Welche Cybersicherheitsgesetze sind in der Schweiz und EU 2025 relevant?

Aufgrund der steigenden Bedrohungslage durch Cyberangriffe auf Unternehmen und die öffentliche Verwaltung haben die Gesetzgeber in der Schweiz und EU neue Gesetze und Verordnungen für Cybersicherheit erlassen, welche in 2024/2025 in Kraft treten. Das Top-Management (Verwaltungsrat, Geschäftsführer, IT-Leiter) muss abklären, ob Ihre Organisation von den neuen Cybersicherheitsgesetzen betroffen ist und welche neuen Massnahmen in der Cybersicherheit erforderlich sind. Folgender Artikel gibt einen kurzen Überblick. (Autor: Dr. Daniel Burgwinkel, krm.swiss)

Schweiz: Informationssicherheitsgesetz (ISG)

Das Informationssicherheitsgesetz (ISG) ist seit dem 1.1.2024 in Kraft und gibt Vorgaben für den sicheren Umgang mit Daten in der öffentlichen Verwaltung und für private Dienstleister, welche Daten in diesem Kontext bearbeiten. Für 2025 ist eine Revision des ISG geplant, welche weitere Branchen/Sektoren umfasst. Die Cybersicherheitsverordnung (CSV) detailliert das ISG und legt die CSV spezifische Sicherheitsanforderungen fest. Ab 2025 sind folgende Branchen/Sektoren im Scope (Stand 11/2024) und Organisationen müssen prüfen, ob eine Meldepflicht bei Cybervorfällen besteht:

• Hochschulen
• Bundes-, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen
• Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung
• Unternehmen, die in den Bereichen Energieversorgung, Energiehandel, Energiemessung oder Energiesteuerung tätig sind
• Banken, Versicherungen
• Gesundheitseinrichtungen, Medizinische Laboratorien und Pharmaunternehmen
• Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden
• Weitere Branchen finden Sie am Ende dieses Artikels *

EU: NIS2-Richtlinie (Netzwerk- und Informationssicherheit)

Die NIS2-Richtlinie ist im Oktober 2024 in Kraft getreten und jedes EU-Land passt hierfür die nationalen Gesetze an. Die Richtline setzt EU-weite Richtlinie Standards für die Cybersicherheit in insgesamt 18 kritischen Branchen. Auch Schweizer Unternehmen, die in der EU tätig sind oder mit EU-Partnern zusammenarbeiten, können von diesen Anforderungen betroffen sein. Die NIS2-Richtlinie legt klare Sicherheitsvorgaben für Branchen fest, die als besonders kritisch gelten. Diese neue Regelung betrifft Organisationen, die in folgenden Sektoren tätig sind:

• Energie
• Bankwesen
• Gesundheitswesen
• Trinkwasser, Abwasser
• Öffentliche Verwaltung
• Abfallwirtschaft
• Chemische Industrie
• Lebensmittel
• Herstellung von Medizinprodukten
• Weitere Branchen finden Sie am Ende dieses Artikels **

Branchenspezifische Regelungen

Neben den nationalen Gesetzgebungen für Cybersicherheit (ISG, NIS2) gibt es branchenspezifische Vorgaben, welche Vorgaben für IT-Sicherheit umfassen. Dazu gehören beispielsweise TISAX für die Automobilindustrie und DORA für die Finanzindustrie. Indes besondere globale Unternehmen fordern von ihren Lieferanten in der Schweiz die Erfüllung dieser Standards.

Checkliste für Cybersicherheitsgesetzte im Jahr 2025

Folgende Fragen sollten Sie jetzt klären, um Ihre Organisation in 2025 für die Cybersicherheit fit zu machen:

Schweiz

• Ist meine Organisation direkt vom Informationssicherheitsgesetz (ISG) und der Cybersicherheitsverordnung (CSV) betroffen?
• Sind meine Kunden und Lieferanten vom ISG/CSV betroffen und welche Massnahmen müssen wir für eine sichere Lieferkette umsetzen?

EU NIS2:

• Ist meine Organisation in der EU direkt von NIS2 betroffen?
• Fällt eine Tochtergesellschaft unter die NIS2 Sektoren?
• Übersteigt der Export von Gütern in die EU bestimmte Schwellenwerte?
• Ist meine Organisation (in CH oder EU) indirekt von NIS2 betroffen, z.B. fallen meine Kunden unter NIS2 und verlangen von mir als Lieferant den Nachweis über Cybersicherheitsmassnahmen?

So unterstützen wir Sie bei der Cybersicherheit und der Einhaltung von Gesetzen

Gezieltes Vorgehen ist entscheidend, um Cyberschutz zu gewährleisten. Baggenstos und krm.swiss unterstützt Sie dabei, gesetzliche Anforderungen zu verstehen und umzusetzen.

• Check Ihrer relevanten Rahmenbedingungen: Wir analysieren, welche Gesetze und Verordnungen für Ihr Unternehmen in der Schweiz und in der EU gelten.
• Standortbestimmung: Welche Sicherheitsmassnahmen wurden bereits umgesetzt, und wo gibt es noch Optimierungspotenzial?
• Organisation: Wir unterstützen Sie bei der Einführung organisatorischer Massnahmen für einen umfassenden Schutz.
• Technik: Unser Team berät Sie bei der Implementierung technischer Schutzmassnahmen.
• Vorgehensweise und Zeitplanung: Gemeinsam erstellen wir einen realistischen Plan für die Umsetzung.

Fazit: Cybersicherheit – eine unverzichtbare Basis für Vertrauen und Geschäftserfolg

Die neuen gesetzlichen Anforderungen in der Schweiz und der EU zeigen, dass Cybersicherheit weit mehr ist als technischer Schutz – sie ist ein Grundpfeiler des Vertrauens Ihrer Kunden und Partner. Eine proaktive Herangehensweise ist entscheidend, um Vorgaben zu erfüllen und Ihre digitale Widerstandsfähigkeit zu stärken.

Warum Baggenstos?

Baggenstos unterstützt Sie dabei, gesetzliche Anforderungen in der Cybersicherheit zu verstehen und umzusetzen. Von der Analyse bis zur Implementierung passender Massnahmen begleiten wir Sie – inklusive Workshops, um Ihre IT optimal zu schützen. Aktuelle Termine finden Sie auf unserer Webseite. Dank der Zusammenarbeit mit krm.swiss können wir Vorschriften analysieren und massgeschneiderte Lösungen für eine sichere, rechtskonforme Organisation ausarbeiten.

Ihre Ansprechpartner

Dr. Daniel Burgwinkel, Partner bei krm.swiss, berät Organisationen bei der Umsetzung der rechtskonformen Datenhaltung und ist Dozent für Cybersicherheit und Datenmanagement.

Othmar Frey, CSO bei Baggenstos steht Ihnen als kompetenter Ansprechpartner zur Seite und unterstützt Sie persönlich bei allen Fragen rund um die Cybersicherheit und die Umsetzung der neuen Anforderungen.

Weiterführende Artikel

• Modern Workplace - Baggenstos
• Security-Themen - Baggenstos

Quellen

• BSI - NIS-Richtlinien

* Branchen/Sektoren

• Hochschulen
• Bundes-, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen
• Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung
• Unternehmen, die in den Bereichen Energieversorgung, Energiehandel, Energiemessung oder Energiesteuerung tätig sind
• Banken, Versicherungen
• Gesundheitseinrichtungen (siehe kantonale Spitallisten)
• Medizinische Laboratorien (siehe Epidemiengesetz)
• Pharmaunternehmen (Herstellung, Inverkehrbringen, Einfuhr von Arzneimitteln)
• Krankenversicherungen (Krankheit, Unfall, Arbeits- und Erwerbsunfähigkeit, Alter, Invalidität)
• Schweizerische Radio- und Fernsehgesellschaft
• Nachrichtenagenturen von nationaler Bedeutung
• Anbieterinnen von Postdiensten
• Eisenbahnunternehmen sowie Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen
• Zivilluftfahrt und Landesflughäfen
• Seeschifffahrt und Hafenbetreiber
• Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde
• Anbieterinnen von Fernmeldediensten
• Registerbetreiberinnen und Registrare von Internet-Domains
• Dienste und Infrastrukturen, die der Ausübung der politischen Rechte dienen
• Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben
• Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden

** Sektoren

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten (Business-to-Business)
• Öffentliche Verwaltung
• Weltraum
• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Industrie
• Lebensmittel
• Herstellung von Medizinprodukten und In-vitro-Diagnostika
• Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen
• Herstellung von elektrischen Ausrüstungen
• Maschinenbau
• Herstellung von Kraftwagen und Kraftwagenteilen
• Fahrzeugbau
• Anbieter von Online-Marktplätzen
• Anbieter von Online-Suchmaschinen
• Anbieter von Plattformen für Dienste sozialer Netzwerke
• Forschungseinrichtungen