Die NIS2-Richtlinie gilt offiziell nur innerhalb der Europäischen Union. Die Schweiz ist kein EU-Mitglied, hat keine NIS2-Umsetzungspflicht und steht nicht unter der Aufsicht europäischer Behörden. Trotzdem beschäftigt das Thema immer mehr Schweizer Unternehmen – und das aus gutem Grund. Wer als Zulieferer, Dienstleister oder Partner für EU-regulierte Organisationen tätig ist, spürt die Anforderungen von NIS2 indirekt, aber spürbar.
Dieser Leitfaden erklärt, welche Schweizer Unternehmen tatsächlich betroffen sind, was das Schweizer Informationssicherheitsgesetz (ISG) dazu beiträgt und welche konkreten Schritte jetzt sinnvoll sind.
Dieser Artikel dient der allgemeinen Information und stellt keine Rechts- oder Compliance-Beratung dar. Anforderungen variieren je nach Unternehmensstruktur und Geschäftsmodell. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechts- oder Compliance-Experten.
Die Ausgangslage: Schweiz außerhalb der EU – trotzdem betroffen?
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) verpflichtet Mitgliedstaaten der Europäischen Union, Mindestsicherheitsanforderungen für Netz- und Informationssysteme in kritischen Sektoren einzuführen. Die Schweiz ist nicht Mitglied der EU und nicht im Europäischen Wirtschaftsraum (EWR). Rein formal ist NIS2 damit kein Schweizer Recht.
Warum ist das Thema dennoch relevant? Weil die EU-Richtlinie nicht nur für EU-Unternehmen Konsequenzen hat, sondern auch für deren Lieferketten. Ein Bundesbetrieb in München, ein Energieversorger in Wien oder ein Krankenhausverbund in Amsterdam ist unter NIS2 verpflichtet, Cybersicherheitsanforderungen in die Lieferkette weiterzugeben. Wenn der Schweizer IT-Dienstleister, Softwareanbieter oder Logistikpartner diese Anforderungen nicht erfüllt, riskiert der EU-Kunde Bußgelder und behördliche Sanktionen.
Mehr zum Aufbau und den Grundlagen der NIS2-Richtlinie lesen Sie in unserem einführenden Leitfaden.
Drei Szenarien, in denen NIS2 Schweizer Unternehmen direkt betrifft
Es gibt drei konkrete Situationen, in denen ein Schweizer Unternehmen nicht mehr nur mittelbar, sondern unmittelbar mit NIS2 konfrontiert wird.
Szenario 1: Niederlassung oder Tochtergesellschaft in der EU
Hat ein Schweizer Konzern eine Tochtergesellschaft, Zweigniederlassung oder Betriebsstätte in einem EU-Mitgliedstaat, so fällt diese Einheit unter das nationale NIS2-Umsetzungsgesetz des jeweiligen Landes. In Deutschland ist das das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das sich derzeit in der parlamentarischen Beratung befindet. In Frankreich, den Niederlanden oder Österreich gelten die jeweiligen Umsetzungsgesetze.
Für diese EU-Tochter gelten sämtliche Pflichten: Registrierung bei der nationalen Behörde, Implementierung von Cybersicherheitsmaßnahmen nach Artikel 21 NIS2, Meldepflicht bei Sicherheitsvorfällen und Nachweispflichten gegenüber Prüfern. Die Schweizer Muttergesellschaft muss sicherstellen, dass die EU-Tochter diese Anforderungen organisatorisch und technisch umsetzen kann.
Szenario 2: Direkte Einstufung als wesentliche oder wichtige Einrichtung
NIS2 gilt extraterritorial für Einrichtungen, die Dienste innerhalb der EU erbringen, auch wenn sie ihren Hauptsitz außerhalb der EU haben. Artikel 2 Absatz 3 der Richtlinie ist eindeutig: Einrichtungen, die in der EU tätig sind und keine Niederlassung dort haben, müssen einen Vertreter in der EU benennen, wenn sie in den Anwendungsbereich fallen.
Konkret betroffen sind zum Beispiel Schweizer Anbieter von Cloud-Diensten, Managed Security Services, digitaler Infrastruktur oder DNS-Diensten, die EU-Kunden in kritischen Sektoren bedienen. Wenn ein Schweizer Rechenzentrum kritische Daten für einen EU-Betreiber wesentlicher Dienste hostet und die Umsatzschwellen nach Artikel 2 NIS2 erreicht (mehr als 50 Mitarbeitende oder mehr als 10 Millionen Euro Jahresumsatz), ist es sehr wahrscheinlich, dass eine Einstufungspflicht entsteht.
Wer grundsätzlich von NIS2 erfasst wird, erklärt unser Artikel zum Anwendungsbereich der NIS2-Richtlinie detailliert.
Szenario 3: Vertragliche Lieferkettenpflichten
Dies ist das häufigste Szenario für Schweizer KMU. NIS2 verpflichtet wesentliche und wichtige Einrichtungen in der EU ausdrücklich dazu, die Cybersicherheit ihrer Lieferanten und Dienstleister zu bewerten und vertraglich abzusichern (Artikel 21 Absatz 2 Buchstabe d). Das bedeutet: Ein Schweizer Maschinenbauer, der Teile an einen deutschen Rüstungskonzern liefert, oder ein Zürcher Software-Startup, das seine Anwendung an ein niederländisches Krankenhaus verkauft, wird zunehmend mit Sicherheitsfragebögen, Vertragsklauseln und Auditrechten konfrontiert.
Diese vertraglichen Anforderungen sind zwar keine gesetzliche NIS2-Pflicht für das Schweizer Unternehmen, aber faktisch bindend – wer sie nicht erfüllt, verliert den Auftrag oder riskiert Vertragsstrafen.
Das Schweizer Pendant: ISG und die Rolle des NCSC
Die Schweiz ist nicht ohne eigenes Regelwerk. Das Informationssicherheitsgesetz (ISG), in Kraft seit Januar 2024, bildet den bundesrechtlichen Rahmen für die Informationssicherheit in der Bundesverwaltung und für kritische Infrastrukturen. Es regelt unter anderem Klassifizierung von Informationen, Schutzmaßnahmen für Bundesstellen und die Grundlagen der Zusammenarbeit mit Betreibern kritischer Infrastrukturen.
Das Nationale Zentrum für Cybersicherheit (NCSC), seit 2024 als Bundesamt für Cybersicherheit (BACS) organisiert, ist die zentrale Behörde der Schweiz für Cybersicherheit. Es betreibt das Meldesystem für Sicherheitsvorfälle, koordiniert bei nationalen Cyberkrisen und gibt Empfehlungen für KMU und Großunternehmen heraus. Seit dem 1. April 2025 gilt zudem für Betreiber kritischer Infrastrukturen in der Schweiz eine Meldepflicht für Cyberangriffe – ein wichtiger Schritt in Richtung NIS2-Äquivalenz, aber noch nicht deckungsgleich.
Relevante Unterschiede zwischen ISG/BACS und NIS2:
| Merkmal | ISG / BACS (Schweiz) | NIS2 (EU) |
|---|---|---|
| Rechtsgrundlage | Bundesgesetz (CH) | EU-Richtlinie, national umgesetzt |
| Geltungsbereich | Bundesverwaltung + krit. Infrastr. | Wesentl. + wichtige Einrichtungen EU-weit |
| Meldepflicht | Seit April 2025 (krit. Infrastr.) | Seit Oktober 2024 (72h-Regel) |
| Lieferkette | Nicht explizit geregelt | Explizite Lieferkettenpflicht (Art. 21) |
| Bußgelder | Keine direkten Sanktionen vorgesehen | Bis 10 Mio. € oder 2 % Jahresumsatz |
| Rahmen | Technologieneutrale Grundsätze | Konkrete Maßnahmen (Art. 21 Abs. 2) |
Für Schweizer Unternehmen, die bereits ISG-konform arbeiten oder nach dem BACS-Rahmen ausgerichtet sind, ist der Schritt zur NIS2-Äquivalenz kleiner als oft angenommen – die konzeptionellen Überschneidungen bei Risikomanagement, Incident Response und Zugangskontrolle sind erheblich.
Was EU-Kunden konkret von Schweizer Lieferanten verlangen
Die Erfahrung aus der aktuellen EU-Umsetzungswelle zeigt: Einkaufsabteilungen und Compliance-Teams europäischer Großunternehmen beginnen, ihre Lieferantenbewertungen an NIS2-Kriterien auszurichten. Schweizer Unternehmen erhalten zunehmend folgende Anfragen:
- Sicherheitsfragebögen (Security Questionnaires) – standardisierte Fragebögen (häufig auf Basis von ISO 27001 oder NIST CSF), die Risikomanagement, Patch-Prozesse, Zugangskontrolle, Backup-Strategien und Incident-Response-Fähigkeiten abfragen.
- Vertragsklauseln zu Meldepflichten – der EU-Kunde verlangt, bei sicherheitsrelevanten Vorfällen innerhalb definierter Fristen (oft 24 bis 72 Stunden) informiert zu werden.
- Nachweise über Zertifizierungen – ISO 27001, SOC 2 Type II oder branchenspezifische Zertifikate werden als Vertrauensanker gefordert.
- Auditrechte – das Recht, die Sicherheitsmaßnahmen des Schweizer Lieferanten durch eigene Prüfer oder beauftragte Auditoren zu überprüfen.
- Erklärungen zur Unterlieferkette – die EU-Einrichtung ist verpflichtet, auch Sub-Lieferanten zu bewerten; der direkte Schweizer Lieferant wird daher nach seinen eigenen Zulieferern gefragt.
Unternehmen, die auf diese Anfragen unvorbereitet reagieren, verlieren Ausschreibungen oder geraten in teure Nachbesserungsrunden unmittelbar vor Vertragsabschluss.
Praktische Schritte für Schweizer Unternehmen
Die gute Nachricht: NIS2-Readiness muss nicht heißen, EU-Recht vollständig zu implementieren. Für die meisten Schweizer Unternehmen, die als Lieferanten agieren, reichen gezielte Maßnahmen, um EU-Kundenanforderungen zu erfüllen und gleichzeitig die eigene Sicherheitsreife zu stärken.
Schritt 1 – Betroffenheitsanalyse durchführen
Klären Sie, ob Ihr Unternehmen in eines der drei Szenarien fällt: EU-Niederlassung, direkte Diensterbringung in kritischen EU-Sektoren oder vertragliche Lieferkettenpflichten. Diese Analyse ist Grundlage aller weiteren Entscheidungen.
Schritt 2 – Gap-Analyse gegen NIS2-Artikel 21
Artikel 21 NIS2 beschreibt zehn Maßnahmenbereiche: Risikoanalyse, Vorfallbewältigung, Geschäftskontinuität, Lieferkettensicherheit, Netz- und Systemsicherheit, Schwachstellenmanagement, Kryptografie, Zugangskontrolle, Multi-Faktor-Authentifizierung und Schulungen. Prüfen Sie, welche dieser Bereiche bereits abgedeckt sind und wo Lücken bestehen.
Schritt 3 – Lieferantenvereinbarungen anpassen
Wenn Sie Sub-Lieferanten haben, die Zugang zu EU-Kundendaten oder -systemen haben, müssen auch diese in Ihre Sicherheitsbewertung einbezogen werden. Passen Sie Lieferantenverträge entsprechend an.
Schritt 4 – Dokumentation aufbauen
NIS2-konforme EU-Einrichtungen müssen nachweisen, dass sie ihre Lieferkette geprüft haben. Das bedeutet für Sie: Führen Sie Richtlinien, Risikoregister, Incident-Response-Pläne und Schulungsnachweise, die Sie auf Anfrage vorlegen können.
Schritt 5 – ISO 27001 als Brücke nutzen
Eine ISO 27001-Zertifizierung ist kein NIS2-Äquivalent, aber der international anerkannte Standard deckt die Kernbereiche von Artikel 21 NIS2 ab und wird von EU-Kunden als glaubwürdiger Nachweis akzeptiert. Für viele Schweizer KMU ist das der effizienteste Weg zur NIS2-äquivalenten Sicherheitsreife.
Schritt 6 – Meldeprozess etablieren
Auch wenn das Schweizer ISG bereits eine Meldepflicht für kritische Infrastrukturen einführt: Definieren Sie intern, wer bei einem Sicherheitsvorfall zuständig ist, wie schnell externe Meldungen erfolgen und welche Eskalationskette gilt. Dieser Prozess ist in EU-Kundenverträgen häufig als Mindestvorgabe gefordert.
Häufig gestellte Fragen
Muss ein Schweizer KMU NIS2 umsetzen, wenn es nur Schweizer Kunden hat?
Nein. Wenn Sie ausschließlich im Schweizer Markt tätig sind und keine EU-Niederlassung haben, gilt NIS2 nicht für Sie. Relevant wird es erst, wenn Sie Dienste für EU-Einrichtungen in NIS2-relevanten Sektoren erbringen oder als Lieferant für einen NIS2-verpflichteten EU-Kunden tätig sind.
Genügt die Einhaltung des Schweizer ISG, um EU-Anforderungen zu erfüllen?
Nur teilweise. ISG und BACS-Rahmen decken Grundprinzipien ab, sind aber weniger konkret als Artikel 21 NIS2. Für EU-Kundenforderungen empfiehlt es sich, die Lücken durch eine gezielte NIS2-Gap-Analyse zu schließen.
Wer ist in der Schweiz zuständige Behörde für NIS2-ähnliche Fragen?
Das Bundesamt für Cybersicherheit (BACS), vormals NCSC, ist die zentrale Anlaufstelle. Es betreibt das nationale Meldesystem, veröffentlicht Sicherheitsempfehlungen und koordiniert bei kritischen Vorfällen.
Ab welcher Unternehmensgröße ist NIS2 für Schweizer Anbieter relevant?
NIS2 unterscheidet zwischen wesentlichen Einrichtungen (mehr als 250 Mitarbeitende oder 50 Mio. € Umsatz) und wichtigen Einrichtungen (mehr als 50 Mitarbeitende oder 10 Mio. € Umsatz). Unterhalb dieser Schwellen sind direkte Pflichten unwahrscheinlich – indirekte Lieferkettenpflichten können aber auch kleinere Unternehmen treffen, wenn ihre EU-Kunden entsprechend verpflichtet sind.
Gibt es einen bilateralen Rahmen zwischen der Schweiz und der EU für Cybersicherheit?
Stand 2025 gibt es keine formelle Äquivalenzvereinbarung im Bereich NIS2. Die Schweiz und die EU arbeiten im Rahmen des Bilateralen Wegs zusammen, aber eine formelle Anerkennung Schweizer Cybersicherheitsstandards als NIS2-äquivalent existiert nicht. Einzelne Unternehmen müssen die Konformität eigenständig nachweisen.
Quellen
- Bundesamt für Cybersicherheit (BACS). Offizielle Website. Schweizerische Eidgenossenschaft, 2024.
- Schweizerische Eidgenossenschaft. Informationssicherheitsgesetz (ISG), SR 128. Fedlex – Publikationsplattform des Bundesrechts, 2024.
- Europäisches Parlament und Rat. Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, Dezember 2022.
- ENISA. NIS2 und Lieferkettensicherheit – Leitlinien für Betreiber. European Union Agency for Cybersecurity, 2023.
