NIS2-Anforderungen: Die 10 wichtigsten Massnahmen für Unternehmen

24. Juni 2026
|In Netzwerk, Cloud
|Von FaHe

NIS2 ist kein reines Compliance-Thema und schon gar kein Papierprojekt.

Die Richtlinie verlangt von betroffenen Unternehmen, dass sie Cyberrisiken mit geeigneten und verhältnismässigen technischen, operativen und organisatorischen Massnahmen steuern.
Es geht also nicht darum, hier und da ein paar Security-Massnahmen einzuführen, sondern Sicherheit fest im laufenden Betrieb zu verankern.

Genau deshalb schauen wir uns in diesem Beitrag die 10 wichtigsten Massnahmen an, die Unternehmen im Rahmen von NIS2 auf dem Schirm haben sollten.

Was NIS2 von Unternehmen wirklich erwartet

NIS2 soll das Cybersicherheitsniveau und die Resilienz kritischer Unternehmen sowie zentraler Dienste in der EU spürbar erhöhen. Für betroffene Unternehmen bedeutet das einen risikobasierten Ansatz mit klaren Verantwortlichkeiten: Risiken analysieren, passende Schutzmassnahmen umsetzen, erhebliche Vorfälle erkennen und melden sowie nach Angriffen schnell wieder handlungsfähig sein und das alles nachweisbar im laufenden Betrieb verankert.

Verantwortung der Geschäftsleitung: Security ist Chefsache

Ein oft unterschätzter Aspekt von NIS2 ist die explizite Verantwortung der Unternehmensführung. Die Richtlinie adressiert Geschäftsleitung und Verwaltungsrat direkt: Sie müssen Cybersicherheitsmassnahmen genehmigen, deren Umsetzung überwachen und an entsprechenden Schulungen teilnehmen.

Das bedeutet in der Praxis: Cyberrisiken sind Unternehmensrisiken und keine reinen IT-Themen. Entsprechend gehören sie auf die Agenda der Unternehmensführung. Bei Verstössen können Mitglieder von Geschäftsleitung und Verwaltungsrat persönlich haftbar gemacht werden. Security-Budgets, Strategien und Massnahmen erfordern eine aktive Steuerung von oben und dürfen nicht ausschliesslich an die IT delegiert werden. Auch eine regelmässige Berichterstattung zur Sicherheitslage auf C-Level-Stufe ist kein Nice-to-have, sondern eine Pflicht.

Gerade für Schweizer Unternehmen, in denen strategische Entscheidungen häufig auf Verwaltungsratsebene getroffen werden, ist die Übersetzung regulatorischer Anforderungen in konkrete Governance-Verantwortung von zentraler Bedeutung.

Was bedeutet NIS2 für Schweizer Unternehmen?

NIS2 ist eine EU-Richtlinie und gilt nicht direkt in der Schweiz. Dennoch sind Schweizer Unternehmen in vielen Fällen indirekt betroffen und sollten das Thema ernst nehmen.

Wann ist die Schweiz relevant?

Schweizer Unternehmen, die EU-Kunden bedienen oder Teil einer EU-Lieferkette sind, können durch die Anforderungen von NIS2 an die Lieferkettensicherheit indirekt in die Pflicht genommen werden. EU-Auftraggeber werden entsprechende Sicherheitsanforderungen zunehmend an ihre Schweizer Lieferanten weitergeben und vertraglich festschreiben.

Parallelen im Schweizer Recht

Das revidierte Datenschutzgesetz (revDSG) stellt ähnliche Anforderungen an technische und organisatorische Massnahmen sowie Meldepflichten bei Datenschutzverletzungen. FINMA-Rundschreiben, insbesondere zu IKT- und Cyberrisiken, adressieren für Finanzinstitute vergleichbare Governance- und Resilienzanforderungen. Die Minimalstandards des BACS (Bundesamt für Cybersicherheit) für kritische Infrastrukturen decken sich inhaltlich weitgehend mit den NIS2-Massnahmen. Zudem ist die gesetzliche Meldepflicht gegenüber dem BACS bei Cyberangriffen auf kritische Infrastrukturen seit April 2025 in Kraft.

Wer die NIS2-Massnahmen umsetzt, erfüllt damit zu einem grossen Teil auch die Schweizer Anforderungen und positioniert sich gleichzeitig als verlässlicher Partner für EU-Kunden.

Wo anfangen? Quick Wins vs. strategische Massnahmen

Bevor wir die 10 Massnahmen im Detail betrachten, lohnt sich eine Priorisierung. Nicht alles lässt sich gleichzeitig umsetzen.

Minimum Baseline, diese fünf Punkte sollten zuerst stehen:

  1. Asset Inventory: Wer nicht weiss, was er hat, kann es nicht schützen.
  2. MFA: Einer der wirksamsten Quick Wins gegen Kontoübernahmen.
  3. Logging & Monitoring: Ohne Sichtbarkeit gibt es keine Erkennung.
  4. Incident Response: Prozesse und Meldewege müssen vor dem Ernstfall definiert sein.
  5. Backup & Recovery: Der letzte Schutzwall gegen Ransomware und schwerwiegende Ausfälle.

10 zentrale Massnahmen im Überblick

Risikoanalyse und Risikomanagement

Ohne vernünftige Risikoanalyse wird NIS2 schnell zum Blindflug. Unternehmen müssen verstehen, welche Systeme, Prozesse, Dienste und Daten wirklich kritisch sind, welche Ausfälle oder Angriffe realistisch sind und wo die grössten Risiken liegen.

Dazu gehören eine saubere Inventarisierung kritischer Systeme, Anwendungen, Dienste und Datenflüsse, idealerweise abgebildet in einer CMDB (Configuration Management Database) oder einem CAASM-Tool (Cyber Asset Attack Surface Management), eine Bewertung von Eintrittswahrscheinlichkeit und möglicher Auswirkung sowie konkrete technische, operative und organisatorische Massnahmen, die auf die grössten Risiken einzahlen.

Diese Grundlage entscheidet später darüber, wie sinnvoll und wirksam die restlichen Massnahmen überhaupt sind.

Incident Management und Meldewege

Wenn ein Sicherheitsvorfall eintritt, muss klar sein, wer wann welche Aufgaben übernimmt. NIS2 verlangt, dass Unternehmen Vorfälle erkennen, bewerten und behandeln sowie erhebliche Vorfälle fristgerecht an die zuständige Behörde oder das zuständige CSIRT (Computer Security Incident Response Team) melden können.

Dazu braucht es klare Rollen und Zuständigkeiten, beispielsweise feste Ansprechpartner oder einen Incident Manager. Ebenso erforderlich sind eindeutige Meldewege intern, gegenüber dem Management und nach aussen zu den zuständigen Stellen. Auch Eskalationsprozesse sollten definiert und regelmässig getestet werden, etwa durch Tabletop-Übungen oder Incident-Simulationen. Zudem müssen Unternehmen in der Lage sein, die vorgegebenen Fristen einzuhalten: eine Frühwarnung innerhalb von 24 Stunden, eine Meldung innerhalb von 72 Stunden sowie einen Abschlussbericht innerhalb eines Monats. Dauert der Vorfall zu diesem Zeitpunkt noch an, ist stattdessen ein Fortschrittsbericht einzureichen.

Gute Incident-Prozesse sparen im Ernstfall Zeit, Nerven und Diskussionen mit den Aufsichtsbehörden.

Business Continuity und Wiederherstellung

Security endet nicht bei der Abwehr, sondern zeigt sich vor allem dann, wenn etwas schiefläuft. NIS2 erwartet, dass Unternehmen auch nach einem Angriff oder einer schwerwiegenden Störung arbeitsfähig bleiben oder den Betrieb schnell wiederherstellen können.

Wichtig sind dabei regelmässig erstellte und getestete Backups für kritische Systeme und Daten, einschliesslich Offsite- oder Immutable-Backup-Konzepten. Ebenso erforderlich sind dokumentierte Notfallpläne, Runbooks und Wiederherstellungsprozesse sowie klar definierte Ziele für die Wiederanlaufzeit und den maximal tolerierbaren Datenverlust (RTO und RPO).

Entscheidend ist nicht, ob ein Plan irgendwo abgelegt ist, sondern ob er im Ernstfall tatsächlich funktioniert.

Sicherheit der Lieferkette

Viele Angriffe erfolgen heute nicht direkt, sondern über Dienstleister, Software-Lieferanten, Cloud-Plattformen oder externe Zugänge. Genau deshalb verlangt NIS2, Risiken in der Lieferkette systematisch zu betrachten.

In der Praxis bedeutet das: kritische Lieferanten und Partner identifizieren und über strukturierte Third-Party-Risk-Assessments bewerten. Zudem sollten Sicherheitsanforderungen, etwa zu Patches, Zugriffsrechten und Vorfallmeldungen, vertraglich festgehalten sowie regelmässig überprüft werden, um sicherzustellen, dass die vereinbarten Standards eingehalten werden.

Gerade bei Cloud- und Plattformanbietern lohnt sich ein zweiter Blick.

Sichere Beschaffung, Entwicklung und Wartung

Security sollte nicht erst starten, wenn ein System schon produktiv ist. NIS2 fordert sichere Prozesse für Beschaffung, Entwicklung, Wartung, Updates und Änderungen von Netzwerk- und Informationssystemen.

Konkret heisst das: Software, Plattformen und Dienstleister schon vor Einkauf oder Rollout bewerten, Patch- und Update-Management sauber aufsetzen und mit Schwachstellenmanagement verbinden sowie Änderungen kontrolliert durchführen, damit Produktivsysteme nicht unbemerkt unsicher werden.

So entsteht Security nicht punktuell, sondern über den gesamten Lebenszyklus hinweg.

Wirksamkeitsprüfung der Massnahmen

NIS2 will keine Security, die nur auf Folien gut aussieht. Unternehmen müssen belegen können, dass ihre Massnahmen tatsächlich wirken und bei Bedarf nachgebessert werden.

Dazu gehören regelmässige Reviews und Audits, Penetrationstests, Vulnerability Scans oder vergleichbare technische Prüfungen sowie eine ordentliche Dokumentation mit nachvollziehbarer Nachverfolgung offener Punkte.

Wer regelmässig testet, findet Lücken früher und verbessert die Sicherheitsarchitektur laufend weiter.

Cyberhygiene, Awareness und Schulungen

Technik allein reicht nicht. NIS2 nennt grundlegende Cyberhygiene, Security Awareness und Schulungen ausdrücklich als Bestandteile wirksamer Sicherheitsmassnahmen und bezieht dabei auch das Management ausdrücklich mit ein.

Sinnvoll sind hier kurze, regelmässige Schulungen statt einmaliger Pflichtveranstaltungen, praxisnahe Beispiele zu Phishing, Social Engineering und dem sicheren Umgang mit Zugängen, klare Regeln für Passwörter, Daten, Endgeräte und Meldewege sowie wiederkehrende Sensibilisierung auf allen Ebenen, bis hin zu Geschäftsleitung und Verwaltungsrat.

So wird Security eher zu einem Teil der Unternehmenskultur als zu einem reinen Compliance-Häkchen.

Zugriffskontrolle, Berechtigungen und Asset Management

Nicht jeder benötigt Zugriff auf alles, und nicht jedes Konto sollte dauerhaft weitreichende Berechtigungen besitzen. NIS2 verlangt, dass Zugriffe kontrolliert, nachvollziehbar und auf das notwendige Mass beschränkt werden.

Wichtige Massnahmen sind rollenbasierte Berechtigungen statt All-Access-Konten, regelmässige Access Reviews entlang der Joiner-Mover-Leaver-Prozesse, damit ausgeschiedene oder wechselnde Mitarbeitende keine überflüssigen Berechtigungen behalten, der Schutz privilegierter Konten durch PAM- oder Just-in-Time-Konzepte sowie gepflegte Asset-Übersichten mithilfe einer CMDB oder CAASM als Grundlage für Schutz, Monitoring und Incident Response.

Dadurch lassen sich Missbrauch, Fehlkonfigurationen und unnötige Rechteanhäufungen deutlich reduzieren.

Mehrfaktor-Authentifizierung und sichere Authentisierung

MFA gehört heute zu den wirksamsten Massnahmen gegen unbefugte Zugriffe. Die NIS2-Richtlinie nennt Mehrfaktor-Authentifizierung ausdrücklich als relevante Massnahme, und der Standard sollte dabei hoch angesetzt werden. Empfehlenswert sind phishing-resistente Verfahren wie FIDO2 oder Passkeys, die im Gegensatz zu klassischen OTP-Lösungen auch vor fortgeschrittenen Angriffen wie Adversary-in-the-Middle-Phishing schützen. Das gilt insbesondere für Admin-Konten, Remote Access, E-Mail und Cloud-Dienste. Wichtig sind zudem eine gute Integration in bestehende IAM-Lösungen sowie eine begleitende Kommunikation und Schulung, damit die Einführung reibungslos gelingt.

Das senkt das Risiko kompromittierter Benutzerkonten spürbar.

Kryptografie, sichere Kommunikation und Monitoring

NIS2 fokussiert sich nicht nur auf den Schutz von Systemen und Daten, sondern auch auf die frühzeitige Erkennung von Sicherheitsvorfällen. Dazu gehören kryptografische Verfahren, sichere Kommunikationslösungen sowie die kontinuierliche Überwachung sicherheitsrelevanter Ereignisse.

Wichtige Bausteine sind die Verschlüsselung sensibler Daten bei Übertragung und Speicherung, sichere Sprach-, Video- und Textkommunikation für schutzbedürftige Prozesse, zentrale Protokollierung und Auswertung relevanter Logs über ein SIEM oder XDR, idealerweise eingebettet in einen SOC-Betrieb, sowie die Alarmierung bei verdächtigen Mustern, beispielsweise bei Brute-Force-Versuchen oder ungewöhnlichen Anmeldungen.

So entsteht ein deutlich besseres Lagebild hinsichtlich aktueller Bedrohungen und der eigenen Reaktionsfähigkeit.

Typische Fehler bei der Umsetzung

In der Praxis sieht man immer wieder dieselben Stolperfallen. Ein häufiger Fehler besteht darin, NIS2 als reines Dokumentationsprojekt zu behandeln, statt tatsächliche Sicherheitsverbesserungen umzusetzen. Genauso problematisch ist es, Massnahmen zwar technisch einzuführen, sie aber nicht dauerhaft in Prozesse, Verantwortlichkeiten, Governance-Strukturen und Schulungen einzubetten. Oft wird zudem übersehen, dass die Verantwortung nicht allein bei der IT liegt, sondern ausdrücklich auch beim Management und dass bei Verstössen sogar eine persönliche Haftung drohen kann.

Unternehmen, die NIS2 als Chance zur nachhaltigen Erhöhung ihrer Sicherheitsreife verstehen, profitieren langfristig von mehr Stabilität, Vertrauen und Resilienz.

Fazit

NIS2 ist kein einmaliges Projekt, das man abhakt und dann vergisst. Die Richtlinie ist ein klarer Impuls, Cybersicherheit strukturiert, risikobasiert und dauerhaft zu verbessern und die Verantwortung dafür auf Unternehmensführungsebene zu verankern.

Die 10 genannten Massnahmen bieten dafür einen guten, praxisnahen Rahmen. Schweizer Unternehmen sollten dabei nicht warten, bis NIS2 formal für sie gilt: Wer EU-Kunden bedient oder Teil europäischer Lieferketten ist, wird die Anforderungen früher oder später spüren und ist gut beraten, das Thema proaktiv anzugehen.

Unternehmen profitieren bei der Umsetzung von NIS2 besonders dann, wenn regulatorische Anforderungen nicht isoliert betrachtet, sondern in bestehende Sicherheits-, Betriebs- und Governance-Prozesse integriert werden. Entscheidend ist dabei ein praxisnaher Ansatz, der technische Schutzmassnahmen, klare Verantwortlichkeiten, Incident Readiness und kontinuierliche Verbesserung miteinander verbindet. Genau hier unterstützt AVANTEC mit Erfahrung aus Security-Architektur, Detection & Response, Cloud- und Infrastruktur-Security sowie der operativen Umsetzung nachhaltiger Sicherheitsmassnahmen. So entsteht nicht nur Compliance auf dem Papier, sondern ein Sicherheitsniveau, das auch im operativen Alltag trägt.

Weiterführende Links:

Security Assurance Services – AVANTEC
Managed Security Services – massgeschneiderte Betriebsunterstützung
Cyber Defense Center – AVANTEC
Cyberkrisen meistern – mit den richtigen Strukturen erfolgreich handeln (Teil 1) – Tec-Bite
Cyberkrisen meistern – mit den richtigen Strukturen erfolgreich handeln (Teil 2) – Tec-Bite
Disaster Recovery Plan mit Zscaler: Ein moderner Ansatz zur Sicherung der Geschäftskontinuität Teil 1 – Tec-Bite
Disaster Recovery Plan mit Zscaler: Ein moderner Ansatz zur Sicherung der Geschäftskontinuität Teil 2 – Tec-Bite

FaHe

FaHe arbeitet als Pre-Sales Engineer bei Avantec und unterstützt das Team primär in Deutschland als gern bezeichnetes „technisches Gewissen“. Mit seiner fundierten Erfahrung aus der Vergangenheit als Security Systems Engineer bringt er tiefgehendes Fachwissen und umfassende Praxiserfahrung mit. Abseits des Berufs ist FaHe ein leidenschaftlicher Weltenentdecker – er reist gerne, entdeckt fremde Kulturen, neue Orte und spannende Perspektiven jenseits des Alltags.

Kommentieren

Neue Beiträge

Kategorien

Archiv

Kontakt

AVANTEC AG
Heinrichstrasse 267
8005 Zürich
Schweiz

Tel. +41 44 457 13 13
E-Mail: info@tec-bite.ch

© 2026 AVANTEC AG

ÜBER TEC-BITE    DATENSCHUTZ    IMPRESSUM

Privacy Preference Center

Privacy Preferences