NIS2: das EU-Cybersicherheitsregime für kritische und wichtige Einrichtungen
Dieser Beitrag ordnet die Regulierung faktisch ein und ersetzt keine Rechtsberatung im Einzelfall. Ob und wie NIS2 oder das Schweizer Melderegime eine konkrete Organisation erfasst, hängt von der jeweiligen Konstellation und dem anwendbaren nationalen Recht ab.
Die Richtlinie (EU) 2022/2555, kurz NIS2, ist der zentrale Rechtsrahmen der EU für ein hohes gemeinsames Cybersicherheitsniveau. Sie verpflichtet bestimmte Organisationen in kritischen Sektoren zu Risikomanagement und zur Meldung erheblicher Sicherheitsvorfälle und löst die ältere NIS1-Richtlinie ab. Als EU-Recht bindet NIS2 die Schweiz nicht direkt; ein eigenes Schweizer Melderegime greift hier unabhängig davon.
Worum es geht
NIS2 ist die Nachfolgerin der ersten NIS-Richtlinie aus dem Jahr 2016. Sie verfolgt dasselbe Ziel mit deutlich breiterem Geltungsbereich und schärferen Pflichten: ein hohes, gemeinsames Cybersicherheitsniveau über die Mitgliedstaaten hinweg. Im Kern stehen drei Bausteine, die sich durch die gesamte Richtlinie ziehen: ein definierter Kreis betroffener Einrichtungen, verbindliche Risikomanagement-Massnahmen und eine gestufte Meldepflicht für erhebliche Vorfälle. Diese Seite referiert diese Bausteine faktisch und ordnet ein, was sie für Schweizer Organisationen bedeuten, ohne aus einer EU-Richtlinie Schweizer Recht zu machen.
Geltungsbereich: wesentliche und wichtige Einrichtungen
NIS2 unterscheidet zwei Kategorien betroffener Organisationen. Die Einstufung bestimmt vor allem die Intensität der Aufsicht, weniger die Schutzpflichten selbst, die für beide Kategorien im Kern gleich sind:
- Wesentliche Einrichtungen (essential entities). Organisationen in Sektoren mit besonders hoher Kritikalität, etwa Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, Abwasser und digitale Infrastruktur. Sie unterliegen einer proaktiven Aufsicht.
- Wichtige Einrichtungen (important entities). Organisationen in weiteren kritischen Sektoren, etwa Post- und Kurierdienste, Abfallwirtschaft, Lebensmittel, Chemie sowie Anbieter digitaler Dienste. Sie unterliegen einer reaktiven Aufsicht, also einer Prüfung im Anlassfall.
Massgeblich ist neben dem Sektor in der Regel die Grösse: NIS2 zielt grundsätzlich auf mittlere und grosse Einrichtungen in den erfassten Sektoren. Kleinst- und Kleinunternehmen fallen meist nicht darunter, mit Ausnahmen für besonders kritische Anbieter. Welche Organisation in welche Kategorie fällt, entscheidet die nationale Umsetzung im jeweiligen Mitgliedstaat, nicht die Richtlinie allein.
flowchart TD
A["Organisation in einem<br/>EU-Mitgliedstaat"] --> B{"Sektor im Anhang<br/>der Richtlinie?"}
B -- "Nein" --> X["Nicht von NIS2 erfasst"]
B -- "Ja" --> C{"Mittlere oder<br/>grosse Einrichtung?"}
C -- "Nein" --> D{"Kritische Ausnahme?<br/>(zum Beispiel DNS, TLD, Vertrauensdienst)"}
D -- "Nein" --> X
D -- "Ja" --> E
C -- "Ja" --> E["Erfasst:<br/>Risikomanagement + Meldepflicht"]
E --> F{"Sektor besonders<br/>hoch kritisch?"}
F -- "Ja" --> G["Wesentliche Einrichtung:<br/>proaktive Aufsicht"]
F -- "Nein" --> H["Wichtige Einrichtung:<br/>reaktive Aufsicht"]
Der Entscheidungsbaum bildet die übliche Prüfreihenfolge ab: zuerst der Sektor, dann die Grösse mit den Ausnahmen für besonders kritische Anbieter, schliesslich die Zuordnung zu wesentlicher oder wichtiger Einrichtung. Die genaue Abgrenzung ergibt sich aus dem Richtlinientext und der nationalen Umsetzung, der Baum ist eine Lesehilfe.
Die Pflichten: Risikomanagement und Meldung
Für beide Kategorien gelten im Kern dieselben zwei Pflichtenblöcke.
Risikomanagement-Massnahmen. Betroffene Einrichtungen müssen geeignete und verhältnismässige technische und organisatorische Massnahmen treffen, um die Risiken für ihre Netz- und Informationssysteme zu beherrschen. Die Richtlinie nennt dafür einen Mindestkatalog, der unter anderem Risikoanalyse und Sicherheitskonzepte, Vorfallbehandlung, Aufrechterhaltung des Betriebs und Wiederherstellung, Sicherheit der Lieferkette, Zugriffskontrolle, Kryptografie sowie Konzepte zur Bewertung der Wirksamkeit umfasst. Dieser Katalog deckt sich weitgehend mit dem, was ein Managementsystem nach ISO 27001 leistet; eine bestehende ISO-27001-Zertifizierung erfüllt die NIS2-Pflichten nicht automatisch, schafft aber einen grossen Teil der nötigen Grundlage. Die technische Ausgestaltung, von der Netzsegmentierung bis zur Erkennung, beschreibt die Security-Strategie.
Meldepflicht für erhebliche Vorfälle. NIS2 verlangt eine gestufte Meldung erheblicher Sicherheitsvorfälle an die zuständige nationale Behörde oder das CSIRT. Die Richtlinie selbst setzt in Artikel 23 die gestufte Kadenz: eine erste Frühwarnung innerhalb von 24 Stunden nach Kenntnis vom Vorfall, eine ausführlichere Vorfallmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Die nationale Umsetzung ergänzt die Schwellenwerte und das Verfahren im Detail. Wie eine Organisation einen solchen Vorfall überhaupt erkennt, einordnet und bearbeitet, behandelt die Incident Response.
Eine Besonderheit von NIS2 gegenüber der Vorgängerrichtlinie ist die ausdrückliche Verantwortung der Leitungsorgane: Die Geschäftsleitung muss die Risikomanagement-Massnahmen billigen, ihre Umsetzung überwachen und kann für Verstösse in die Pflicht genommen werden. Cybersicherheit wird damit explizit zur Führungsaufgabe, nicht zur reinen IT-Frage.
Nationale Umsetzung
NIS2 ist eine Richtlinie, kein unmittelbar geltendes Recht. Sie entfaltet ihre Wirkung erst über die Umsetzung in nationales Recht der Mitgliedstaaten. Die Richtlinie setzte dafür eine Umsetzungsfrist bis zum 17. Oktober 2024; ab dem 18. Oktober 2024 wurde die alte NIS1-Richtlinie aufgehoben. In der Praxis verlief die Umsetzung in den Mitgliedstaaten unterschiedlich schnell, sodass das anwendbare Detail vom jeweiligen nationalen Gesetz abhängt, nicht allein vom Richtlinientext. Wer den genauen Pflichtenumfang für einen bestimmten Standort braucht, muss daher auf das nationale Umsetzungsgesetz schauen.
NIS2 steht zudem nicht allein. Für den Finanzsektor verdrängt die spezifischere Verordnung DORA in ihrem Anwendungsbereich die allgemeinen NIS2-Pflichten (lex specialis), und für Produkte mit digitalen Elementen ergänzt der kommende Cyber Resilience Act die Hersteller-Perspektive. Diese Schwesterregelungen werden in eigenen Beiträgen behandelt; im Verhältnis zu NIS2 zählt vor allem, dass sie sich nach dem Prinzip der spezielleren Norm abgrenzen, statt sich zu widersprechen.
Was die Pflicht für die eigene Organisation heisst
Für die meisten betroffenen Organisationen wirkt NIS2 zunächst als Marktanforderung, nicht als unmittelbare Rechtspflicht: am häufigsten kommt sie vertraglich herein, als Teil der Lieferkette einer erfassten EU-Einrichtung, die ihre Lieferanten auf ein entsprechendes Sicherheitsniveau verpflichtet. Hier ist Präzision wichtig, denn die Schweiz ist weder EU- noch EWR-Mitglied: NIS2 ist EU-Recht und gilt in der Schweiz nicht direkt. Eine unmittelbare NIS2-Pflicht entsteht auch nicht schon dadurch, dass eine Leistung in der EU erbracht wird; ob ein Drittlandanbieter direkt erfasst wird, hängt von der nationalen Umsetzung des jeweiligen Mitgliedstaats und von den Zuständigkeitsregeln der Richtlinie für bestimmte grenzüberschreitende Digital- und Dienstekategorien ab.
Davon strikt zu trennen ist das eigene Schweizer Melderegime. Mit der Änderung des Informationssicherheitsgesetzes (ISG) gilt seit dem 1. April 2025 in der Schweiz eine gesetzliche Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Betreiber kritischer Infrastrukturen, etwa in der Energie- und Trinkwasserversorgung oder im Verkehr, müssen einen Cyberangriff innerhalb von 24 Stunden nach Entdeckung dem Bundesamt für Cybersicherheit (BACS, vormals NCSC) melden. Die Sanktionsbestimmungen des ISG sind seit dem 1. Oktober 2025 in Kraft. Dieses Regime ist von NIS2 unabhängig: gleiche Stossrichtung, eigene Rechtsgrundlage, eigene Fristen. Wer Datenflüsse und Systeme bewusst auf souveräne Infrastruktur lenkt, vereinfacht beide Seiten zugleich.
Referenzen
- BACS, vormals NCSC Gesetzliche Grundlagen zur Meldepflicht. Informationssicherheitsgesetz (ISG) und Cybersicherheitsverordnung als Rechtsgrundlage, in Kraft seit 1. April 2025. (15.05.2026). www.ncsc.admin.ch/ncsc/en/home/meldepflicht/gesetzliche-grundlagen-mp.html
- EU-Kommission NIS2 Directive, offizielle Erklärseite. Geltungsbereich, wesentliche und wichtige Einrichtungen, Risikomanagement und Meldung. (20.01.2026). digital-strategy.ec.europa.eu/en/policies/nis2-directive
- BACS, vormals NCSC Sechs Monate Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Bilanz nach einem halben Jahr: 164 Meldungen, 24-Stunden-Frist, Sanktionen ab Oktober 2025. (29.09.2025). www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2025/meldepflicht-6-monate.html
- ENISA NIS2 Directive. Behördliche Erklärseite zur Richtlinie und ihrer Umsetzung. www.enisa.europa.eu/topics/state-of-cybersecurity-in-the-eu/cybersecurity-policies/nis-directive-2
- Richtlinie (EU) 2022/2555 (EUR-Lex) Volltext der NIS2-Richtlinie, massgeblicher Rechtstext. Veröffentlicht im Amtsblatt L 333, in Kraft seit 16. Januar 2023. (27.12.2022). eur-lex.europa.eu/eli/dir/2022/2555/oj
Verwandte Themen
- ISO 27001, das Managementsystem, das den NIS2-Massnahmenkatalog grossteils trägt.
- Security-Strategie, die technische Ausgestaltung der Risikomanagement-Massnahmen.
- Incident Response, das Erkennen und Bearbeiten der meldepflichtigen Vorfälle.
- DORA, die speziellere Regelung für den Finanzsektor.
- Standards, der Überblick über ISO 27001, EU AI Act und weitere Vorgaben.
KI fragen
Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.