18 kritische Branchen, verschärfte Cybersecurity-Anforderungen und empfindliche Strafen: Die neue EU-Richtlinie NIS2 betrifft nicht nur Unternehmen in der Europäischen Union. Auch Schweizer KMU können direkt oder indirekt in den Geltungsbereich fallen – oft ohne es zu wissen. Höchste Zeit, die eigene Betroffenheit zu prüfen.
Mit Strafen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes setzt die EU bei NIS2 klare Zeichen: Cybersicherheit ist kein Nice-to-have mehr. Seit Oktober 2024 gilt der neue Regulierungsrahmen in allen EU-Mitgliedstaaten – mit weitreichenden Folgen auch für Schweizer Unternehmen. Besonders brisant: Nicht nur Grosskonzerne und kritische Infrastrukturen sind betroffen. Die Richtlinie zielt gezielt auf mittlere Unternehmen ab 50 Mitarbeitern. Auch wer als Zulieferer mit EU-Unternehmen zusammenarbeitet, kann sich den neuen Anforderungen kaum entziehen. Für viele Schweizer KMU stellt sich daher nicht die Frage ob, sondern wie sie die NIS2-Vorgaben umsetzen müssen.
Neben den Unternehmensstrafen, wie sie seit der DSGVO (2015) bekannt sind, haften nun auch Führungskräfte persönlich bei nachgewiesenem Fehlverhalten. Sie sind verpflichtet, Risikomanagement-Maßnahmen zu billigen, deren Umsetzung zu überwachen und Sicherheitsvorfälle den Behörden sowie betroffenen Partnern, Zulieferern und Kunden zu melden.
Zur Erfüllung dieser Pflichten müssen Führungskräfte regelmässig an Schulungen teilnehmen, um Cyberrisiken und -massnahmen beurteilen zu können. Bei Verletzung dieser Sorgfaltspflicht drohen persönliche Strafen, deren Höhe und Art von den Mitgliedsstaaten festgelegt wird – jedoch müssen sie „wirksam, verhältnismässig und abschreckend“ sein. Im Extremfall kann die Geschäftsführung sogar von ihren Aufgaben entbunden werden, bis die festgestellten Mängel behoben sind.
Die Betroffenheit von NIS2 lässt sich für Schweizer Unternehmen klar eingrenzen: Wer eine Niederlassung in der EU betreibt oder dort IT-Dienste anbietet, fällt direkt unter die Richtlinie. Das gilt für Unternehmen, die 2024 einen Jahresumsatz von über 10 Millionen Euro in der EU erzielen oder dort mehr als 50 Mitarbeiter beschäftigen. Die Konsequenzen sind weitreichend: Betroffene Unternehmen müssen ein systematisches Risikomanagement einführen, regelmässige Security-Audits durchführen und Sicherheitsvorfälle binnen 24 Stunden melden. Besonders im Fokus stehen IT-Dienstleister, Cloud-Provider und Unternehmen in den 18 kritischen Sektoren.
Der Einflussbereich von NIS2 geht weit über direkt regulierte Unternehmen hinaus. Als Zulieferer für EU-Unternehmen werden Schweizer KMU zunehmend mit NIS2-Anforderungen konfrontiert – auch ohne formale Verpflichtung. Grosse EU-Konzerne müssen die Cybersecurity ihrer gesamten Lieferkette gewährleisten. Konkret bedeutet das: Schweizer Zulieferer, etwa in der Automobilindustrie oder im Maschinenbau, müssen die erhöhten Sicherheitsstandards erfüllen. Von der lückenlosen Dokumentation bis zu regelmässigen Penetrationstests – diese Nachweise werden bereits bei EU-Ausschreibungen standardmässig gefordert.
Die systematische Prüfung der eigenen EU-Aktivitäten ist der erste wichtige Schritt zur Klärung der NIS2-Betroffenheit. Dabei gilt es, verschiedene Geschäftsaspekte unter die Lupe zu nehmen.
→ Bei einem "Ja" sollten Sie Ihre NIS2-Pflichten detailliert prüfen lassen.
Für Schweizer KMU bietet das heimische Informationssicherheitsgesetz (ISG) eine gute Ausgangsbasis für NIS2. Beide Regelwerke fordern Meldepflichten bei Cybervorfällen und ein strukturiertes Risikomanagement. NIS2 geht jedoch weiter: Es verlangt spezifische technische Massnahmen und eine aktive Rolle der Geschäftsleitung. Nutzen Sie die Überschneidungen für ein integriertes Compliance-Programm – das spart Ressourcen und schafft Klarheit.
Ein besonderes Augenmerk sollte dabei auf dem Aufbau eines robusten Risikomanagements und einer effektiven Incident-Response liegen. Auch die Dokumentation der getroffenen Massnahmen und regelmässige Mitarbeiterschulungen sind zentrale Erfolgsfaktoren.
Der zweite Schritt fokussiert auf die technisch-organisatorischen Massnahmen. Zentral ist hier der Aufbau eines robusten Security Incident Management: Implementieren Sie klare Prozesse für die 24-Stunden-Meldepflicht bei Sicherheitsvorfällen. Etablieren Sie ein systematisches Risikomanagement, das die spezifischen NIS2-Anforderungen berücksichtigt. Vergessen Sie dabei nicht die Supply-Chain: Ihre Zulieferer müssen ebenfalls eingebunden werden.
Der dritte Schritt betrifft die Governance-Struktur. NIS2 verlangt eine aktive Rolle der Geschäftsleitung - von der Genehmigung von Sicherheitsmassnahmen bis zur regelmässigen Überprüfung der Wirksamkeit. Definieren Sie klare Verantwortlichkeiten und Eskalationswege. Besonders wichtig: Dokumentieren Sie alle Entscheidungen und Massnahmen lückenlos.
Schliesslich müssen Sie Ihre Mitarbeitenden mitnehmen. Regelmässige Schulungen sind nicht nur eine NIS2-Anforderung, sondern der Schlüssel zum Erfolg. Entwickeln Sie ein Awareness-Programm, das die neuen Anforderungen verständlich vermittelt und in der täglichen Arbeit verankert.
Die NIS2-Richtlinie stellt Schweizer KMU vor neue Herausforderungen – bietet aber auch Chancen. Wer jetzt systematisch vorgeht, kann die Anforderungen nicht nur effizient umsetzen, sondern gleichzeitig seine Cybersecurity auf ein neues Level heben. MTF Solutions unterstützt Sie dabei mit einem bewährten Dreischritt:
Die EU-Richtlinie NIS2 betrifft mehr Schweizer Unternehmen als auf den ersten Blick erkennbar. Nicht nur KMU mit direkten EU-Aktivitäten müssen handeln, auch Zulieferer und Geschäftspartner von EU-Unternehmen sind zunehmend gefordert, die verschärften Cybersecurity-Standards zu erfüllen. Dabei zeigt sich: NIS2 ist mehr als eine regulatorische Pflicht. Die Richtlinie bietet die Chance, die eigene IT-Sicherheit systematisch auf ein neues Level zu heben und sich damit auch einen Wettbewerbsvorteil zu verschaffen.
Lassen Sie uns gemeinsam Ihre NIS2-Betroffenheit analysieren. Unsere Experten unterstützen Sie mit praktischer Erfahrung und bewährten Lösungen – von der ersten Analyse bis zur erfolgreichen Umsetzung. Jetzt kostenloses Erstgespräch vereinbaren!