NIS2 und revDSG: Was Schweizer KMU bis 2027 umsetzen müssen
Zwei Gesetze, eine Botschaft: Cybersicherheit ist Pflicht
Schweizer KMU stehen vor einer doppelten regulatorischen Herausforderung: Einerseits ist das revidierte Datenschutzgesetz (revDSG) bereits seit dem 1. September 2023 in Kraft und stellt konkrete Anforderungen an den Umgang mit Personendaten. Andererseits bereitet die Schweiz mit dem neuen KRITIS-G-Gesetz eine eigene Umsetzung der EU-Richtlinie NIS2 vor, die voraussichtlich am 1. Januar 2027 in Kraft tritt. Für Unternehmen, die mit EU-Partnern zusammenarbeiten oder Dienstleistungen in der EU anbieten, gilt die NIS2-Richtlinie zudem bereits heute indirekt.
Dieser Leitfaden erklärt, was beide Regelwerke konkret bedeuten, welche Bussgelder bei Verstössen drohen und mit welchen Massnahmen Sie Ihr KMU rechtzeitig in Compliance bringen.
Das revidierte Datenschutzgesetz (revDSG): Was seit 2023 gilt
Das revDSG ersetzt das über 30 Jahre alte Schweizer Datenschutzgesetz und orientiert sich stark an der europäischen DSGVO. Ziel ist es, den freien Datenverkehr mit der EU zu erhalten und den Schutz von Personendaten auf modernen Standard zu heben. Für KMU sind vor allem drei Neuerungen relevant.
Verzeichnis der Bearbeitungstätigkeiten
Unternehmen müssen ein internes Verzeichnis führen, das dokumentiert, welche Personendaten zu welchem Zweck bearbeitet werden. Ausgenommen sind Unternehmen mit weniger als 250 Mitarbeitenden, sofern die Datenbearbeitung kein hohes Risiko für die betroffenen Personen darstellt. In der Praxis empfiehlt sich das Verzeichnis jedoch für alle Unternehmen, da es die Grundlage für alle weiteren Datenschutzmassnahmen bildet.
Datenschutz-Folgenabschätzung (DSFA)
Bei Datenbearbeitungen, die ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen darstellen, ist eine Datenschutz-Folgenabschätzung vorgeschrieben. Dies betrifft insbesondere die Verarbeitung besonders schützenswerter Personendaten, die systematische Überwachung öffentlich zugänglicher Bereiche sowie die Profilbildung mit hohem Risiko.
Meldepflicht bei Datenschutzverletzungen
Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen, müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich gemeldet werden. Eine klare 72-Stunden-Frist wie in der DSGVO gibt es im revDSG zwar nicht, aber die Praxis empfiehlt, sich an diesem Massstab zu orientieren.
Bussgelder nach revDSG
Ein entscheidender Unterschied zur DSGVO: Das revDSG bestraft nicht Unternehmen, sondern natürliche Personen – also Geschäftsführer, Datenschutzverantwortliche oder andere Mitarbeitende, die vorsätzlich gegen das Gesetz verstossen. Die Busse kann bis zu CHF 250000 betragen. Unternehmen können nur dann direkt gebüsst werden, wenn die Busse CHF 50000 oder weniger beträgt und die Ermittlung der verantwortlichen natürlichen Person einen unverhältnismässigen Aufwand erfordern würde (Art. 64 DSG).
| Verstoss | Busse | Verantwortlich |
|---|---|---|
| Verweigerung von Auskunftsrechten | bis CHF 250000 | Natürliche Person (vorsätzlich) |
| Falsche Auskünfte gegenüber EDÖB | bis CHF 250000 | Natürliche Person (vorsätzlich) |
| Datenweitergabe ins Ausland ohne Garantien | bis CHF 250000 | Natürliche Person (vorsätzlich) |
| Verletzung der Datensicherheits-Mindestanforderungen | bis CHF 250000 | Natürliche Person (vorsätzlich) |
| Missachtung EDÖB-Anordnungen | bis CHF 50000 | Unternehmen (direkt möglich) |
NIS2 und das Schweizer KRITIS-G: Was ab 2027 kommt
Die EU-Richtlinie NIS2 (Network and Information Security Directive 2) ist seit Oktober 2024 für EU-Mitgliedstaaten verbindlich. Die Schweiz ist zwar kein EU-Mitglied, entwickelt aber mit dem KRITIS-G-Gesetz ein eigenes Äquivalent, das die Anforderungen von NIS2 auf Schweizer Verhältnisse überträgt. Das Gesetz soll voraussichtlich am 1. Januar 2027 in Kraft treten.
Warum NIS2 Schweizer KMU bereits heute betrifft
Auch ohne formale Bindung sind viele Schweizer Unternehmen bereits heute indirekt von NIS2 betroffen. Die Richtlinie gilt für Unternehmen, die Dienstleistungen oder Produkte in der EU anbieten, Teil der Lieferkette eines EU-Unternehmens sind oder als IT- und Cloud-Dienstleister für EU-Kunden tätig sind. Ein konkretes Beispiel: Ein Schweizer IT-Dienstleister, der Backup-Services an ein deutsches Unternehmen liefert, muss NIS2-Standards erfüllen – auch ohne eigene Niederlassung in der EU. Compliance wird damit zur Voraussetzung für den Marktzugang.
Klassifizierung unter KRITIS-V: Bin ich betroffen?
Das Schweizer Ausführungsrecht (KRITIS-V) unterscheidet zwei Kategorien von betroffenen Unternehmen. Die Klassifizierung richtet sich nach Mitarbeiterzahl und Umsatz:
| Klassifizierung | Kriterien | Maximale Busse |
|---|---|---|
| Besonders kritischer Betreiber | 250+ Mitarbeitende ODER CHF 50 Mio.+ Umsatz | CHF 10 Mio. oder 2% des globalen Umsatzes |
| Kritischer Betreiber | 50+ Mitarbeitende ODER CHF 10 Mio.+ Umsatz | CHF 7 Mio. oder 1,4% des globalen Umsatzes |
Zusätzlich werden Telekommunikationsanbieter, Domain-Registrare und Trust-Service-Provider unabhängig von ihrer Grösse automatisch als kritische Betreiber eingestuft. Tägliche Bussen von bis zu CHF 100000 sind möglich, und das NCSC (National Cyber Security Centre) veröffentlicht Nicht-Compliance-Fälle – das Reputationsrisiko ist damit ebenso real wie das finanzielle.
Betroffene Sektoren
NIS2 und KRITIS-G erfassen deutlich mehr Branchen als bisherige Regelungen. Neu reguliert werden unter anderem Fertigung und Produktion (ab 50 Mitarbeitenden), Lebensmittelversorgung sowie – typisch schweizerisch – Seilbahnen und pharmazeutische Logistik. Bereits bekannte kritische Sektoren wie Energie, Gesundheit, Finanzwesen und digitale Infrastruktur unterliegen verschärften Anforderungen.
Die konkreten Anforderungen: Was KMU umsetzen müssen
Sowohl revDSG als auch NIS2/KRITIS-G verlangen von Unternehmen ein systematisches Risikomanagement. Die Anforderungen lassen sich in vier Bereiche gliedern:
1. Risikomanagement und Dokumentation
Unternehmen müssen Cyberrisiken systematisch identifizieren, bewerten und dokumentieren. Dazu gehört die Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten (revDSG), eine Risikoanalyse der IT-Infrastruktur sowie die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 oder einem vergleichbaren Framework.
2. Technische Schutzmassnahmen
Auf technischer Ebene sind Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme, regelmässige Datensicherungen nach der 3-2-1-Regel, aktuelles Patch-Management sowie Netzwerksegmentierung und Zugriffskontrollen nach dem Least-Privilege-Prinzip gefordert. Für Unternehmen im Geltungsbereich von NIS2 kommen jährliche Penetrationstests und ein 24/7-Security-Operations-Center (SOC) hinzu.
3. Incident Response und Meldepflichten
Kritische Infrastrukturbetreiber müssen Cyberangriffe mit Schadenspotenzial innerhalb von 24 Stunden beim NCSC (GovCERT.ch) melden. Für EU-regulierte Unternehmen gilt dieselbe 24-Stunden-Frist für eine Erstmeldung, gefolgt von einem Abschlussbericht innerhalb von 72 Stunden. Ein dokumentierter Incident-Response-Plan mit klaren Eskalationswegen und geschulten Mitarbeitenden ist Pflicht.
4. Governance und Verantwortlichkeiten
Das Management muss aktiv in Sicherheitsentscheidungen eingebunden sein. Die Benennung einer verantwortlichen Person für Cybersicherheit (CISO oder vergleichbar) sowie regelmässige Schulungen aller Mitarbeitenden sind vorgeschrieben. Bei vorsätzlichen Verstössen haften Geschäftsführer persönlich.
Zeitplan und Handlungsempfehlungen für KMU
Mit dem Inkrafttreten von KRITIS-G am 1. Januar 2027 verbleiben Schweizer KMU noch knapp zwei Jahre zur Vorbereitung. Angesichts der Komplexität der Anforderungen und der typischen Umsetzungsdauer von 12 bis 18 Monaten für ein vollständiges ISMS sollten Unternehmen jetzt handeln.
| Zeitraum | Empfohlene Massnahmen |
|---|---|
| Sofort (Q1/Q2 2026) | Klassifizierung prüfen, Bestandsaufnahme IT-Infrastruktur, revDSG-Compliance-Check |
| Kurzfristig (Q3/Q4 2026) | MFA implementieren, Backup-Strategie optimieren, Incident-Response-Plan erstellen |
| Mittelfristig (2026-2027) | ISMS aufbauen, ISO 27001 anstreben, Mitarbeiterschulungen durchführen |
| Langfristig (ab 2027) | Regelmässige Audits, Penetrationstests, kontinuierliche Verbesserung |
Für viele KMU lohnt sich die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) oder einem spezialisierten IT-Partner. Die Kosten für externe Unterstützung – typischerweise CHF 500 bis 2000 pro Monat für laufendes Security-Monitoring – sind deutlich geringer als die potenziellen Bussgelder und der Reputationsschaden im Falle eines Verstosses oder eines erfolgreichen Cyberangriffs.
Fazit: Compliance als Wettbewerbsvorteil
NIS2 und revDSG sind keine bürokratischen Hindernisse, sondern eine Chance. Unternehmen, die ihre IT-Sicherheit und ihren Datenschutz auf ein professionelles Niveau heben, schützen nicht nur sich selbst vor Cyberangriffen und Bussgeldern – sie stärken auch das Vertrauen ihrer Kunden und Partner. Gerade im B2B-Bereich wird Compliance zunehmend zur Voraussetzung für Geschäftsbeziehungen mit EU-Unternehmen.
Creative Web Studio GmbH unterstützt Sie bei der Analyse Ihrer aktuellen Situation, der Entwicklung einer massgeschneiderten Compliance-Roadmap und der technischen Umsetzung der erforderlichen Massnahmen. Kontaktieren Sie uns für ein kostenloses Erstgespräch.
Kostenloser NIS2 und revDSG Compliance-Check
Wissen Sie, ob Ihr Unternehmen von NIS2 oder KRITIS-G betroffen ist? In einem kostenlosen 30-minütigen Gespräch analysieren wir Ihre aktuelle Situation und zeigen Ihnen die nächsten Schritte auf.
Jetzt kostenlosen Check vereinbarenHaben Sie Fragen?
Kontaktieren Sie uns für eine kostenlose Beratung und erfahren Sie, wie wir Ihnen helfen können.
