Die NIS2-Richtlinie (Network and Information Security Directive 2) stellt eine wichtige Weiterentwicklung der ursprünglichen NIS-Richtlinie der Europäischen Union dar. Mit dem Ziel, die Cybersicherheit in kritischen Sektoren zu stärken, bringt sie für betroffene Unternehmen neue Verpflichtungen mit sich. Diese umfassen erweiterte Sicherheitsmassnahmen und die Notwendigkeit, ein umfassendes Sicherheitsbewusstsein unter den Mitarbeitenden zu etablieren.
EXKURS: NIS2-Umsetzung in Deutschland
Wer ist betroffen?
- Besonders wichtige Einrichtungen (ca. 8’250 Unternehmen): Grossunternehmen (≥250 Mitarbeiter oder >50 Mio. EUR Umsatz) in kritischen Sektoren wie Energie, Verkehr, Gesundheit; sowie unabhängig von der Grösse: Betreiber kritischer Anlagen (KRITIS), qualifizierte Vertrauensdienste, DNS-Dienste
- Wichtige Einrichtungen (ca. 21’600 Unternehmen): Mittlere Unternehmen (≥50 Mitarbeiter oder >10 Mio. EUR Umsatz) in kritischen Sektoren sowie Unternehmen in zusätzlichen Sektoren wie Post, Chemie, Lebensmittel
- Bundeseinrichtungen: Bundesbehörden und öffentliche IT-Dienstleister der Bundesverwaltung
Aktueller Umsetzungsstand
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde im Juli 2024 im Kabinett beschlossen, konnte aber nicht vor der Bundestagswahl verabschiedet werden. Die Umsetzung wird voraussichtlich erst im Laufe des Jahres 2025 erfolgen.
Bussgelder
- Bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes für besonders wichtige Einrichtungen
- Bis zu 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes für wichtige Einrichtungen
- Gestaffelte niedrigere Bussgelder für spezifische Verstösse
Der Unterschied zwischen den Bussgeldern für besonders wichtige und wichtige Einrichtungen:
Die NIS2-Richtlinie unterscheidet zwischen «wesentlichen» und «wichtigen» Einrichtungen. Besonders wichtige Einrichtungen (entspricht «wesentlichen» Einrichtungen) sind Unternehmen, die in kritischen Sektoren tätig sind und bei denen Sicherheitsvorfälle weitreichende Auswirkungen haben können. Wichtige Einrichtungen umfassen mittlere und Grossunternehmen in weniger kritischen Sektoren. Die Bussgelder für Verstösse sind bei besonders wichtigen Einrichtungen höher, um die grössere Bedeutung und das Risiko zu reflektieren.
Inkrafttreten:
Die Bussgelder für beide Kategorien treten mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes im Laufe von 2025 in Kraft.
EXKURS: Schweizer Regelung für kritische Infrastrukturen
In der Schweiz gilt die NIS2-Richtlinie nicht. Stattdessen hat die Schweiz eigene Regelungen zum Schutz kritischer Infrastrukturen.
Wer ist betroffen?
- Betreiber kritischer Infrastrukturen wie Energieversorgung, Trinkwasserversorgung, Transportunternehmen
- Kantonale und kommunale Verwaltungen
- Die Sektoren ähneln den in der NIS2-Richtlinie definierten Bereichen
Aktueller Stand
Seit 1. April 2025 gilt in der Schweiz eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Betreiber müssen Cyberangriffe innerhalb von 24 Stunden nach ihrer Entdeckung dem Bundesamt für Cybersicherheit (BACS) melden.
Sanktionen
Für die ersten sechs Monate bis zum 1. Oktober 2025 bleibt das Unterlassen von Meldungen sanktionsfrei. Nach dieser Übergangszeit treten Bussenregelungen in Kraft.
TreeSolution unterstützt Unternehmen sowohl in EU-Ländern bei der NIS2-Konformität als auch Schweizer Organisationen bei der Umsetzung der nationalen Anforderungen zum Schutz kritischer Infrastrukturen mit massgeschneiderten Security-Awareness-Lösungen.
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine umfassende Überarbeitung und Erweiterung der ursprünglichen NIS-Richtlinie der Europäischen Union aus dem Jahr 2016. Sie wurde im Dezember 2022 verabschiedet und sollte bis Oktober 2024 in nationales Recht der EU-Mitgliedstaaten umgesetzt werden. Allerdings haben viele Länder diese Frist nicht einhalten können. Die EU-Mitgliedstaaten sind zwar in der Pflicht, NIS2 lokal umzusetzen, der aktuelle Stand variiert jedoch stark. In Deutschland beispielsweise wird das NIS2-Umsetzungsgesetz voraussichtlich erst im Laufe des Jahres 2025 in Kraft treten.
Diese Richtlinie hat den Anwendungsbereich erheblich erweitert und schliesst deutlich mehr Sektoren und Unternehmen ein als die vorherige Version. Sie stellt wesentlich höhere Anforderungen an die Cybersicherheit und definiert strengere Verpflichtungen für betroffene Organisationen, die nach der jeweiligen nationalen Umsetzung verpflichtend umzusetzen sind.
Die Richtlinie betrifft Unternehmen in kritischen Sektoren, die eine bestimmte Grösse und Bedeutung haben. Die genauen Kriterien variieren je nach Sektor und nationalem Recht.
Ein zentrales Element der NIS2-Richtlinie ist die verbesserte Zusammenarbeit zwischen den EU-Mitgliedstaaten, die bereits zu einer Stärkung der gesamteuropäischen Widerstandsfähigkeit gegen Cyberangriffe beiträgt. Der intensivierte Informationsaustausch und koordinierte Reaktionen auf Cybervorfälle zeigen erste positive Wirkungen in der Praxis.
Ein mittelständischer Energieversorger muss unter den neuen Regulierungen:
Die Geschäftsführung trägt persönliche Verantwortung für die Einhaltung und muss angemessene Ressourcen bereitstellen. Bei Nichteinhaltung drohen empfindliche Geldstrafen.
Die NIS2-Richtlinie stellt einen bedeutenden Schritt zur Stärkung der Cybersicherheit in Europa dar und erfordert von Unternehmen kontinuierliche Investitionen in Sicherheitsmassnahmen und Mitarbeiterschulungen.
Die NIS2-Richtlinie hat den Anwendungsbereich im Vergleich zur ursprünglichen Richtlinie erheblich erweitert. Dies spiegelt die zunehmende Digitalisierung und Vernetzung nahezu aller Wirtschaftsbereiche wider und reagiert auf die Erkenntnis, dass Cyberangriffe immer häufiger auf vormals weniger beachtete Sektoren abzielen.
Die Richtlinie unterscheidet zwischen «wesentlichen» und «wichtigen» Einrichtungen, wobei für erstere strengere Auflagen gelten. Die Einstufung erfolgt basierend auf der Kritikalität des Sektors, der Unternehmensgrösse und der potenziellen Auswirkung von Störfällen auf die Gesellschaft und Wirtschaft.
Besonders hervorzuheben ist, dass die NIS2-Richtlinie auch mittelgrosse Unternehmen in diesen Sektoren einschliesst, während die ursprüngliche NIS-Richtlinie hauptsächlich auf grosse Organisationen abzielte. Dies unterstreicht die Erkenntnis, dass Sicherheitslücken in kleineren Einrichtungen ebenfalls erhebliche Auswirkungen auf die gesamte Wertschöpfungskette haben können.
Für betroffene Unternehmen ergeben sich folgende zentrale Anforderungen:
Risikomanagement
Die Implementierung umfassender Risikomanagementpraktiken ist nun verpflichtend. Organisationen müssen systematisch Cyberrisiken identifizieren, bewerten und minimieren. Ein strukturierter Risikomanagementprozess bildet hierfür die Grundlage und ermöglicht kontinuierliche Anpassungen an neue Bedrohungen.
Die Richtlinie erfordert die Meldung von Sicherheitsvorfällen an Behörden innerhalb von 24 Stunden, mit detaillierteren Folgeberichten. Automatisierte Incident-Response-Prozesse sind hierfür unerlässlich.
Die kontinuierliche Überwachung der IT-Sicherheit und regelmässige Audits sind entscheidend, um die Wirksamkeit der implementierten Massnahmen sicherzustellen. NIS2 fordert explizit einen Nachweis der Effektivität von Sicherheitsmassnahmen.
Regelmässige Schulungen und Sensibilisierungsmassnahmen für Mitarbeitende sind ein zentraler Bestandteil der NIS2-Anforderungen. Diese Massnahmen müssen nachweisbar das Sicherheitsbewusstsein in der Organisation erhöhen. In diesem Bereich bietet TreeSolution besondere Expertise mit der Security Awareness Akademie, die massgeschneiderte, interaktive Schulungsprogramme für alle Mitarbeiterebenen bereitstellt und den Erfolg der Sensibilisierungsmassnahmen messbar macht. Für kleine und mittlere Unternehmen steht die Cyber Security Lernreise zur Verfügung, eine vollautomatische Schulungsmöglichkeit die die Zeit von IT-Verantwortlichen wie von Mitarbeitenden nur minimal beansprucht.
Eine neue, wichtige Anforderung der NIS2 ist die Sicherstellung der Cybersicherheit in der gesamten Lieferkette. Organisationen müssen die Sicherheitsmassnahmen ihrer Zulieferer bewerten und entsprechende vertragliche Vereinbarungen treffen.
Die Umsetzung dieser Anforderungen bedeutet für viele Unternehmen eine erhebliche Herausforderung. Integrierte Lösungsansätze können dabei helfen, die verschiedenen Anforderungen koordiniert und effizient zu erfüllen und bieten gleichzeitig die nötige Dokumentation für Aufsichtsbehörden.
Eine der herausforderndsten, aber zugleich entscheidenden Anforderungen der NIS2-Richtlinie ist die Notwendigkeit, die Wirksamkeit der implementierten Sicherheitsmassnahmen nicht nur umzusetzen, sondern auch nachweisbar zu messen und zu dokumentieren. Aufsichtsbehörden verlangen zunehmend quantifizierbare Beweise dafür, dass Sicherheitsmassnahmen tatsächlich das Sicherheitsniveau verbessern und nicht nur formal implementiert wurden.
Besonders im Bereich der Security Awareness stehen Unternehmen vor der Herausforderung, den Erfolg ihrer Schulungs- und Sensibilisierungsmassnahmen objektiv zu belegen. Die reine Durchführung von Schulungen oder das Bereitstellen von Informationsmaterial genügt nicht mehr den regulatorischen Anforderungen. Stattdessen müssen Organisationen nachweisen können, dass diese Massnahmen das Sicherheitsverhalten der Mitarbeitenden tatsächlich positiv beeinflussen.
Der Security Awareness Radar (SAR) von TreeSolution bietet hier eine wissenschaftlich fundierte Lösung. Dieses Messinstrument erfasst präzise das tatsächliche Sicherheitsbewusstsein und -verhalten in der Organisation und liefert quantifizierbare Ergebnisse, die den strengen NIS2-Nachweispflichten standhalten. Mit dem SAR können Unternehmen:
Diese evidenzbasierte Herangehensweise ermöglicht nicht nur die Erfüllung der NIS2-Anforderungen, sondern bietet auch einen klaren Wettbewerbsvorteil: Unternehmen können ihre Ressourcen gezielt für die wirksamsten Sicherheitsmassnahmen einsetzen und kontinuierliche Verbesserungen durch wiederholte Messungen belegen.
In Audits und bei behördlichen Prüfungen wird die Fähigkeit, die Wirksamkeit von Sicherheitsmassnahmen nachzuweisen, zu einem entscheidenden Faktor. Der SAR liefert genau die Art von evidenzbasierten Daten, die Aufsichtsbehörden zunehmend erwarten.
TreeSolution bietet als Pionier der Security Awareness seit 2005 eine umfassende Suite an Dienstleistungen, die speziell auf die Anforderungen der NIS2-Richtlinie zugeschnitten sind:
Detaillierte Analyse des aktuellen Sicherheitsbewusstseins Ihrer Mitarbeitenden zur Identifikation von Schwachstellen und Handlungsbedarf. Unsere Messungen haben dazu geführt, dass in über 50% der Fälle zusätzliche Budgets für Cybersicherheit bereitgestellt wurden.
Entwicklung einer massgeschneiderten Strategie zur Sensibilisierung und Schulung Ihrer Mitarbeitenden, abgestimmt auf Ihre Unternehmenskultur für schnellere und effizientere Ergebnisse.
Interaktive und gamifizierte Lernmöglichkeiten, die das Sicherheitsbewusstsein nachhaltig stärken und für ein besseres Engagement sorgen.
Regelmässige Phishing-Simulationen, um Ihre Mitarbeitenden auf reale Angriffe vorzubereiten und sicherheitsbewusstes Verhalten zu fördern.
Detaillierte Berichte und Analysen, um den Fortschritt zu messen und Ihre Sicherheitsstrategie kontinuierlich zu verbessern – für eine nachhaltige Security Awareness.
Mit der steigenden Bedrohung durch Cyberkriminalität und den wachsenden regulatorischen Anforderungen wie der NIS2-Richtlinie wird eine nachhaltige Security Awareness immer wichtiger. Die Sensibilisierung und Schulung von Mitarbeitenden ist nicht nur eine Pflichtübung zur Erfüllung gesetzlicher Vorgaben, sondern ein entscheidender Erfolgsfaktor für den Schutz Ihres Unternehmens.
Ein strategischer Ansatz zur Awareness-Steigerung führt nachweislich zu messbaren Verbesserungen der Sicherheitslage: mehr sicherheitsbewusste Mitarbeitende, weniger erfolgreiche Angriffe und eine robustere Abwehr gegen Social-Engineering-Methoden wie Phishing. Solche Ergebnisse unterstützen nicht nur die Erfüllung der NIS2-Anforderungen, sondern stärken langfristig die Widerstandsfähigkeit Ihres Unternehmens gegen digitale Bedrohungen.
Der praxiserprobte TreeSolution-Ansatz kombiniert präzise Analyse, passgenaue Awareness-Strategien und kontinuierliche Erfolgsmessung. Unsere Security-Experten unterstützen Sie dabei, regulatorische Anforderungen zu erfüllen und gleichzeitig eine positive Sicherheitskultur in Ihrem Unternehmen zu etablieren – ein entscheidender Wettbewerbsvorteil in Zeiten wachsender Cyberbedrohungen.
Investieren Sie jetzt in Ihre Security Awareness und machen Sie Ihre Mitarbeitenden zu aktiven Sicherheits-Botschaftern. Vereinbaren Sie einen Termin für eine kostenlose Online-Beratung und erfahren Sie, wie TreeSolution Sie bei der effizienten Umsetzung der NIS2-Richtlinie unterstützen kann – für eine sichere Zukunft Ihres Unternehmens.
Formular, E-Mail, Telefon
Sie können ein kurzes Formular ausfüllen oder uns eine E‑Mail schicken. Wir melden uns innerhalb von zwei Werktagen bei Ihnen. Sie können uns auch direkt anrufen. Klicken Sie auf «Kontakt» und Sie erhalten alle notwendigen Kontaktdaten.
