Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die umfassendste Cybersicherheits-Regulierung, die die EU je erlassen hat. Seit Oktober 2024 ersetzt sie die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich massiv: von 7 auf 18 Sektoren, mit strengeren Anforderungen, kürzeren Meldefristen und persönlicher Haftung für die Geschäftsleitung. Die Schweiz ist kein EU-Mitglied – aber für Schweizer Unternehmen mit EU-Geschäft ist NIS2 trotzdem direkt relevant.
Was NIS2 verändert
Die ursprüngliche NIS-Richtlinie betraf primär Betreiber wesentlicher Dienste und digitale Dienstleister. NIS2 erweitert den Anwendungsbereich auf 18 Sektoren – darunter neu verarbeitendes Gewerbe, Lebensmittelproduktion, Abfallwirtschaft, Post- und Kurierdienste, öffentliche Verwaltung und digitale Infrastruktur wie Cloud-Anbieter und Rechenzentren.
Betroffene Organisationen werden in zwei Kategorien eingeteilt: Wesentliche Einrichtungen (essential entities) unterliegen strengerer Aufsicht und proaktiven Kontrollen. Wichtige Einrichtungen (important entities) werden anlassbezogen geprüft.
Die fünf Kernpflichten
1. Risikomanagement-Massnahmen (Art. 21). Artikel 21 listet zehn Mindestanforderungen: Risikoanalyse, Incident Handling, Business Continuity, Supply-Chain-Sicherheit, Schwachstellenmanagement, Kryptografie-Richtlinien, Zugriffskontrolle, Multi-Faktor-Authentifizierung, Personalmanagement und regelmässige Wirksamkeitsprüfung.
2. Meldepflichten bei Sicherheitsvorfällen. Innerhalb von 24 Stunden muss eine Frühwarnung erfolgen. Nach 72 Stunden ist eine vollständige Meldung mit Schweregradbeurteilung fällig. Innerhalb eines Monats folgt der Abschlussbericht mit Ursachenanalyse.
3. Sicherheit der Lieferkette. Organisationen müssen die Cybersicherheit ihrer Zulieferer und Dienstleister bewerten und vertraglich absichern – Software-Lieferanten, Cloud-Provider und Managed-Service-Anbieter eingeschlossen.
4. Business Continuity und Krisenmanagement. Backup-Strategien, Disaster-Recovery-Pläne und Krisenmanagement-Prozesse sind keine Empfehlung mehr – sie sind Pflicht. Die Pläne müssen regelmässig getestet werden.
5. Verantwortung der Geschäftsleitung. Leitungsorgane müssen Risikomanagement-Massnahmen genehmigen, deren Umsetzung überwachen und an Cybersecurity-Schulungen teilnehmen. Bei Verstössen droht persönliche Haftung. NIS2 macht Cybersicherheit explizit zur Chefsache.
Sanktionen
Die Bussgelder orientieren sich am DSGVO-Modell. Für wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt). Für wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Hinzu kommt die Möglichkeit, dass Aufsichtsbehörden Geschäftsführern vorübergehend die Ausübung von Leitungsfunktionen untersagen.
Umsetzungsstand in der EU
Die Frist zur nationalen Umsetzung lief am 17. Oktober 2024 ab. Stand Anfang 2026 haben rund 20 der 27 Mitgliedstaaten die Umsetzung abgeschlossen – Deutschland, Österreich und Portugal erst mit Verspätung. Die Europäische Kommission hat im Mai 2025 gegen 19 Mitgliedstaaten Vertragsverletzungsverfahren eingeleitet. Im Januar 2026 folgten gezielte Änderungsvorschläge zur Vereinfachung der NIS2-Compliance.
Was NIS2 für Schweizer Unternehmen bedeutet
Die Schweiz ist nicht direkt an NIS2 gebunden. In der Praxis betrifft die Richtlinie Schweizer Unternehmen trotzdem auf drei Wegen:
- EU-Tochtergesellschaften: Schweizer Konzerne mit Niederlassungen in der EU unterliegen dort direkt den nationalen NIS2-Umsetzungsgesetzen.
- Dienstleistungen im EU-Markt: Schweizer Unternehmen, die digitale Dienste (Cloud, DNS, Managed Services) im EU-Raum erbringen, können direkt in den Anwendungsbereich fallen – unabhängig vom Firmensitz.
- Lieferkettenanforderungen: EU-Unternehmen müssen die Cybersicherheit ihrer Zulieferer bewerten. Schweizer Zulieferer werden NIS2-konforme Nachweise liefern müssen – de facto wird NIS2 über die Lieferkette exportiert.
Schweizer ISG im Vergleich zu NIS2
Das Schweizer Informationssicherheitsgesetz (ISG) ist seit Januar 2024 in Kraft und richtet sich primär an Bundesbehörden und Betreiber kritischer Infrastrukturen. Wesentliche Unterschiede:
- Geltungsbereich: ISG fokussiert auf Behörden und kritische Infrastruktur. NIS2 erfasst 18 Sektoren und zieht auch mittlere Unternehmen ab 50 Mitarbeitenden ein.
- Meldepflichten: ISG verlangt Meldung an das BACS (ehem. NCSC) innerhalb von 24 Stunden. NIS2 kennt drei Stufen: 24h-Frühwarnung, 72h-Meldung, 1-Monats-Abschlussbericht.
- Geschäftsleitungshaftung: NIS2 sieht explizit persönliche Haftung für die Unternehmensleitung vor. Das ISG kennt keine vergleichbare Regelung.
- Sanktionen: NIS2-Bussgelder erreichen bis zu 10 Mio. Euro / 2 % Umsatz. Das ISG sieht deutlich geringere Sanktionen vor.
- Lieferkette: NIS2 stellt explizite Anforderungen an Supply-Chain-Sicherheit. Das ISG bleibt hier weniger detailliert.
Für Schweizer Unternehmen mit EU-Geschäft reicht ISG-Compliance allein nicht aus. Ein ISMS nach ISO 27001 bildet die gemeinsame Basis, um beide Regelwerke effizient abzudecken.
Handlungsempfehlungen
Schweizer Unternehmen sollten jetzt prüfen, ob sie direkt oder indirekt betroffen sind: EU-Geschäftsbeziehungen analysieren, Gap-Assessment durchführen, Incident-Response auf die neuen Meldefristen ausrichten und die Geschäftsleitung in die Cybersecurity-Governance einbinden.
Wie Zerberos unterstützt
Regulatorische Anforderungen in konkrete Sicherheitsmassnahmen übersetzen – das ist unser Kerngeschäft. Wir unterstützen Schweizer Unternehmen bei:
- NIS2-Betroffenheitsanalyse: Ermittlung, ob und wie Ihr Unternehmen von NIS2 erfasst wird
- Gap Assessment: Systematischer Vergleich Ihres Ist-Zustands mit den NIS2-Anforderungen
- Security Roadmap: Priorisierter Massnahmenplan zur Schliessung identifizierter Lücken
- Incident-Response-Planung: Aufbau von Prozessen, die NIS2-Meldefristen erfüllen
- Beratung der Geschäftsleitung: Management-Briefings zu Haftungsrisiken und Governance-Pflichten
Kontaktieren Sie uns für eine unverbindliche Erstberatung.
Quellen
- Richtlinie (EU) 2022/2555 (NIS2), EUR-Lex, eur-lex.europa.eu/eli/dir/2022/2555
- ENISA, NIS2 Directive Guidance, enisa.europa.eu
- Europäische Kommission, NIS2 Directive – Securing Network and Information Systems, digital-strategy.ec.europa.eu
- ECSO, NIS2 Directive Transposition Tracker, ecs-org.eu
- Schweizer Informationssicherheitsgesetz (ISG), Bundeskanzlei, fedlex.admin.ch
- BNC, Swiss ISG vs. EU Directive NIS-2: A Comparison, bnc.ch