Die zweite Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) hebt das Cyber-Security-Niveau in der Europäischen Union deutlich an. Auch wenn die Schweiz nicht direkt an die Richtlinie gebunden ist, sind viele hiesige Unternehmen betroffen – als Zulieferer, Tochtergesellschaft oder Betreiber von Diensten innerhalb der EU.
Warum NIS-2 auch in der Schweiz relevant ist
NIS-2 erweitert den Kreis der regulierten Organisationen erheblich und nimmt ausdrücklich Lieferketten in den Blick. Schweizer Unternehmen geraten damit häufig indirekt in den Anwendungsbereich – etwa wenn sie kritische Dienste für europäische Kunden erbringen oder Teil eines Konzerns mit EU-Sitz sind.
Die Verantwortung wird zur Chefsache
Ein zentraler Punkt: NIS-2 verankert die Verantwortung für Cyber Security ausdrücklich auf Leitungsebene. Geschäftsleitung und Verwaltungsrat können die Aufgabe nicht mehr allein an die IT delegieren.
- Risiken müssen identifiziert, bewertet und dokumentiert werden.
- Massnahmen sind angemessen und nachweisbar umzusetzen.
- Meldepflichten bei Vorfällen sind einzuhalten.
- Die Wirksamkeit der Massnahmen ist regelmässig zu überprüfen.
Was Sie jetzt tun sollten
- Betroffenheit klären. Prüfen Sie, ob und über welche Geschäftsbeziehungen Ihr Unternehmen in den Anwendungsbereich fällt.
- Reifegrad bestimmen. Ein strukturiertes Assessment zeigt, wo Sie stehen und welche Lücken bestehen.
- Governance schaffen. Verankern Sie Verantwortlichkeiten, Berichtswege und Entscheidungsgrundlagen auf Leitungsebene.
- Roadmap aufsetzen. Priorisieren Sie Massnahmen nach Risiko und Wirkung.
Fazit
NIS-2 ist kein reines IT-Thema, sondern eine Frage der Unternehmensführung. Wer frühzeitig handelt, reduziert nicht nur regulatorische Risiken, sondern stärkt die Widerstandsfähigkeit des gesamten Unternehmens.
Sie möchten Ihre Betroffenheit und Ihren Reifegrad einschätzen lassen? Vereinbaren Sie ein unverbindliches Erstgespräch.