NIS2 Schweiz: Was Schweizer Unternehmen jetzt wissen müssen

Stefan Effenberger

IT-Dokumentation-Experte

zuletzt aktualisiert

03

.

 

September

 

2025

Lesezeit

3 Minuten

Blog

>

NIS2 Schweiz: Was Schweizer Unternehmen jetzt wissen müssen

Das Wichtigste in Kürze:

  • Die EU-NIS2-Richtlinie ist am 18. Oktober 2024 in Kraft getreten; bis dahin mussten EU-Staaten sie in nationales Recht umsetzen. Für Tochtergesellschaften und Lieferketten von Schweizer Firmen mit EU-Bezug gilt: Registrierung und Compliance sind Pflicht.
  • In der Schweiz gilt seit 1. Januar 2024 das Informationssicherheitsgesetz (ISG), ab 2025 mit geplanter Revision. Damit orientiert sich die Schweiz teilweise an NIS2, ohne selbst EU-Mitglied zu sein.
  • Schweizer Unternehmen sollten jetzt handeln: ISMS nach ISO 27001 einführen, klare Verantwortlichkeiten für Cybersecurity definieren und Meldepflichten (24h/72h) bei Vorfällen einhalten, um Geschäftskontinuität und Marktzugang in der EU sicherzustellen.
    • NIS2 Schweiz

    NIS2 Schweiz: Hintergrund & Bedeutung

    Die NIS2‑Richtlinie (Network and Information Security Directive), veröffentlicht im Dezember 2022, zielt darauf ab, das Niveau der Cyberresilienz in der EU anzuheben. Sie löst die bisherige NIS‑Richtlinie ab und trat am 18. Oktober 2024 in Kraft. Die EU‑Mitgliedstaaten mussten sie bis zu diesem Datum in nationales Recht umsetzen.

    Für die Schweiz zeigt sich die Relevanz insbesondere in folgenden Bereichen:

    • Lieferketten & Partnerbeziehungen: Schweizer Unternehmen, die Produkte oder Dienstleistungen an EU-Unternehmen liefern, können durch Lieferkettenregeln betroffen sein.
    • Tochtergesellschaften in der EU: Niederlassungen oder Tochterfirmen in der EU, welche die Sektor- oder Umsatz‑/Mitarbeiterschwellen übersteigen, müssen die NIS2‑Vorgaben umsetzen und sich ggf. registrieren lassen.
    • Parallel zur nationalen Regelung: Schweiz implementiert ihr eigenes Informationssicherheitsgesetz (ISG), dessen Revision ab 1. Januar 2025 ebenfalls strengere Vorgaben für kritische Infrastrukturen vorsieht.

    Aktuelle Situation in der Schweiz

    • Das ISG ist seit dem 1. Januar 2024 in Kraft und gilt primär für Behörden, kritische Infrastruktur-Betreiber und deren Partner . Für 2025 ist eine Revision geplant, die die Ausweitung auf zusätzliche Branchen vorsieht und teilweise an NIS2‑Standards anknüpfen wird.
    • Schweizer Unternehmen stehen somit zwischen zwei Regelwerken: Einerseits das nationale ISG mit Fokus auf öffentliche Stellen und kritische Infrastruktur, andererseits die EU‑NIS2‑Richtlinie, die über Lieferketten und Niederlassungen greift.

    Unterschied zu anderen EU-Staaten

    • In EU-Ländern variieren die Umsetzungsdetails bei NIS2 stark: Definition der Sektoren, Kontrollmechanismen, Nachweispflichten, Sanktionen. Lesen Sie auch unsere Blogartikel NIS 2 Richtlinie: Umsetzung Deutschland und NIS2 Österreich: Was Unternehmen beachten müssen.
    • In Deutschland etwa verzögert sich die nationale Umsetzung – ein finales Gesetz ist frühestens im 2. Quartal 2025 zu erwarten.
    • Die Schweiz kehrt nicht direkt nationale Vorschriften zurück, sondern folgt eher dem Ansatz, die Compliance‑Nachweise gegenüber EU-Kunden zu ermöglichen.

    NIS2 Richtlinie Schweiz: Was Unternehmen jetzt tun sollten

    1. Relevanz prüfen

    • Analysieren Sie, ob Ihr Unternehmen direkt betroffen ist (z. B. Tochterfirma in der EU, Tätigkeit in kritischen Sektoren, Liefertätigkeit für EU-Unternehmen). Lesen Sie hierzu auch unseren Blogartikel NIS2: Wer ist betroffen? So prüfen Sie es!
    • Auch indirekt Betroffene (z. B. Zulieferer für kritische Branchen) müssen sich vorbereiten.

    2. Pflichten umsetzen

    • Einführung eines Informationssicherheits-Managementsystems (ISMS), idealerweise nach ISO 27001, erleichtert die Einhaltung von NIS2‑Vorgaben.
    • Technisch: Multi-Faktor-Authentifizierung, Risikoanalyse, Sicherheitskonzepte, regelmäßige Reviews.

    3. Governance & Meldepflichten etablieren

    • Klare Verantwortlichkeiten im Management benennen (z. B. CISO oder Datenschutzbeauftragter).
    • Rechtsfristen bei Cybervorfällen einhalten: 24 h-Meldepflicht, vollständiger Bericht innerhalb von 72 h.

    4. Dokumentation & Nachweisbarkeit sicherstellen

    • Dokumentieren Sie Risikoanalysen, ISMS-Prozesse, Sicherheitsvorkehrungen und Schulungen systematisch.
    • Dies ist entscheidend, um Nachweise gegenüber EU-Behörden oder Kunden parat zu haben.

    Tipp: Eine professionelle IT-Dokumentationssoftware wie Docusnap hilft Ihnen bei der Einhaltung der NIS2 Schweiz Compliance-Vorgaben. Wie das geht, erfahren Sie in unserem Blogartikel NIS-2-Richtlinie: Anforderungen, Strafen und Umsetzung.

    5. Externe Unterstützung nutzen – Chance für IT-Dienstleister

    • Beratungsbedarf steigt: Markt für ISMS-Berater, Audits, Security‑As-a-Service wächst.
    • Zusammenarbeit mit spezialisierten juristischen oder technischen Partnern kann die Umsetzung beschleunigen.

    Rolle für die Schweizer Wirtschaft

    Diese Rechtsänderungen fördern langfristig die Digitalisierungssicherheit, stärken das Vertrauen im internationalen Geschäft und eröffnen neue Märkte für Security‑Dienstleister in der Schweiz. Gleichzeitig werden Compliance‑Anforderungen künftig Marktzugangsvoraussetzungen – insbesondere im EU‑Geschäft.

    NIS 2 Schweiz: Deadlines im Fokus

  • 18. Oktober 2024: Inkrafttreten der NIS2-Richtlinie in der EU.
  • 1. Januar 2024: Inkrafttreten des Informationssicherheitsgesetzes (ISG) in der Schweiz.
  • ab 1. Januar 2025: Geplante Revision des ISG mit erweiterten Pflichten für weitere Branchen.
  • spätestens 18. Oktober 2024: Registrierungspflicht für EU-Tochtergesellschaften in den jeweiligen Mitgliedsstaaten.

    • Fazit zur EU NIS2-Directive in der Schweiz

    Auch wenn die Schweiz nicht zur EU gehört, ist die „EU NIS2-Directive in der Schweiz“ keine theoretische Vorgabe, sondern Realität für viele Unternehmen, insbesondere jene mit EU-Verbindungen. Eine proaktive, dokumentierte Umsetzung nach NIS2-Standards bietet Sicherheit, stärkt Wettbewerbsfähigkeit und erleichtert Geschäftstätigkeit in der EU. In Kombination mit dem nationalen ISG ergibt sich ein Rahmen, der IT-Resilienz und Compliance auf ein neues Level hebt — eine strategische Chance für Unternehmen und IT-Dienstleister zugleich.

    Die nächsten Schritte:

    Die Anforderungen der NIS2-Richtlinie und des Schweizer ISG lassen sich effizient erfüllen, wenn Sie Ihre IT-Infrastruktur und Sicherheitsprozesse jederzeit im Blick behalten. Mit einer professionellen Lösung wie Docusnap dokumentieren und analysieren Sie Ihre Systeme automatisiert – von der Inventarisierung bis zur Compliance-Überprüfung.

    Jetzt kostenlos testen!

    Neugierig? Dann probieren Sie Docusnap in Ihrer eigenen Umgebung aus.

    Voller Funktionsumfang
    30 Tage kostenlos

    Jetzt testen

    Nächster Artikel

    Netzwerkinfrastruktur: Definition, Aufbau, Verwaltung

    Lesen Sie, was Netzwerkinfrastruktur ist, welche Komponenten dazugehören, wie sie aufgebaut ist und warum ihre Pflege für Unternehmen unverzichtbar ist.

    NIS2: Wer ist betroffen? So prüfen Sie es!

    Erfahren Sie, welche Unternehmen unter die NIS2-Richtlinie fallen und wie Sie Ihre Betroffenheit mit dem BSI und der Software Docusnap prüfen können.