NIS2 Schweiz: Was Schweizer Unternehmen jetzt wissen müssen

Das Wichtigste in Kürze

• Seit dem 1. April 2025 gilt in der Schweiz die 24-Stunden-Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Wer nicht meldet, riskiert seit Oktober 2025 persönliche Bußen bis CHF 100.000 – die sich gegen die verantwortliche natürliche Person richten, nicht gegen das Unternehmen.
• Die EU-NIS2-Richtlinie bindet Schweizer Unternehmen indirekt über Lieferketten, EU-Tochtergesellschaften und Kundenanforderungen. Wer an EU-Unternehmen in regulierten Sektoren liefert, muss dieselben Sicherheitsstandards nachweisen können.
• Bis 31. Dezember 2026 müssen Betreiber kritischer Infrastrukturen in der Schweiz ein Informationssicherheits-Managementsystem (ISMS) aufgebaut haben. Der richtige Zeitpunkt zum Handeln ist jetzt – nicht wenn die Frist abläuft.

Sie betreuen die IT eines Schweizer Zulieferers, der Industriekomponenten an Kunden in Deutschland und Frankreich liefert. Bisher war Cybersicherheit Ihr Thema, aber kein regulatorisches Problem. Dann kommt die Anfrage: Ihr größter EU-Kunde verlangt Nachweise über Ihre IT-Sicherheitsmaßnahmen – weil er selbst unter die NIS2-Richtlinie fällt. Plötzlich betrifft eine EU-Regulierung Ihr Schweizer Unternehmen ganz direkt.

Das ist kein Einzelfall. Die Kombination aus der EU-NIS2-Richtlinie und dem Schweizer Informationssicherheitsgesetz (ISG) schafft eine Compliance-Realität, die weit über die Landesgrenzen hinausgreift. Und seit 2025 hat die Schweiz selbst deutlich nachgeschärft.

Was ist die NIS2-Richtlinie – und warum betrifft sie die Schweiz?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist der überarbeitete EU-Rechtsrahmen für Cybersicherheit, veröffentlicht im Dezember 2022. Sie verpflichtet Unternehmen in 18 regulierten Sektoren zu Risikomanagement, Vorfallmeldung und Lieferkettensicherheit. Seit Oktober 2024 müssen EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen.

Die Schweiz ist kein EU-Mitglied und damit nicht direkt an NIS2 gebunden. Dennoch entfaltet die Richtlinie eine erhebliche Wirkung auf Schweizer Unternehmen – über drei Wege:

• Lieferketten-Pflicht: NIS2 verpflichtet regulierte EU-Unternehmen, Cybersicherheitsanforderungen an ihre Zulieferer weiterzugeben. Schweizer Unternehmen, die an EU-Kunden in kritischen Sektoren liefern, müssen diese Anforderungen erfüllen – oder riskieren, als Geschäftspartner auszufallen.
• EU-Tochtergesellschaften: Niederlassungen oder Tochterfirmen in der EU, die die Sektor- und Größenschwellen überschreiten (ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz), unterliegen direkt den NIS2-Vorgaben und müssen sich registrieren lassen.
• Compliance als Marktzugang: Auch ohne direkte Betroffenheit fordern EU-Kunden und Partner zunehmend nachweisbare IT-Sicherheitsstandards als Voraussetzung für die Zusammenarbeit.

Wie hat die Schweiz ihre Cybersicherheits-Gesetzgebung verschärft?

Parallel zur EU-NIS2-Richtlinie hat die Schweiz eigene Schritte unternommen. Das Informationssicherheitsgesetz (ISG) bildet den nationalen Rahmen – und wurde in den vergangenen Monaten deutlich erweitert.

Seit dem 1. Januar 2024 ist das ISG in Kraft und richtet sich primär an Bundesbehörden, kantonale Stellen und Betreiber kritischer Infrastrukturen. Die entscheidende Verschärfung kam mit der ISG-Revision:

Seit dem 1. April 2025 gilt die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Betreiber müssen Vorfälle innerhalb von 24 Stunden nach Entdeckung dem Bundesamt für Cybersicherheit (BACS) melden. Kann die Erstmeldung nicht vollständig sein, bleibt eine Frist von 14 Tagen zur Ergänzung.

Seit dem 1. Oktober 2025 sind bei Nichtbefolgung Bußen bis CHF 100.000 möglich. Ein Detail, das viele übersehen: Die Buße richtet sich gemäß Art. 74h ISG gegen die verantwortliche natürliche Person – also gegen die Geschäftsleitung oder den IT-Verantwortlichen persönlich, nicht gegen das Unternehmen als juristische Person.

In den ersten sechs Monaten nach Inkrafttreten der Meldepflicht hat das BACS nach eigenen Angaben über 12.000 Meldungen erhalten – im Schnitt rund 2.000 pro Monat. Das zeigt: Die Bedrohungslage ist real, und die Meldepflicht wird aktiv genutzt.

Welche Branchen sind in der Schweiz betroffen?

Das ISG definiert neun Hauptsektoren kritischer Infrastrukturen in 27 Teilsektoren. Betroffen sind unter anderem Unternehmen in den Bereichen Energie, Gesundheit, Finanz- und Versicherungswesen, Transport, Trinkwasser- und Abwasserversorgung, Informations- und Kommunikationstechnik, Nahrungsmittel, öffentliche Sicherheit und Entsorgung.

Wichtig: Der Begriff „kritische Infrastruktur" greift weiter als viele vermuten. Auch bestimmte IT-Dienstleister, Cloud-Provider, Hersteller von Hard- oder Software mit Fernwartungszugang und Unternehmen, deren Produkte von KRITIS-Betreibern genutzt werden, fallen unter die Meldepflicht.

Zusätzlich greift der Supply-Chain-Effekt: Große, meldepflichtige Unternehmen geben den regulatorischen Druck an ihre Zulieferer weiter. Wer als IT-Dienstleister, Softwarelieferant oder Berater mit KRITIS-Unternehmen zusammenarbeitet, wird in Verträgen zunehmend auf dieselben Sicherheitsstandards verpflichtet.

Was hat sich 2025 und 2026 geändert?

Die regulatorische Landschaft hat sich seit der Erstveröffentlichung dieses Artikels grundlegend verändert:

• 1. April 2025: Die ISG-Meldepflicht für Cyberangriffe auf kritische Infrastrukturen tritt in Kraft. Das BACS wird zur zentralen Meldestelle.
• 1. Oktober 2025: Bußen bis CHF 100.000 bei Verstößen gegen die Meldepflicht werden durchsetzbar – gegen die verantwortliche natürliche Person.
• 6. Dezember 2025: Deutschland setzt die NIS2-Richtlinie mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht um. Rund 30.000 deutsche Unternehmen sind betroffen – was den Druck auf Schweizer Zulieferer erhöht.
• Bis 31. Dezember 2026: Betreiber kritischer Infrastrukturen in der Schweiz müssen gemäß der Informationssicherheitsverordnung (ISV) ein ISMS aufgebaut haben.

Für Schweizer Unternehmen mit EU-Geschäft bedeutet das: Die Anforderungen kommen von zwei Seiten gleichzeitig – aus der nationalen ISG-Gesetzgebung und aus den NIS2-Anforderungen der EU-Kunden.

Wie unterscheiden sich ISG und NIS2?

Obwohl das Schweizer ISG und die EU-NIS2-Richtlinie ähnliche Ziele verfolgen, gibt es wesentliche Unterschiede:

Das ISG richtet sich primär an Bundesbehörden und Betreiber kritischer Infrastrukturen. Es verpflichtet zur Meldung innerhalb von 24 Stunden, kennt eine Ergänzungsfrist von 14 Tagen und sieht Bußen bis CHF 100.000 gegen natürliche Personen vor. Ein direktes Pendant zur NIS2 existiert in der Schweiz nicht – das ISG folgt einem eigenen, stufenweisen Ansatz.

Die NIS2-Richtlinie dagegen gilt für „wesentliche" und „wichtige" Einrichtungen in 18 Sektoren, fordert Meldungen in 24/72 Stunden und einem Abschlussbericht nach einem Monat. Die Sanktionen gehen deutlich weiter: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Zudem schreibt NIS2 eine persönliche Haftung der Geschäftsführung und explizite Schulungspflichten vor.

Für Schweizer Unternehmen mit EU-Geschäft gilt: Wer das ISG erfüllt, hat eine solide Basis – aber die NIS2-Anforderungen gehen in Bereichen wie Lieferkettensicherheit, Governance und Nachweispflicht deutlich weiter. Eine reine ISG-Compliance reicht für EU-Kunden nicht aus.

Welche Schritte sollten Schweizer Unternehmen jetzt unternehmen?

Der Handlungsbedarf ist konkret – aber er lässt sich strukturiert angehen:

Betroffenheit klären. Prüfen Sie, ob Ihr Unternehmen direkt unter die ISG-Meldepflicht fällt (als Betreiber kritischer Infrastrukturen oder als Zulieferer). Prüfen Sie parallel, ob EU-Kunden NIS2-Nachweise von Ihnen verlangen. Einen strukturierten Einstieg bietet unser NIS2-Framework als kostenlose Excel-Toolbox, das einen Kontrollkatalog, eine Gap-Analyse und eine Übersicht der Meldepflichten enthält.

ISMS aufbauen – mit Frist Ende 2026. Ein Informationssicherheits-Managementsystem nach ISO 27001 ist der effizienteste Weg, sowohl ISG- als auch NIS2-Anforderungen zu erfüllen. Rund 70 Prozent der NIS2-Anforderungen werden durch ein bestehendes ISMS bereits abgedeckt – insbesondere in den Bereichen Risikomanagement, Zugriffssteuerung und Vorfallmanagement.

Meldeprozesse etablieren. Definieren Sie vorab, wer im Ernstfall meldet, über welchen Kanal und mit welchen Informationen. Das BACS stellt ein Meldeformular auf seiner Plattform zur Verfügung. Wenn die Ransomware zuschlägt, ist keine Zeit, den Prozess erst zu definieren.

IT-Dokumentation auf Nachweisfähigkeit trimmen. Beide Regelwerke – ISG und NIS2 – verlangen, dass Sicherheitsmaßnahmen dokumentiert und nachweisbar sind. Risikoanalysen, Berechtigungskonzepte, Netzwerkübersichten und Schulungsnachweise müssen jederzeit vorliegen. Eine automatisierte IT-Inventarisierung bildet dafür die Grundlage: Sie erfasst Hardware, Software, Benutzerberechtigungen und Abhängigkeiten – ohne manuellen Aufwand und stets aktuell.

Lieferketten-Compliance vorbereiten. Wenn Ihre EU-Kunden unter NIS2 fallen, werden sie vertragliche Nachweise verlangen. Bereiten Sie sich darauf vor, Ihre Sicherheitsmaßnahmen gegenüber Dritten belegen zu können – idealerweise durch eine ISO 27001-Zertifizierung oder gleichwertige Nachweisdokumentation.

Warum reicht das bisherige Vorgehen nicht mehr aus?

Viele Schweizer Unternehmen haben ihre IT-Sicherheit bisher pragmatisch gehandhabt: Firewall, Backup, Virenscanner – und bei Bedarf eine externe Beratung. Das funktionierte, solange keine regulatorischen Anforderungen an die Nachweisbarkeit gestellt wurden.

Genau das hat sich geändert. Sowohl das ISG als auch die NIS2-Anforderungen der EU-Kunden verlangen nicht nur, dass Sicherheitsmaßnahmen existieren – sie verlangen, dass diese dokumentiert, überprüfbar und jederzeit abrufbar sind. Bei einem Audit oder einer behördlichen Prüfung reicht es nicht zu sagen: „Wir haben ein Backup." Sie müssen zeigen: Wann wurde das letzte Backup durchgeführt? Welche Systeme sind abgedeckt? Wer hat Zugriff auf die Backup-Daten?

Diese Nachweispflicht betrifft alle Ebenen: von der Hardware-Inventarisierung über Berechtigungskonzepte bis hin zu Schulungsnachweisen und Incident-Response-Plänen. Unternehmen, die ihre IT-Landschaft bisher in verstreuten Excel-Listen oder gar nur im Kopf des Administrators dokumentiert haben, stehen vor einer grundlegenden Umstellung.

Die gute Nachricht – oder besser: der entscheidende Punkt – ist, dass der Aufwand beherrschbar bleibt, wenn er systematisch angegangen wird. Ein ISMS ist kein Mammutprojekt, wenn die Grundlagendaten automatisiert erfasst werden. Wer hingegen erst im Audit feststellt, dass die Dokumentation Lücken hat, zahlt doppelt: einmal für die nachträgliche Aufarbeitung und einmal in Form regulatorischer Konsequenzen.

Welche Rolle spielt die IT-Dokumentation für die Compliance?

Die Dokumentation ist das Bindeglied zwischen Sicherheitsmaßnahmen und deren Nachweis. Ohne aktuelle, vollständige IT-Dokumentation ist weder die ISG-Meldepflicht noch die NIS2-Compliance effizient umsetzbar.

Drei Bereiche sind dabei besonders kritisch:

• Asset-Transparenz: Sie können keine Risikoanalyse durchführen, wenn Sie nicht wissen, welche Systeme, Anwendungen und Datenflüsse in Ihrem Unternehmen existieren. Eine automatisierte Inventarisierung schafft die Grundlage – und hält sie aktuell.
• Berechtigungsmanagement: Wer hat Zugriff auf welche Systeme und Daten? Diese Frage muss jederzeit beantwortbar sein. Im Falle eines Vorfalls ist die Berechtigungsanalyse der erste Ansatzpunkt, um den Schaden einzugrenzen.
• Vorfallbereitschaft: Die 24-Stunden-Meldepflicht setzt voraus, dass Sie im Ernstfall sofort wissen, welche Systeme betroffen sind und welche Auswirkungen der Vorfall hat. Ohne aktuelle Netzwerk- und Systemdokumentation ist eine fristgerechte Meldung kaum möglich.

Der Aufbau dieser Dokumentation muss nicht manuell geschehen. Agentenlose Inventarisierungstools erfassen Hardware, Software, Benutzer, Berechtigungen und Netzwerkstrukturen automatisiert und zeitgesteuert – ohne Eingriff in die Systeme und ohne zusätzliche Softwareinstallation auf Endgeräten.

Weiterführende Artikel:

• https://www.docusnap.com/it-dokumentation/nis-2-richtlinie
• https://www.docusnap.com/it-dokumentation/nis-2-richtlinie-umsetzung-deutschland
• https://www.docusnap.com/it-dokumentation/nis2-osterreich
• https://www.docusnap.com/it-dokumentation/nis2-wer-ist-betroffen
• https://www.docusnap.com/it-dokumentation/nis2-compliance

FAQ: Häufig gestellte Fragen zur NIS2-Richtlinie in der Schweiz

Gilt die NIS2-Richtlinie direkt für Schweizer Unternehmen?

Nein, die NIS2-Richtlinie ist eine EU-Richtlinie und bindet die Schweiz nicht direkt. Allerdings betrifft sie Schweizer Unternehmen indirekt – über Lieferketten-Anforderungen regulierter EU-Kunden, über EU-Tochtergesellschaften, die NIS2 umsetzen müssen, und über den zunehmenden Druck, IT-Sicherheitsstandards als Marktzugangsvoraussetzung nachzuweisen.

Welche Meldepflichten gelten in der Schweiz seit 2025?

Seit dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden nach Entdeckung dem Bundesamt für Cybersicherheit (BACS) melden. Die Erstmeldung kann innerhalb von 14 Tagen vervollständigt werden. Bei Nichtbefolgung drohen seit Oktober 2025 Bußen bis CHF 100.000 – und zwar gegen die verantwortliche natürliche Person, nicht gegen das Unternehmen.

Was ist der Unterschied zwischen dem Schweizer ISG und der EU-NIS2?

Das ISG fokussiert sich auf Bundesbehörden und Betreiber kritischer Infrastrukturen in der Schweiz mit Bußen bis CHF 100.000. Die NIS2-Richtlinie gilt in der EU für wesentliche und wichtige Einrichtungen in 18 Sektoren mit Sanktionen bis 10 Mio. Euro oder 2 % des Jahresumsatzes. NIS2 geht bei Governance, Lieferkettensicherheit und Schulungspflichten deutlich weiter als das ISG. Weitere Details zu den NIS2-Anforderungen und Strafen finden Sie in unserem ausführlichen Übersichtsartikel.

Bis wann müssen Schweizer Unternehmen ein ISMS aufgebaut haben?

Gemäß der Informationssicherheitsverordnung (ISV) müssen Betreiber kritischer Infrastrukturen bis zum 31. Dezember 2026 ein Informationssicherheits-Managementsystem aufgebaut und umgesetzt haben. Ein ISMS nach ISO 27001 bildet eine solide Basis und erfüllt gleichzeitig einen Großteil der NIS2-Anforderungen.

Welche Schweizer Unternehmen sind von der ISG-Meldepflicht betroffen?

Das ISG definiert neun Hauptsektoren kritischer Infrastrukturen: Energie, Gesundheit, Finanz- und Versicherungswesen, Transport, Trinkwasser, Abwasser, ICT, Nahrungsmittel und öffentliche Sicherheit. Darüber hinaus sind auch Hersteller von Hard- oder Software betroffen, deren Produkte von KRITIS-Betreibern genutzt werden. Über den Supply-Chain-Effekt können auch KMU betroffen sein, die als Zulieferer oder IT-Dienstleister für meldepflichtige Unternehmen arbeiten.

‍