalog Art. 21 |
In der Praxis überschneiden sich die Anforderungen: Wer NIS2-konform Incident-Response, Zugriffsmanagement und Verschlüsselung einrichtet, erfüllt gleichzeitig einen Grossteil der technisch-organisatorischen Massnahmen nach DSG Art. 8. Die Investition lässt sich also doppelt nutzen — sofern die Dokumentation beide Regelwerke explizit adressiert.
Was KMU jetzt konkret tun sollten
Auch ohne unmittelbare gesetzliche Pflicht lohnt sich eine strukturierte Analyse. Die folgenden Schritte sind sinnvoll sequenziert:
- Rechtssubjekte prüfen: Habt ihr eine EU-Niederlassung? Wenn ja, welchen Sektor, welche Mitarbeiterzahl, welchen Umsatz hat sie?
- Lieferverträge sichten: Enthalten aktuelle oder neue Verträge mit EU-Kunden NIS2-Klauseln? Wenn ja, welche Nachweise werden gefordert?
- Gap-Assessment: Wo stehen eure technischen und organisatorischen Massnahmen gegenüber dem Zehn-Punkte-Katalog aus Art. 21? Ein halbtägiges Assessment bringt hier meist mehr Klarheit als monatelange interne Diskussionen.
- Prioritäten setzen: Incident-Response und Meldefähigkeit haben kurze Umsetzungszeiten und hohen Hebel — das ist der sinnvolle Startpunkt.
Ein vollständiges NIS2-Gap-Assessment liegt je nach Unternehmensgrösse und vorhandener Dokumentation zwischen CHF 4'500 und CHF 12'000. Für Unternehmen, die ohnehin eine ISO-27001-Zertifizierung planen, lässt sich der Aufwand erheblich bündeln.
Wenn ihr klären möchtet, ob und wie NIS2 euer Unternehmen betrifft, nehmt Kontakt auf unter /#kontakt — oder lest zuerst, wie ein kontinuierliches Monitoring die Meldefristen technisch absichert: SOC as a Service.
Hat dich das Thema angesprochen?
Wir sprechen gerne in einem 30-minütigen, unverbindlichen Gespräch über eure konkrete Situation.