Während Deutschland mit dem KRITIS-Dachgesetz und dem NIS2-Umsetzungsgesetz ringt, hat die Schweiz seit April 2025 ihre eigene Realität geschaffen: 24-Stunden-Meldepflicht, Bussen bis 100.000 Franken, neun kritische Sektoren. Doch die EU-Regulierung greift trotzdem durch – über Tochtergesellschaften, Lieferketten und Vertragsklauseln. Eine Auslegeordnung für Schweizer Unternehmen, die wissen wollen, woran sie 2026 wirklich sind.
Die wichtigste Klarstellung zuerst
Ein «KRITIS-Gesetz» im engeren Sinne existiert in der Schweiz nicht. Der Begriff stammt aus Deutschland, wo das KRITIS-Dachgesetz im Frühjahr 2026 in Kraft tritt und Betreiber kritischer Anlagen bis spätestens 17. Juli 2026 zur Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) verpflichtet. Wer in der Schweiz von «KRITIS» spricht, meint meist eines von zwei Dingen: das deutsche Gesetz oder – meistens unscharf – die Regelungen für kritische Infrastrukturen, die in der Schweiz im Informationssicherheitsgesetz (ISG) und seinen Verordnungen verankert sind.
Diese Unterscheidung ist nicht akademisch. Wer ein Schweizer Unternehmen führt und glaubt, sich an einem deutschen «KRITIS-G» orientieren zu müssen, läuft Gefahr, an der Schweizer Rechtswirklichkeit vorbeizuplanen. Und wer umgekehrt das Schweizer ISG für ausreichend hält, übersieht, dass die EU-NIS2-Richtlinie längst durch die Lieferkette in die Schweiz hineinreicht.
Was im April 2025 tatsächlich passiert ist
Seit dem 1. April 2025 sind Betreiber kritischer Infrastrukturen in der Schweiz verpflichtet, schwerwiegende Cyberangriffe innerhalb von 24 Stunden nach Entdeckung dem Bundesamt für Cybersicherheit (BACS) zu melden. Diese Pflicht ist im revidierten ISG verankert und wird durch die ebenfalls am 1. April 2025 in Kraft getretene Cybersicherheitsverordnung (CSV) konkretisiert.
Das BACS hat in den ersten sechs Monaten nach Inkrafttreten 164 Cyberangriffe registriert. Ungefähr die Hälfte davon entfiel auf DDoS-Attacken, Hacking-Vorfälle und Ransomware-Angriffe. Die Sanktionsbestimmungen folgten gestaffelt: Die Artikel 74g und 74h ISG, die Bussen bis 100’000 Franken vorsehen, traten erst am 1. Oktober 2025 in Kraft.
Eine wichtige Nuance: Das BACS verhängt eine Busse nicht automatisch bei einer unterlassenen Meldung. Erst wenn das Amt eine entsprechende Verfügung erlässt und das Unternehmen dieser Verfügung nicht nachkommt, wird die Busse fällig. In der Praxis bedeutet das: Es gibt einen Zwischenschritt, in dem nachgemeldet werden kann. Wer aber systematisch Meldungen unterlässt oder verschleiert, riskiert die volle Sanktion.
Wer überhaupt meldepflichtig ist
Das ISG definiert neun Sektoren kritischer Infrastrukturen, die weiter in 27 Teilsektoren unterteilt sind. Zu den Hauptsektoren zählen Energie (Strom, Gas, Öl), Trinkwasserversorgung, Verkehr, Gesundheit (insbesondere Listenspitäler), Finanz- und Versicherungswesen, öffentliche Verwaltung von Bund, Kantonen und Gemeinden sowie digitale Dienste wie Cloud-Anbieter und Rechenzentren.
Für die Praxis entscheidend sind die in der CSV festgelegten sektorspezifischen Schwellenwerte. Ein kleiner Energieversorger mit lokaler Bedeutung fällt typischerweise nicht unter die Meldepflicht, ein interkantonal tätiger Stromnetzbetreiber sehr wohl. Die Detailregelungen sind sektorspezifisch und verlangen eine individuelle Prüfung, ob ein Unternehmen erfasst ist.
Wichtig ist auch, was nicht meldepflichtig ist: Cyberangriffe, die nur geringe Auswirkungen auf die öffentliche Ordnung, die Sicherheit, das Wohlergehen der Bevölkerung oder das Funktionieren der Wirtschaft haben, sind explizit von der Meldepflicht ausgenommen. Diese „Bagatellklausel» vermeidet, dass das BACS mit Routinevorfällen geflutet wird – verlangt von den Unternehmen aber eine eigene Einschätzung der Schwere, was im Krisenmoment heikel sein kann.
Wie die Meldung praktisch funktioniert
Die Meldung erfolgt über die Online-Plattform Cyber Security Hub (CSH) des BACS, alternativ per E-Mail. Der entscheidende Punkt für Unternehmen, die das in der Praxis durchexerzieren müssen: Die 24-Stunden-Frist beginnt mit der Entdeckung des Angriffs, nicht mit dessen Beginn. Das verschafft etwas Spielraum, verlangt aber, dass „Entdeckung» sauber dokumentiert wird – wann hat wer welche Information erhalten, und wann wurde diese als sicherheitsrelevant eingestuft.
In der Praxis ist genau dieser Moment der schwierigste. Wenn die Ransomware zuschlägt, herrscht Krisenmodus: Die IT-Abteilung versucht zu verstehen, was passiert ist, externe Forensiker werden mobilisiert, die Geschäftsleitung wird eingebunden, Kunden müssen informiert werden. In diesem Chaos noch eine fristgerechte und formell korrekte Meldung an den Bund vorzubereiten, überfordert Organisationen, die ihre Incident-Response-Prozesse nicht im Voraus glasklar definiert haben. Wer keinen vordefinierten Eskalationspfad und keine Meldetemplates hat, verliert wertvolle Stunden.
Eine zweite Falle: Die Meldepflicht an das BACS ersetzt nicht andere Meldepflichten. Bei Datenschutzverletzungen bleibt die Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bestehen. Für Banken und Versicherer gelten zusätzlich die Meldepflichten der FINMA. Das BACS erlaubt zwar eine Weiterleitung an den EDÖB über die CSH-Plattform, aber die Verantwortung für die korrekte Mehrfachmeldung liegt beim Unternehmen.
NIS2: Warum die EU-Regulierung trotzdem Schweizer Unternehmen trifft
Die Schweiz ist nicht direkt an die NIS2-Richtlinie gebunden. Trotzdem entfaltet die Richtlinie auch in der Schweiz Wirkung, und zwar auf drei Wegen. Erstens betreffen die nationalen NIS2-Umsetzungsgesetze direkt alle Tochtergesellschaften Schweizer Konzerne in den jeweiligen EU-Mitgliedstaaten. Zweitens können Schweizer Unternehmen, die digitale Dienste wie Cloud-Computing, DNS oder Managed Services im EU-Raum erbringen, unabhängig von ihrem Firmensitz unter den Anwendungsbereich fallen. Drittens – und das ist der für die meisten Schweizer KMU relevanteste Punkt – greift NIS2 über die Lieferkette: EU-Unternehmen müssen die Cybersicherheit ihrer gesamten Lieferkette gewährleisten und geben die NIS2-Anforderungen über Vertragsklauseln, Audit-Rechte und Incident-Notification-Pflichten an ihre Schweizer Zulieferer weiter.
Das Resultat: NIS2 wird de facto über die Lieferkette in die Schweiz exportiert. Ein Schweizer Maschinenbauer, der für einen deutschen Automobilkonzern produziert, wird mit hoher Wahrscheinlichkeit aufgefordert, ein ISO-27001-zertifiziertes Informationssicherheits-Managementsystem (ISMS) vorzuweisen, dokumentierte Incident-Response-Prozesse zu unterhalten und regelmässige Penetrationstests nachzuweisen. Wer das nicht kann, verliert Aufträge an Wettbewerber, die compliant sind.
Die deutsche Erfahrung zeigt, wie ernst das Thema genommen wird: Am 6. März 2026 lief in Deutschland die NIS2-Registrierungsfrist ab. Von rund 30’000 als pflichtig geschätzten Einrichtungen hatten sich bis zum Stichtag etwa 11’500 registriert – nur rund ein Drittel. Über 18’000 fehlten. Das BSI hat angekündigt, dass die eigentlichen Konsequenzen jetzt erst beginnen.
Die Sanktionsschere: Schweiz vs. EU
Hier liegt einer der schärfsten Unterschiede zwischen Schweizer und EU-Recht. Das ISG sieht Bussen bis maximal 100’000 Franken vor. Die EU-NIS2-Richtlinie kennt für besonders wichtige Einrichtungen Bussen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Hinzu kommt die persönliche Haftung von Geschäftsleitungsmitgliedern und die Möglichkeit, dass Aufsichtsbehörden Geschäftsführern temporär die Ausübung ihrer Funktion untersagen.
Für ein Schweizer Unternehmen bedeutet das: Wenn die Tochtergesellschaft in Deutschland gegen NIS2 verstösst, schlagen die Sanktionen auf den Konzernumsatz durch – nicht auf den Schweizer ISG-Maßstab. Die Schweizer Compliance-Strategie muss diese Asymmetrie berücksichtigen.
Was gilt für die Schweizer Finanzbranche zusätzlich
Banken und Versicherer in der Schweiz unterliegen nicht nur dem ISG, sondern auch den FINMA-Vorgaben zur operativen Resilienz. Die FINMA hat ihre Anforderungen in den letzten Jahren systematisch ausgebaut, mit einem zunehmenden Fokus auf Drittparteien-Risikomanagement und IKT-Resilienz. Wer als Schweizer Bank Tochtergesellschaften in der EU betreibt oder grenzüberschreitende Dienstleistungen anbietet, steht zusätzlich unter NIS2-Druck.
Die praktische Konsequenz: Für Schweizer Finanzinstitute mit EU-Bezug ist ein dreifacher Compliance-Stack notwendig – FINMA-Rundschreiben, ISG/CSV und NIS2 über die EU-Niederlassungen oder Lieferantenketten. Ein integrierter ISMS-Ansatz nach ISO 27001 ist dabei kein Nice-to-have mehr, sondern die einzige effiziente Möglichkeit, alle drei Regelwerke parallel zu bedienen.
Was Schweizer Unternehmen jetzt konkret tun sollten
Erstens: Betroffenheit klären, nicht annehmen. Viele Unternehmen unterschätzen oder überschätzen ihre Pflichten. Wer nicht klar einschätzen kann, ob das eigene Geschäft unter die ISG-Meldepflicht fällt, ob NIS2 über Tochtergesellschaften greift oder ob Lieferkettenklauseln aktiv sind, sollte eine systematische Betroffenheitsanalyse durchführen – idealerweise mit juristischer Unterstützung, weil die Schwellenwertdefinitionen in der CSV und in den nationalen NIS2-Umsetzungsgesetzen interpretationsbedürftig sind.
Zweitens: Incident-Response-Prozesse vor dem Ernstfall definieren. Die 24-Stunden-Frist des BACS und die 72-Stunden-Frist für den ausführlichen NIS2-Bericht sind nicht im Krisenmoment einhaltbar, wenn die Prozesse nicht vorher dokumentiert sind. Konkret bedeutet das: vordefinierter Eskalationspfad, benannte Verantwortliche, fertige Meldetemplates für CSH und für allfällige zusätzliche Meldungen an EDÖB oder FINMA, eingespielte Kommunikation mit externen Forensikern.
Drittens: ISMS einführen oder aktualisieren. Ein ISMS nach ISO 27001 ist die gemeinsame Basis, die sowohl ISG-Compliance als auch NIS2-Anforderungen abdeckt. Wer das nicht hat, sollte spätestens jetzt mit dem Aufbau beginnen – die Vorlaufzeit für ein zertifizierungsfähiges System liegt typischerweise bei sechs bis zwölf Monaten. Der vom BACS empfohlene IKT-Minimalstandard bietet einen pragmatischen Einstieg für KMU, die noch keinen ISO-Pfad eingeschlagen haben.
Viertens: Geschäftsleitung einbinden. Sowohl ISG als auch NIS2 verlagern die Verantwortung für Cybersicherheit explizit auf die Führungsebene. In der EU mit persönlicher Haftung, in der Schweiz zumindest mit klaren Erwartungen an die Cybersecurity-Governance. Wer Cybersicherheit weiterhin als reines IT-Thema behandelt, ignoriert die regulatorische Realität.
Fünftens: Lieferkette systematisch prüfen. Welche Kunden in der EU verlangen NIS2-Nachweise? Welche Tochtergesellschaften sind direkt registrierungspflichtig? Welche Verträge enthalten bereits Cybersecurity-Klauseln, die schärfer sind als das Schweizer Mindestrecht? Diese Inventur ist die Voraussetzung für jede sinnvolle Compliance-Strategie.
Die strategische Lesart
Schweizer Unternehmen stehen 2026 zwischen zwei Regelwerken: dem nationalen ISG mit Fokus auf kritische Infrastrukturen und Bundesbehörden, und der EU-NIS2-Richtlinie, die über Tochtergesellschaften und Lieferketten ins Land hineinwirkt. Wer nur auf das eine achtet, verliert das andere aus dem Blick.
Die gute Nachricht: Beide Regelwerke ruhen auf demselben Fundament – einem strukturierten Informationssicherheits-Managementsystem, klaren Incident-Response-Prozessen und einer Geschäftsleitung, die Cybersicherheit als unternehmerische Pflicht versteht. Wer diese Basis hat, ist auf beide Welten vorbereitet. Wer sie nicht hat, sollte 2026 nicht weiter abwarten.
Die schlechte Nachricht: Die regulatorische Dichte wird nicht abnehmen. Mit DORA für den Finanzsektor, dem EU Cyber Resilience Act für Hardware- und Softwarehersteller und der laufenden Evaluation des ISG durch den Bund stehen weitere Anforderungen ins Haus. Cybersicherheit wird in den nächsten Jahren systematisch teurer – aber auch systematisch wichtiger als Wettbewerbsfaktor.
Quellen für diesen Artikel: Bundesamt für Cybersicherheit (BACS), Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS), Schweizer Informationssicherheitsgesetz (ISG) und Cybersicherheitsverordnung (CSV), Botschaft des Bundesrates zur ISG-Revision, EU-Richtlinie 2022/2555 (NIS2), nationale Umsetzungsgesetze in Deutschland, Österreich und weiteren EU-Staaten, Veröffentlichungen des deutschen BSI zur NIS2-Registrierung Stand März 2026.
