NIS2 - auch ein Treiber für die Cybersicherheit in der Schweiz?

Einer der zentralen Aspekte von NIS2 ist die Verschärfung der Anforderungen an die Cybersicherheit für Unternehmen und öffentliche Institutionen – indem per nationalem Gesetz strenge Sicherheitsanforderungen definiert werden, wie z.B. Mindeststandards für das Risikomanagement, Meldepflichten oder die Umsetzung von Massnahmen wie Verschlüsselung, Zugriffskontrolle und Mehrfaktor-Authentifizierung. Im Kontext «Cybersicherheit» ist derzeit insbesondere an das Schweizer Datenschutz (DSG) und das Informationssicherheitsgesetz (ISG) zu denken. Ein direktes Gegenstück zu NIS2 gibt es in der Schweiz nicht, aber die Ausstrahlungswirkung von NIS2 führt dennoch dazu, dass die bestehenden gesetzlichen Grundlagen der Schweiz sich ein stückweit mit NIS2 messen müssen bzw. zumindest kritisch hinterfragt werden – was der kontinuierlichen Verbesserung zuträglich ist. Auch könnte eine Annäherung an NIS2 eine konsistente rechtliche Basis schaffen und ein gleichwertiges Level zur EU herstellen. Diese gesetzgeberischen Anpassungen würden nicht nur die Sicherheit erhöhen, sondern auch die rechtliche Klarheit für Unternehmen verbessern. Insbesondere würde ein einheitlicher rechtlicher Rahmen es Unternehmen ermöglichen, ihre Sicherheitsstrategien gezielt zu entwickeln und einfacherer umzusetzen, wenn diese auf dem Schweizer und dem europäischen Markt aktiv sind.

Für Schweizer Unternehmen kann NIS2 zur Anwendung gelangen, wenn bestimmte Dienstleistungen oder Produkte in der EU angeboten werden, das Unternehmen ein Teil einer EU-Lieferkette ist oder sich Tochtergesellschaften in der EU befinden. Insoweit kann NIS2 auch ein wirtschaftlicher Impuls für die Schweiz sein. Diese Unternehmen müssen vermehrt in ihre Cybersicherheitsmassnahmen investieren, um den neuen Standards gerecht zu werden. Dies erhöht generell die Cybersicherheit – gleichzeitig stellen die o.g. rechtlichen Grundlagen auch einen entsprechenden Business Case dar und fördern somit nicht nur neue Geschäftsmöglichkeiten und -modelle im Bereich der Cybersicherheit, sondern regen auch an neue Technologien und Lösungen zu entwickeln – dies könnte zu einem Wettbewerbsvorteil führen und wiederum generiert und sichert dies inländische Arbeitsplätze. 

Durch NIS2 wird die öffentliche Diskussion um die Cybersicherheit angeregt, gleichzeitig findet eine Sensibilisierung statt. Eine informierte Öffentlichkeit ist entscheidend, um die allgemeine Cyberresilienz zu erhöhen – dieses Wissen wird auch in die Unternehmen hineingetragen. Wenn Menschen wissen, wie sie sich schützen können, ist das der Verhinderung von Cybervorfällen zuträglich. 

NIS2 fördert auch die Zusammenarbeit zwischen verschiedenen Akteuren in der Cybersicherheitslandschaft. Dies könnte auch in der Schweiz zu stärkerer Kooperation zwischen Unternehmen, Behörden und Bildungseinrichtungen führen und den Wissensaustausch fördern. Ein starkes Netzwerk auch zu Cybersecurity-Experten und -Institutionen in der EU aufzubauen, ist sicher ebenfalls hilfreich und zu begrüssen.

Die wichtigsten Inhalte sind:

• Betroffene Unternehmen werden in «besonders wichtig» und «wichtig» unterteilt, was die Höhe der Bussgelder und Ausprägung der behördlichen Aufsicht beeinflusst.
   
• Die Geschäftsleitung wird in die Verantwortung gezogen: Einbindung ins Risikomanagement, Schulungspflicht und Haftung.
   
• Der Aufbau einer Sicherheitsorganisation ist nötig: Risikomanagement (inkl. Lieferkette), technische & organisatorische Massnahmen (vergleichbar mit ISO 27001).
   
• Signifikante Sicherheitsvorfälle müssen den Behörden in 3 Stufen gemeldet werden: Frühwarnung, detaillierte Meldung & Abschlussbericht.
   
• Definition der behördlichen Aufsichtsfunktion und Bussgelder (bis 10 Mio. € oder 2% des Jahresumsatzes, bzw. bis 7 Mio. € oder 1,4% des Jahresumsatzes).