Cybersicherheit bei den Eidgenossen

Auch die Schweiz hat mit Cyberattacken zu kämpfen, das Land ist international vernetzt, hoch entwickelt, die Wirtschaft ist erfolgreich, die Digitalisierung schreitet voran und die Exposure wächst somit. Und es ist Geld im Land, das lockt natürlich die Cyberkriminellen an.

Das dortige Bundesamt für Cybersicherheit (BACS) beschreibt in seinem Halbjahresbericht 2025 die relevanten Vorfälle und Entwicklungen im Kontext der Cyberbedrohungen gegen die Schweiz und international.

Im ersten Halbjahr 2025 erhielt das BACS 35.727 Meldungen zu Cybervorfällen, das sind rund 200 Vorfälle pro Tag.

Wir wollen versuchen, einen kurzen Vergleich der Lösungen für die Umsetzung der Sicherheit zu ziehen.

Was tut man in der CH dagegen?

In der Schweiz gibt es kein direktes 1:1‑Pendant zur NIS2 der EU, aber angesichts analoger Bedrohungen wurde das Informationssicherheitsgesetz (ISG) plus Cybersicherheitsverordnung (CSV) geschaffen und eine Meldepflicht für KRITIS. Auf Basis einer ISO‑27001‑Orientierung entstand somit ein sehr ähnlicher Rahmen – nur eben mit schweizerischer Ausprägung.

Zentrale Bausteine in der Schweiz

Informationssicherheitsgesetz (ISG) 

Dies ist seit 1.1.2024 in Kraft; es regelt Informationssicherheit beim Bund und bei bestimmten Organisationen, die für die Landesversorgung wichtig sind. Das ISG orientiert sich an internationalen Standards, ausdrücklich an ISO 27001, und verlangt systematisches Management von Informationssicherheitsrisiken.

Die Revision des ISG + Cybersicherheitsverordnung (CSV) 

Mit Art. 74a revISG und CSV wurde ab 1.4.2025 eine Pflicht zur Meldung von Cyberangriffen auf Betreiber kritischer Infrastrukturen eingeführt. Betroffene Organisationen müssen schwerwiegende Angriffe innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS) melden.

KRITIS‑Definition 

Das ISG definiert kritische Infrastrukturen in mehreren Sektoren (z.B. Energie, Wasser, Transport, Gesundheit, öffentliche Verwaltung), ähnlich den NIS2‑Sektoren.

Parallelen zu NIS2

Geltungsbereich 

NIS2 verpflichtet wesentliche und wichtige Einrichtungen in klar definierten Sektoren zu Cyber‑/Informationssicherheit und Vorfallmeldungen.

Das Schweizer ISG + CSV adressiert Bund und KRITIS‑Betreiber mit sehr ähnlicher Logik (Schutz kritischer Dienste, Meldepflicht, Mindeststandards).

Anforderungen 

Beide Systeme setzen auf: Risikomanagement, organisatorische und technische Sicherheitsmaßnahmen, klare Verantwortlichkeiten, Dokumentations‑ und Berichtspflichten.

Die Schweizer Seite verweist dabei bewusst auf ISO‑27001‑orientierte ISMS‑Strukturen, während NIS2 das in der EU formell nicht umsetzt, aber faktisch im Erwägungsgrund Nr. 79 die Normenreihe der ISO 27000 als Bezugsrahmen anführt.

Meldung von Vorfällen

NIS2 verlangt gestufte Meldungen (innerhalb von 24 Stunden erste Meldung, gefolgt von Detailberichten) an nationale CSIRTs bzw. zuständige Behörden.

Die Schweiz führte im Jahr 2025 auch eine 24‑Stunden‑Meldepflicht an das BACS für schwerwiegende Cyberangriffe auf KRITIS ein, sieht also ähnliche Notwendigkeiten.

Was Unternehmen konkret „abbilden“ können

ISMS nach ISO 27001 als gemeinsamer Kern 

Schweizer Kommentare empfehlen explizit, ein ISO‑27001‑konformes ISMS aufzubauen, um sowohl ISG/CSV‑Pflichten als auch bei Bedarf erwartete NIS2‑Anforderungen (z.B. für EU‑Kunden) zu erfüllen.

NIS2‑„Best Practices“ freiwillig übernehmen 

Auch ohne direkte Rechtsbindung können Schweizer Unternehmen NIS2‑Elemente wie: Governance‑Regelungen, Risikomanagementprozesse, Lieferketten‑Security und Incident‑Playbooks übernehmen, um EU‑Marktzugang und Compliance‑Nachweise zu stärken.

Marktzugang / vertragliche Vorgaben 

Viele Schweizer Firmen mit EU‑Kunden werden NIS2‑ähnliche Anforderungen vertraglich auferlegt bekommen; ein ISG‑/ISO‑27001‑basiertes System lässt sich leicht um diese NIS2‑Anforderungen erweitern. Damit wird der Lieferkette Rechnung getragen. Da die EU rund 60% des Aussenhandelsvolumens der Schweiz ausmacht, liegt es nahe, daß hierzu vertragliche Anforderungen kommen werden.

Gemeinsame Logik

Rechtsrahmen: Die NIS2 gilt nicht direkt, sondern über Landesgesetzte, aber ISG + CSV + KRITIS‑Meldepflicht bilden funktional einen ähnlichen Cybersicherheits‑Rahmen in der Schweiz.

Technisch/organisatorisch: Ein ISO‑27001‑ISMS ist der „gemeinsame Nenner“, der sowohl schweizerische Vorgaben als auch NIS2‑konforme Anforderungen abdecken kann.

Für Unternehmen ist es pragmatisch möglich, eine Mapping‑Tabelle zu machen zu der relevanten Regulatorik und Standards („NIS2‑Anforderung – ISG/CSV‑Element – ISO‑27001‑Klausel“), was ggf. eine Umsetzung in beiden Rechtsräumen unterstützt.

Fazit

Beide reagieren ähnlich, was natürlich in der Schweiz einfacher ist, da man sich auf ein Land fokussieren kann und nicht eine gemeinsame EU-Lösung suchen musste.

Und beide gehen sehr ähnliche Wege!

Das hilft und hat einen strategischen Vorteil: Schweizer Unternehmen, die ihren eigenen Standards folgen und sich an der NIS2 orientieren, sind besser vorbereitet für EU-Kunden und internationale Standards.

Und wer in der EU die ISO 27001 und NIS2 umsetzt, ist auch gut vorbereitet, wenn er in der Schweiz mit Blick auf ISG und CSV agieren muss.

Eine Software für alle Fälle

Unser EnterpriseOS basiert auf der ISO 27001 und kann daher die Unternehmen in der Schweiz und Deutschland flexibel unterstützen, es ist so hilfreich wie das berühmte Schweizer Taschenmesser.

Fordern Sie eine Demo an!