NIS2CybersicherheitIT-ComplianceEU-RechtSchweizer UnternehmenInformationssicherheit

NIS2-Richtlinie und die Schweiz: Was Unternehmen mit EU-Geschäft 2026 wissen müssen

Die NIS2-Richtlinie der EU gilt seit Oktober 2024 – doch viele Schweizer Unternehmen unterschätzen ihre Pflichten. Wer Geschäfte mit EU-Partnern macht oder dort tätig ist, kann direkt betroffen sein.

Elia Kuratli
Elia Kuratli

Solution Engineer

5 Min. Lesezeit
NIS2-Richtlinie und die Schweiz: Was Unternehmen mit EU-Geschäft 2026 wissen müssen

NIS2-Richtlinie und die Schweiz: Was Unternehmen mit EU-Geschäft 2026 wissen müssen

TL;DR: Die EU-Richtlinie NIS2 verpflichtet Unternehmen in kritischen Sektoren zu strengen Cybersicherheitsmassnahmen. Schweizer Firmen sind nicht automatisch ausgenommen – wer Niederlassungen, Kunden oder Lieferbeziehungen im EU-Raum hat, muss die Anforderungen kennen und erfüllen. Bussen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes drohen bei Verstössen.


Was ist NIS2 – und warum betrifft es auch Schweizer Firmen?

NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit, die seit Oktober 2024 in allen EU-Mitgliedstaaten in nationales Recht umgesetzt sein musste. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich erheblich.

Obwohl die Schweiz kein EU-Mitglied ist, gilt: NIS2 Schweiz ist kein Thema, das man ignorieren kann. Schweizer Unternehmen fallen unter NIS2, wenn sie:

  • eine Niederlassung oder Tochtergesellschaft in der EU betreiben,
  • als Zulieferer oder Dienstleister für EU-regulierte Unternehmen tätig sind,
  • kritische Infrastrukturen oder digitale Dienste in der EU anbieten.

⚠️ Viele KMU in der Deutschschweiz, im Kanton Zürich, Basel oder St. Gallen, die eng mit deutschen, österreichischen oder französischen Partnern zusammenarbeiten, sind indirekt über die Lieferkettenpflichten von NIS2 betroffen – auch ohne eigene EU-Niederlassung.


Welche Sektoren sind von NIS2 betroffen?

NIS2 unterscheidet zwischen wesentlichen (essential) und wichtigen (important) Einrichtungen. Der Geltungsbereich wurde gegenüber NIS1 stark ausgedehnt.

KategorieBeispielsektorenBussrahmen
Wesentliche EinrichtungenEnergie, Wasser, Gesundheit, Finanzmarkt, Verkehr, digitale Infrastrukturbis 10 Mio. EUR oder 2 % Umsatz
Wichtige EinrichtungenPost, Abfallwirtschaft, Lebensmittel, Maschinenbau, IT-Dienstleister, Chemiebis 7 Mio. EUR oder 1,4 % Umsatz

📊 Schätzungen zufolge fallen in der EU rund 160'000 Unternehmen neu unter NIS2 – gegenüber etwa 15'000 unter der alten NIS-Richtlinie. Der Kreis der Betroffenen hat sich also mehr als verzehnfacht.


Was müssen betroffene Unternehmen konkret umsetzen?

Für NIS2 Unternehmen EU Geschäft gilt ein verbindlicher Massnahmenkatalog. Die wichtigsten Anforderungen im Überblick:

1. Risikomanagement und Sicherheitsrichtlinien

  • Dokumentierte Risikoanalysen für IT- und OT-Systeme
  • Schriftliche Sicherheitskonzepte und Notfallpläne
  • Regelmässige Überprüfung und Aktualisierung

2. Vorfallmeldepflichten

  • Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden (Erstmeldung)
  • Detailbericht innerhalb von 72 Stunden
  • Abschlussbericht nach einem Monat

3. Lieferkettensicherheit (Supply Chain Security)

  • Prüfung der Sicherheitspraktiken von Drittanbietern und Zulieferern
  • Vertragliche Absicherung von Sicherheitsstandards
  • Besonders relevant für Schweizer IT-Dienstleister mit EU-Kundschaft

4. Technische Mindestmassnahmen

  • Multi-Faktor-Authentifizierung (MFA)
  • Verschlüsselung sensibler Daten
  • Patch-Management und Schwachstellenanalysen
  • Sicherung und Wiederherstellungsprozesse (Business Continuity)

5. Managementverantwortung

  • Geschäftsführung und Verwaltungsrat tragen persönliche Verantwortung für die Umsetzung
  • Schulungspflicht für leitende Organe

💡 Tipp: Viele dieser Anforderungen überschneiden sich mit dem ISO/IEC 27001-Standard sowie dem Schweizer Informationssicherheitsgesetz (ISG), das seit 2024 gilt. Wer bereits ISG-konform arbeitet, hat eine gute Ausgangslage.


Wie unterscheidet sich NIS2 vom Schweizer ISG?

Die Schweiz hat mit dem Informationssicherheitsgesetz (ISG) und der Meldepflicht für Cyberangriffe auf kritische Infrastrukturen (in Kraft seit 2024) eigene Regelungen geschaffen. Dennoch gibt es wichtige Unterschiede:

MerkmalNIS2 (EU)ISG / BABS-Regulierung (CH)
GeltungsbereichEU-weit, extraterritorial möglichSchweiz, Bundesbehörden + kritische Infrastrukturen
Meldepflicht24h / 72h / 1 Monat24h für kritische Infrastrukturen
SanktionenBis 10 Mio. EUR / 2 % UmsatzNoch kein vergleichbares Bussgeld-Regime
LieferketteExplizit geregeltWeniger detailliert
ManagementhaftungExplizit, persönlichEingeschränkt

ℹ️ Das Bundesamt für Cybersicherheit (BACS) empfiehlt Schweizer Unternehmen, NIS2-Anforderungen als Orientierungsrahmen zu nutzen – unabhängig von einer direkten Rechtspflicht. Die Angleichung an internationale Standards stärkt die Verhandlungsposition gegenüber EU-Partnern.


Was kostet NIS2-Compliance – und lohnt es sich?

Die Umsetzungskosten variieren stark je nach Unternehmensgrösse und Ausgangslage. Grobe Richtwerte für Schweizer KMU:

  • Gap-Analyse und Beratung: CHF 5'000 – 25'000
  • Technische Massnahmen (MFA, SIEM, Patch-Management): CHF 10'000 – 80'000
  • Laufende Betriebskosten (Monitoring, Schulungen): CHF 15'000 – 50'000 pro Jahr

Dem gegenüber stehen potenzielle Bussen im Millionenbereich sowie Reputationsschäden und Vertragsstrafen bei EU-Partnern, die NIS2-Nachweise einfordern.

💡 Auf it-provider.ch finden Sie zertifizierte Schweizer IT-Sicherheitsdienstleister, die auf NIS2-Compliance-Beratung spezialisiert sind – gefiltert nach Kanton und Branche.


Welche konkreten Schritte sollten Schweizer Unternehmen jetzt einleiten?

  1. Betroffenheitsanalyse: Prüfen, ob das Unternehmen direkt oder über die Lieferkette unter NIS2 fällt
  2. Gap-Analyse: Aktuellen Sicherheitsstatus gegen NIS2-Anforderungen abgleichen
  3. Massnahmenplan: Priorisierte Roadmap mit Verantwortlichkeiten und Budget erstellen
  4. Dokumentation: Sicherheitsrichtlinien, Risikobewertungen und Prozesse schriftlich festhalten
  5. Schulung: Management und IT-Verantwortliche auf NIS2-Anforderungen sensibilisieren
  6. Externe Unterstützung: Gegebenenfalls einen spezialisierten IT-Sicherheitsdienstleister beiziehen

⚠️ Achtung: EU-Kunden und -Partner können bereits heute NIS2-Nachweise in Ausschreibungen und Verträgen verlangen. Wer nicht vorbereitet ist, riskiert den Verlust von Aufträgen – unabhängig von behördlichen Sanktionen.


Häufige Fragen

Gilt NIS2 direkt für Schweizer Unternehmen ohne EU-Niederlassung? Nicht automatisch. Massgeblich ist, ob das Unternehmen Dienste in der EU erbringt oder als kritischer Lieferant für EU-regulierte Unternehmen gilt. In solchen Fällen kann NIS2 dennoch Anwendung finden.

Was passiert, wenn ein Schweizer Unternehmen NIS2-Anforderungen ignoriert? Behördliche Bussen treffen primär EU-Niederlassungen. Indirekte Konsequenzen wie Vertragsverlust, Ausschluss aus Lieferketten oder Reputationsschäden betreffen jedoch auch reine Schweizer Unternehmen.

Reicht ISO 27001-Zertifizierung für NIS2-Compliance? ISO 27001 ist eine sehr gute Grundlage und deckt viele NIS2-Anforderungen ab, ist aber nicht vollständig deckungsgleich. Insbesondere die Meldepflichten und Managementhaftung erfordern zusätzliche Massnahmen.

Bis wann müssen Unternehmen NIS2-konform sein? Die Umsetzungsfrist in EU-Mitgliedstaaten lief bis Oktober 2024. In 2026 befinden sich die nationalen Aufsichtsbehörden bereits in der aktiven Durchsetzungsphase. Für betroffene Unternehmen besteht dringender Handlungsbedarf.

Wo finde ich geeignete IT-Sicherheitspartner in der Schweiz? Auf it-provider.ch können Unternehmen gezielt nach Anbietern suchen, die auf Cybersicherheit, NIS2-Beratung und Informationssicherheits-Compliance spezialisiert sind – mit Bewertungen und direktem Kontakt.

Elia Kuratli

Elia Kuratli

Solution Engineer

LinkedIn