GRC & Compliance
8. Juli 20268 July 2026
3 Min. Lesezeit3 min read
NIS-2 für Schweizer Unternehmen: Wann Sie trotzdem betroffen sindNIS-2 for Swiss companies: When you are affected anyway
Ein Schweizer Logistikunternehmen erhält eine Anfrage vom deutschen Grosskunden: "Bestätigen Sie Ihre NIS-2-Konformität bis Quartalsende, sonst müssen wir den Vertrag überprüfen." Der Geschäftsführer ist irritiert: "Wir sind doch ein Schweizer Unternehmen?" Die Antwort: Als kritischer Zulieferer in der EU-Lieferkette gelten die Anforderungen indirekt - über Kundenverträge.
Drei Wege, wie NIS-2 Sie trotzdem trifft
NIS-2 ist eine EU-Richtlinie seit Oktober 2024. Die Schweiz ist formal nicht verpflichtet. Praktisch sind Sie dennoch betroffen, wenn:
1. EU-Tochtergesellschaften: Ihre Niederlassung in der EU fällt unter kritische Sektoren (Energie, Gesundheit, Logistik, digitale Dienste). In der Praxis führt das zu konzernweiten Standards - separate Konzepte für Schweiz und EU sind ineffizient.
2. Kritische Lieferkette: Sie beliefern EU-Unternehmen, die unter NIS-2 fallen. Diese müssen ihre Lieferkette absichern und verlangen von Zulieferern gleichwertige Sicherheitsmassnahmen - vertraglich festgeschrieben, mit Kündigungsrecht bei Nichteinhaltung.
3. Marktpositionierung: Wer NIS-2-Konformität nachweisen kann, hat bei EU-Ausschreibungen einen klaren Wettbewerbsvorteil.
Die Kernforderungen
24-Stunden-Meldefrist: Sicherheitsvorfälle müssen innerhalb von 24 Stunden erstgemeldet werden, nach 72 Stunden mit Details. Das funktioniert nur mit vorbereiteten Prozessen und regelmässigen Übungen.
Persönliche Haftung: Geschäftsleitungen haften persönlich bei Verstössen. NIS-2 verlangt explizit Cybersecurity-Schulungen für Führungskräfte - wegdelegieren funktioniert nicht.
Lieferkettenmanagement: Zulieferer müssen auf Sicherheitsrisiken geprüft werden. Dokumentiert und nachweisbar.
ISO 27001 reicht nicht ganz
Wer ISO 27001 hat, deckt etwa 70% der NIS-2-Anforderungen ab. Die Lücken: strengere Meldefristen (24/72 Stunden statt "angemessen zeitnah"), explizites Lieferkettenmanagement und dokumentierte Geschäftsleitungs-Verantwortung.
Was jetzt zu tun ist
Betroffenheit klären: EU-Töchter? Kritische EU-Kunden? EU-Expansion geplant? Dann ist NIS-2 relevant.
Gap-Analyse: Prüfen Sie Ihre Incident-Response-Zeiten, Lieferkettenmanagement und Geschäftsleitungs-Dokumentation.
Kundenverträge checken: Welche Cybersecurity-Nachweise werden verlangt? Besser jetzt klären als im Vertragsentwurf überrascht werden.
Incident-Response testen: Ein Plan auf Papier ist wertlos. Machen Sie Tabletop-Übungen: Wer wird alarmiert? Wer bewertet? Wer meldet?
Fazit
NIS-2 ist eine EU-Richtlinie, aber ihre Auswirkungen reichen weit über Brüssel hinaus. Schweizer Unternehmen mit EU-Bezug kommen nicht umhin, sich damit auseinanderzusetzen. Die gute Nachricht: Wer bereits strukturierte Cybersecurity betreibt, muss nicht bei Null anfangen. Es geht darum, Lücken zu schliessen und Nachweisbarkeit zu schaffen. Der grösste Fehler wäre, NIS-2 als rein technisches IT-Thema zu behandeln. Es ist ein Governance-Thema, das die Geschäftsleitung betrifft und über Marktzugang entscheiden kann.
A Swiss logistics company receives a request from its major German customer: "Confirm your NIS-2 compliance by the end of the quarter, otherwise we will have to review the contract." The managing director is puzzled: "But we are a Swiss company?" The answer: As a critical supplier in the EU supply chain, the requirements apply indirectly - through customer contracts.
Three ways NIS-2 affects you anyway
NIS-2 has been an EU directive since October 2024. Switzerland is not formally obligated. In practice, however, you are affected if:
1. EU subsidiaries: Your branch in the EU falls under critical sectors (energy, healthcare, logistics, digital services). In practice, this leads to group-wide standards - separate concepts for Switzerland and the EU are inefficient.
2. Critical supply chain: You supply EU companies that fall under NIS-2. These companies must secure their supply chain and demand equivalent security measures from suppliers - contractually stipulated, with the right to terminate in case of non-compliance.
3. Market positioning: Anyone who can demonstrate NIS-2 compliance has a clear competitive advantage in EU tenders.
The core requirements
24-hour reporting deadline: Security incidents must be initially reported within 24 hours, with details after 72 hours. This only works with prepared processes and regular exercises.
Personal liability: Executive management is personally liable for violations. NIS-2 explicitly requires cybersecurity training for executives - delegating it away does not work.
Supply chain management: Suppliers must be assessed for security risks. Documented and verifiable.
ISO 27001 is not quite enough
Anyone who has ISO 27001 covers around 70% of the NIS-2 requirements. The gaps: stricter reporting deadlines (24/72 hours instead of "reasonably prompt"), explicit supply chain management, and documented executive management responsibility.
What to do now
Clarify exposure: EU subsidiaries? Critical EU customers? EU expansion planned? Then NIS-2 is relevant.
Gap analysis: Review your incident response times, supply chain management, and executive management documentation.
Check customer contracts: Which cybersecurity attestations are required? Better to clarify now than to be surprised in the draft contract.
Test incident response: A plan on paper is worthless. Run tabletop exercises: Who gets alerted? Who assesses? Who reports?
Conclusion
NIS-2 is an EU directive, but its impact extends far beyond Brussels. Swiss companies with EU exposure cannot avoid dealing with it. The good news: Anyone who already runs structured cybersecurity does not have to start from scratch. It is about closing gaps and creating verifiability. The biggest mistake would be to treat NIS-2 as a purely technical IT topic. It is a governance topic that concerns executive management and can determine market access.