Wir verwenden Cookies

Wir verwenden Cookies, um Ihre Erfahrung auf unserer Website zu verbessern. Einige Cookies sind notwendig für die Funktionalität der Website, während andere uns helfen, die Nutzung zu analysieren und Marketing-Inhalte zu personalisieren. Mehr erfahren

Neu
Regulatorischer Überblick 2026/2027

IT-Compliance für KMU: CRA, NIS-2 & revDSG

Die Vernetzung digitaler Produkte und die zunehmende Regulierung durch EU und Schweiz stellen KMU vor neue Herausforderungen. Wir helfen Ihnen, den Überblick zu behalten und die gesetzlichen Anforderungen rechtzeitig umzusetzen.

3

Regulierungen im Überblick

2027

Wichtigstes Compliance-Jahr

CHF 250k

Max. Busse revDSG

15 Mio.

Max. Busse CRA (EUR)

Die wichtigsten Compliance-Themen

Drei Regulierungen, die für Schweizer KMU besonders relevant sind – mit Fristen, Pflichten und weiterführenden Fachartikeln.

Neu

EU Cyber Resilience Act

Hersteller & Importeure vernetzter Produkte

Frist: Dezember 2027

Der EU Cyber Resilience Act (CRA) verpflichtet Hersteller und Importeure von Produkten mit digitalen Elementen zu Security-by-Design, Schwachstellenmanagement und einer Software Bill of Materials (SBOM). Betroffen sind alle Unternehmen, die vernetzte Geräte oder Software in der EU in Verkehr bringen.

Wichtigste Pflichten

  • Security-by-Design als Pflichtanforderung
  • Meldepflicht bei aktiv ausgenutzten Schwachstellen (24 Stunden)
  • Software Bill of Materials (SBOM) für alle Produkte
  • CE-Kennzeichnung für Klasse I und II Produkte
  • Sanktionen bis zu 15 Mio. EUR oder 2,5 % des Jahresumsatzes

Weiterführender Fachartikel

EU Cyber Resilience Act: Was KMU bei vernetzten Produkten jetzt wissen müssen

12 Min. LesezeitArtikel lesen
Ab 2027

NIS-2-Richtlinie & KRITIS-G

Kritische Infrastrukturen & wichtige Einrichtungen

Frist: 2027 (Schweiz)

Die NIS-2-Richtlinie der EU und das kommende Schweizer KRITIS-G (Bundesgesetz über die Sicherheit kritischer Infrastrukturen) verschärfen die Anforderungen an Cybersicherheit und Meldepflichten erheblich. Auch viele KMU als Zulieferer kritischer Sektoren sind betroffen.

Wichtigste Pflichten

  • Erweiterte Meldepflichten bei Sicherheitsvorfällen (24h/72h)
  • Risikomanagement und Sicherheitsmassnahmen verpflichtend
  • Lieferkettensicherheit: Anforderungen an Zulieferer
  • Persönliche Haftung der Geschäftsleitung
  • Bussgelder bis 10 Mio. EUR oder 2 % des Jahresumsatzes (EU)

Weiterführender Fachartikel

NIS2 und revDSG: Was Schweizer KMU bis 2027 umsetzen müssen

9 Min. LesezeitArtikel lesen
Seit 2023

Revidiertes Datenschutzgesetz

Alle Unternehmen mit Schweizer Kundendaten

Frist: In Kraft seit Sept. 2023

Das revidierte Datenschutzgesetz (revDSG) ist seit September 2023 in Kraft und bringt neue Pflichten für alle Unternehmen, die Personendaten von Schweizer Bürgerinnen und Bürgern bearbeiten. Datenschutz-Folgenabschätzungen, Verzeichnisse der Bearbeitungstätigkeiten und Meldepflichten sind jetzt verbindlich.

Wichtigste Pflichten

  • Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko
  • Verzeichnis der Bearbeitungstätigkeiten (VBT) verpflichtend
  • Meldepflicht bei Datenschutzverletzungen (72 Stunden)
  • Privacy by Design und Privacy by Default
  • Sanktionen bis CHF 250'000 bei Verletzung der Sorgfaltspflicht

Weiterführender Fachartikel

NIS2 und revDSG: Was Schweizer KMU bis 2027 umsetzen müssen

9 Min. LesezeitArtikel lesen

Unser Compliance-Prozess

In sechs strukturierten Schritten begleiten wir Sie von der Bestandsaufnahme bis zum laufenden Monitoring.

01

Bestandsaufnahme

Analyse Ihrer bestehenden IT-Infrastruktur, Datenflüsse und betroffenen Produkte

02

Gap-Analyse

Identifikation von Lücken zwischen aktuellem Stand und den gesetzlichen Anforderungen

03

Massnahmenplan

Priorisierter Umsetzungsfahrplan mit klaren Verantwortlichkeiten und Fristen

04

Umsetzung

Technische und organisatorische Massnahmen mit Unterstützung unserer Experten

05

Dokumentation

Revisionssichere Dokumentation aller Massnahmen für Behörden und Audits

06

Monitoring

Laufende Überwachung und Anpassung an neue regulatorische Anforderungen

Regulatorischer Zeitplan

Sept. 2023✓ Bereits in Kraft

revDSG in Kraft

Das revidierte Datenschutzgesetz gilt für alle Unternehmen mit Schweizer Kundendaten.

Okt. 2024✓ Bereits in Kraft

CRA verabschiedet

Der EU Cyber Resilience Act wurde offiziell im EU-Amtsblatt veröffentlicht.

Sept. 2026

CRA Meldepflichten aktiv

Meldepflichten für aktiv ausgenutzte Schwachstellen treten in Kraft.

2027

NIS-2 / KRITIS-G Schweiz

Schweizer Umsetzung der NIS-2-Anforderungen durch das KRITIS-G erwartet.

Dez. 2027

CRA vollständig anwendbar

Alle CRA-Anforderungen inkl. CE-Kennzeichnung für vernetzte Produkte sind verbindlich.

Alle Compliance-Fachartikel

CRA12 Min. Lesezeit

EU Cyber Resilience Act: Was KMU bei vernetzten Produkten jetzt wissen müssen

Pflichten, Fristen und der 6-Phasen-Fahrplan zur CRA-Compliance bis Dezember 2027.

Artikel lesen
NIS-2 & revDSG9 Min. Lesezeit

NIS2 und revDSG: Was Schweizer KMU bis 2027 umsetzen müssen

Bussgelder, Fristen und konkrete Massnahmen – der vollständige Compliance-Leitfaden für Schweizer KMU.

Artikel lesen
IT-Sicherheit8 Min. Lesezeit

Zero Trust Architektur für KMU: Der Sicherheitsstandard 2026

Wie Zero Trust Ihre IT-Sicherheit grundlegend verbessert – praxisnahe Umsetzung für Schweizer KMU.

Artikel lesen

Jetzt Compliance-Status prüfen

Wissen Sie, welche Regulierungen für Ihr Unternehmen relevant sind? In einem kostenlosen Erstgespräch analysieren wir Ihren aktuellen Compliance-Status und zeigen Ihnen den Weg zur sicheren Umsetzung.