NIS2 WELCHE KMUSIND BETROFFEN?

Übersicht

NIS2 IM FOKUS: 18 BRANCHEN, KLARE KRITERIEN UND VERSTECKTE PFLICHTEN 

18 kritische Branchen, verschärfte Cybersecurity-Anforderungen und empfindliche Strafen: Die neue EU-Richtlinie NIS2 betrifft nicht nur Unternehmen in der Europäischen Union. Auch Schweizer KMU können direkt oder indirekt in den Geltungsbereich fallen – oft ohne es zu wissen. Höchste Zeit, die eigene Betroffenheit zu prüfen.

Mit Strafen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes setzt die EU bei NIS2 klare Zeichen: Cybersicherheit ist kein Nice-to-have mehr. Seit Oktober 2024 gilt der neue Regulierungsrahmen in allen EU-Mitgliedstaaten – mit weitreichenden Folgen auch für Schweizer Unternehmen. Besonders brisant: Nicht nur Grosskonzerne und kritische Infrastrukturen sind betroffen. Die Richtlinie zielt gezielt auf mittlere Unternehmen ab 50 Mitarbeitern. Auch wer als Zulieferer mit EU-Unternehmen zusammenarbeitet, kann sich den neuen Anforderungen kaum entziehen. Für viele Schweizer KMU stellt sich daher nicht die Frage ob, sondern wie sie die NIS2-Vorgaben umsetzen müssen.

NIS2: Erste Cybersicherheitsrichtlinie mit Haftung für Führungskräfte

Neben den Unternehmensstrafen, wie sie seit der DSGVO (2015) bekannt sind, haften nun auch Führungskräfte persönlich bei nachgewiesenem Fehlverhalten. Sie sind verpflichtet, Risikomanagement-Maßnahmen zu billigen, deren Umsetzung zu überwachen und Sicherheitsvorfälle den Behörden sowie betroffenen Partnern, Zulieferern und Kunden zu melden.

Zur Erfüllung dieser Pflichten müssen Führungskräfte regelmässig an Schulungen teilnehmen, um Cyberrisiken und -massnahmen beurteilen zu können. Bei Verletzung dieser Sorgfaltspflicht drohen persönliche Strafen, deren Höhe und Art von den Mitgliedsstaaten festgelegt wird – jedoch müssen sie „wirksam, verhältnismässig und abschreckend“ sein. Im Extremfall kann die Geschäftsführung sogar von ihren Aufgaben entbunden werden, bis die festgestellten Mängel behoben sind.

Direkter Anwendungsbereich: Kernkriterien im Überblick

Die Betroffenheit von NIS2 lässt sich für Schweizer Unternehmen klar eingrenzen: Wer eine Niederlassung in der EU betreibt oder dort IT-Dienste anbietet, fällt direkt unter die Richtlinie. Das gilt für Unternehmen, die 2024 einen Jahresumsatz von über 10 Millionen Euro in der EU erzielen oder dort mehr als 50 Mitarbeiter beschäftigen. Die Konsequenzen sind weitreichend: Betroffene Unternehmen müssen ein systematisches Risikomanagement einführen, regelmässige Security-Audits durchführen und Sicherheitsvorfälle binnen 24 Stunden melden. Besonders im Fokus stehen IT-Dienstleister, Cloud-Provider und Unternehmen in den 18 kritischen Sektoren.

Supply Chain im Fokus: Indirekte NIS2-Pflichten erkennen

Der Einflussbereich von NIS2 geht weit über direkt regulierte Unternehmen hinaus. Als Zulieferer für EU-Unternehmen werden Schweizer KMU zunehmend mit NIS2-Anforderungen konfrontiert – auch ohne formale Verpflichtung. Grosse EU-Konzerne müssen die Cybersecurity ihrer gesamten Lieferkette gewährleisten. Konkret bedeutet das: Schweizer Zulieferer, etwa in der Automobilindustrie oder im Maschinenbau, müssen die erhöhten Sicherheitsstandards erfüllen. Von der lückenlosen Dokumentation bis zu regelmässigen Penetrationstests – diese Nachweise werden bereits bei EU-Ausschreibungen standardmässig gefordert.

NIS2-Check: Analysieren Sie Ihre EU-Geschäftsbeziehungen 

Die systematische Prüfung der eigenen EU-Aktivitäten ist der erste wichtige Schritt zur Klärung der NIS2-Betroffenheit. Dabei gilt es, verschiedene Geschäftsaspekte unter die Lupe zu nehmen.

  • EU-Niederlassung vorhanden?
  • Direkter Vertrieb in die EU?
  • Jahresumsatz > 10 Mio. EUR in der EU?
  • > 50 Mitarbeiter in der EU?
  • Zulieferer für kritische EU-Branchen?
  • Teil einer EU-Supply Chain?
  • Teilnahme an EU-Ausschreibungen?
  • Cloud-Services für EU-Kunden?

→ Bei einem "Ja" sollten Sie Ihre NIS2-Pflichten detailliert prüfen lassen.

Schweizer ISG und NIS2: Synergien nutzen 

Für Schweizer KMU bietet das heimische Informationssicherheitsgesetz (ISG) eine gute Ausgangsbasis für NIS2. Beide Regelwerke fordern Meldepflichten bei Cybervorfällen und ein strukturiertes Risikomanagement. NIS2 geht jedoch weiter: Es verlangt spezifische technische Massnahmen und eine aktive Rolle der Geschäftsleitung. Nutzen Sie die Überschneidungen für ein integriertes Compliance-Programm – das spart Ressourcen und schafft Klarheit.

Ihr Fahrplan für die NIS2-Umsetzung: So gehen Sie systematisch vor 

Ein besonderes Augenmerk sollte dabei auf dem Aufbau eines robusten Risikomanagements und einer effektiven Incident-Response liegen. Auch die Dokumentation der getroffenen Massnahmen und regelmässige Mitarbeiterschulungen sind zentrale Erfolgsfaktoren.

Der zweite Schritt fokussiert auf die technisch-organisatorischen Massnahmen. Zentral ist hier der Aufbau eines robusten Security Incident Management: Implementieren Sie klare Prozesse für die 24-Stunden-Meldepflicht bei Sicherheitsvorfällen. Etablieren Sie ein systematisches Risikomanagement, das die spezifischen NIS2-Anforderungen berücksichtigt. Vergessen Sie dabei nicht die Supply-Chain: Ihre Zulieferer müssen ebenfalls eingebunden werden.

Der dritte Schritt betrifft die Governance-Struktur. NIS2 verlangt eine aktive Rolle der Geschäftsleitung - von der Genehmigung von Sicherheitsmassnahmen bis zur regelmässigen Überprüfung der Wirksamkeit. Definieren Sie klare Verantwortlichkeiten und Eskalationswege. Besonders wichtig: Dokumentieren Sie alle Entscheidungen und Massnahmen lückenlos.

Schliesslich müssen Sie Ihre Mitarbeitenden mitnehmen. Regelmässige Schulungen sind nicht nur eine NIS2-Anforderung, sondern der Schlüssel zum Erfolg. Entwickeln Sie ein Awareness-Programm, das die neuen Anforderungen verständlich vermittelt und in der täglichen Arbeit verankert.

JETZT DIE WEICHEN FÜR NIS2-COMPLIANCE STELLEN 

Die NIS2-Richtlinie stellt Schweizer KMU vor neue Herausforderungen – bietet aber auch Chancen. Wer jetzt systematisch vorgeht, kann die Anforderungen nicht nur effizient umsetzen, sondern gleichzeitig seine Cybersecurity auf ein neues Level heben. MTF Solutions unterstützt Sie dabei mit einem bewährten Dreischritt:

  • NIS2 QuickCheck: In einem ersten Gespräch analysieren wir Ihre spezifische Situation. Sind Sie direkt oder indirekt von NIS2 betroffen? Welche Anforderungen sind für Sie relevant? Wo stehen Sie heute?
  • Gap-Analyse und Roadmap: Unsere Experten identifizieren systematisch die Lücken zwischen Ist und Soll. Sie erhalten eine massgeschneiderte Roadmap mit konkreten Handlungsempfehlungen, Prioritäten und Zeithorizonten.
  • Umsetzungsbegleitung: Auf Wunsch unterstützen wir Sie bei der konkreten Implementierung - von der technischen Umsetzung über die Prozessgestaltung bis hin zu Mitarbeiterschulungen.
     

NIS2: Zeit zu handeln - auch für Schweizer KMU

Die EU-Richtlinie NIS2 betrifft mehr Schweizer Unternehmen als auf den ersten Blick erkennbar. Nicht nur KMU mit direkten EU-Aktivitäten müssen handeln, auch Zulieferer und Geschäftspartner von EU-Unternehmen sind zunehmend gefordert, die verschärften Cybersecurity-Standards zu erfüllen. Dabei zeigt sich: NIS2 ist mehr als eine regulatorische Pflicht. Die Richtlinie bietet die Chance, die eigene IT-Sicherheit systematisch auf ein neues Level zu heben und sich damit auch einen Wettbewerbsvorteil zu verschaffen.

Die wichtigsten Erkenntnisse im Überblick:

  • Die Betroffenheit reicht weit über den formalen Geltungsbereich hinaus
  • Schweizer KMU in EU-Lieferketten müssen sich vorbereiten
  • Die Umsetzung erfordert einen systematischen Ansatz
  • Synergien mit dem Schweizer ISG lassen sich nutzen
  • Frühzeitiges Handeln verschafft Vorteile
     

Machen Sie den ersten Schritt zur NIS2-Compliance

Lassen Sie uns gemeinsam Ihre NIS2-Betroffenheit analysieren. Unsere Experten unterstützen Sie mit praktischer Erfahrung und bewährten Lösungen – von der ersten Analyse bis zur erfolgreichen Umsetzung. Jetzt kostenloses Erstgespräch vereinbaren!

JETZT KONTAKTIEREN

FAQ 

  1. Fallen wir als rein Schweizerisches KMU ohne EU-Niederlassung unter NIS2?
    Formal nicht direkt. Aber sobald Sie Zulieferer oder Partner eines EU-Unternehmens sind, das selbst unter NIS2 fällt, werden Sie indirekt betroffen. Viele EU-Kunden verlangen heute schon Nachweise zu IT-Sicherheit von Schweizer KMU.
     
  2. Welche Schweizer Branchen sind besonders im Fokus von NIS2?
    Betroffen sind vor allem KMU, die mit kritischen EU-Sektoren arbeiten: Energie, Transport, Gesundheit, IT-Dienstleistungen, Maschinenbau, Automobilzulieferer oder Cloud-Services. Auch Schweizer Unternehmen ohne direkten EU-Sitz können über die Supply Chain in den Anwendungsbereich fallen.
     
  3. Welche Kriterien entscheiden, ob mein Schweizer KMU direkt von NIS2 betroffen ist?
    Die Richtlinie greift ab 50 Mitarbeitenden oder über 10 Mio. EUR Jahresumsatz in der EU – vorausgesetzt, Sie sind in einem der 18 kritischen Sektoren tätig oder erbringen dort Dienstleistungen.
     
  4. Was bedeutet „indirekte Betroffenheit“ für Schweizer KMU?
    Viele Schweizer KMU liefern an EU-Unternehmen. Diese müssen nachweisen, dass ihre gesamte Lieferkette sicher ist – und geben die NIS2-Anforderungen an ihre Partner weiter. Dadurch entsteht eine faktische Pflicht, auch ohne direkte Regulierung.
     
  5. Welche Strafen drohen Schweizer KMU im Ernstfall?
    Wenn Ihr KMU direkt in der EU tätig ist, können Strafen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes verhängt werden. Auch Führungskräfte haften persönlich. Indirekt betroffene KMU riskieren den Verlust von Aufträgen, wenn sie NIS2-Anforderungen nicht erfüllen.
     
  6. Welche Verantwortung trägt die Geschäftsleitung in Schweizer KMU?
    Die Unternehmensführung muss Sicherheitsmassnahmen genehmigen, überwachen, Vorfälle melden und regelmässig an Cybersecurity-Schulungen teilnehmen. NIS2 verlangt damit aktives Engagement – auch von Schweizer Führungskräften mit EU-Geschäft. Bei Sorgfaltspflichtverletzungen haften sie persönlich – bis hin zu Bussgeldern oder vorübergehender Amtsenthebung.
     
  7. Reicht das Schweizer ISG (Informationssicherheitsgesetz) nicht schon aus?
    Das ISG bietet eine gute Grundlage, da es ebenfalls Meldepflichten und Risikomanagement vorsieht. NIS2 geht jedoch weiter: Es verlangt detailliertere technische Massnahmen, eine stärkere Einbindung der Geschäftsleitung und berücksichtigt die gesamte Lieferkette.
     
  8. Wie sollten Schweizer KMU mit NIS2 starten – und welche Chancen bietet es?
    Führen Sie zuerst einen QuickCheck Ihrer EU-Beziehungen durch: Gibt es Kunden, Niederlassungen oder Lieferketten in der EU? Anschliessend empfiehlt sich eine Gap-Analyse mit klaren Handlungsschritten – von Risikomanagement bis Mitarbeiterschulungen. Wer NIS2-konform arbeitet, steigert seine Cyber-Resilienz, signalisiert Verlässlichkeit gegenüber EU-Partnern und verbessert die Chancen bei EU-Ausschreibungen.

Auch interessant 

NIS2-RichtlinieWarum KMU jetzt ihreIT überprüfen sollten

Mehr

SecurityCheck

Mehr
Übersicht

Haben Sie Fragen?

Rubén Saiz
Geschäftsleiter Region Liechtenstein, St. Gallen & Chur
+41 81 250 53 00
[email protected]