Warum NIS2 die Schweizer Sicherheitskultur herausfordert

Die Schweiz gilt als sicher, stabil und verlässlich. Dieses Image prägt nicht nur die internationale Wahrnehmung, sondern auch das Selbstverständnis vieler Unternehmen. Prozesse sind sauber aufgesetzt, Verantwortlichkeiten klar definiert, Qualität steht im Mittelpunkt. Genau diese Stärke kann im digitalen Raum jedoch zur trügerischen Sicherheit werden.

Denn Cybersicherheit entscheidet sich heute immer seltener innerhalb der eigenen Organisation. Sie entsteht oder scheitert dort, wo Verantwortung geteilt wird. In Lieferketten, bei IT Dienstleistern, Softwareanbietern und spezialisierten Subunternehmen.

Mit der europäischen NIS2 Richtlinie rücken diese Abhängigkeiten stärker ins Zentrum. Auch wenn die Schweiz nicht Teil der Europäischen Union ist, entfaltet die Regulierung Wirkung. Schweizer Unternehmen sind tief in europäische Wertschöpfungsketten eingebunden. Sie liefern Leistungen, betreiben Systeme oder verarbeiten Daten für Organisationen, die direkt unter NIS2 fallen. Damit steigt der Druck, Sicherheitsrisiken nicht nur zu kennen, sondern auch nachvollziehbar zu steuern.

Die eigentliche Angriffsfläche liegt ausserhalb

In vielen Gesprächen mit Verantwortlichen zeigt sich ein wiederkehrendes Muster. Intern wird viel investiert. Netzwerke werden segmentiert, Zugriffe restriktiver gestaltet, Mitarbeitende sensibilisiert. Gleichzeitig bleiben externe Schnittstellen erstaunlich wenig hinterfragt.

Dabei sind es genau diese Zugänge, die für Angreifer besonders attraktiv sind. Externe Partner verfügen häufig über privilegierte Rechte, arbeiten remote und unterliegen anderen organisatorischen Rahmenbedingungen. Ein Sicherheitsvorfall bei einem Dienstleister kann sich innerhalb kürzester Zeit auf mehrere Unternehmen auswirken.

NIS2 adressiert diese Realität konsequent. Die Richtlinie macht deutlich, dass Risiken entlang der gesamten Lieferkette betrachtet werden müssen. Entscheidend ist nicht, wer einen Vorfall verursacht, sondern welche Auswirkungen er auf kritische Prozesse hat. Für Schweizer Unternehmen bedeutet das einen klaren Perspektivwechsel. Sicherheit wird zur Frage der Abhängigkeiten, nicht mehr nur der eigenen Systeme.

Indirekte Regulierung mit direkter Wirkung

Auch ohne formale Umsetzung in Schweizer Recht verändert NIS2 die Erwartungen des Marktes. Europäische Auftraggeber verlangen zunehmend Transparenz. Sie erwarten belastbare Aussagen zu Sicherheitsprozessen, Incident Handling und Risikosteuerung.

Wer hier keine überzeugenden Antworten liefern kann, gerät unter Druck. Nicht durch Bussgelder, sondern durch Vertrauensverlust. Gerade für Schweizer Unternehmen, die für Präzision und Verlässlichkeit stehen, ist das ein kritischer Punkt.

NIS2 wirkt damit wie ein Katalysator. Sie zwingt Unternehmen, Fragen zu stellen, die lange aufgeschoben wurden. Welche Dienstleister sind wirklich kritisch. Welche Zugänge bestehen. Welche Abhängigkeiten könnten im Ernstfall den Betrieb gefährden.

Warum klassische Lieferantenbewertungen nicht genügen

Viele Unternehmen verfügen bereits über strukturierte Lieferantenbewertungen. Diese fokussieren sich meist auf Qualität, Kosten und Lieferfähigkeit. Sicherheit wird, wenn überhaupt, formal abgefragt. Ein Fragebogen, ein Zertifikat, ein Eintrag im System.

Das Problem liegt nicht in diesen Instrumenten selbst, sondern in ihrer Aussagekraft. Sie liefern Momentaufnahmen und Selbsteinschätzungen. Sie sagen wenig darüber aus, wie Sicherheitsprozesse tatsächlich gelebt werden.

NIS2 bricht mit diesem Ansatz. Die Richtlinie fordert keine perfekten Lieferketten, aber eine realistische Einschätzung der Risiken. Unternehmen müssen zeigen können, dass sie wissen, wo ihre Schwachstellen liegen und wie sie damit umgehen. Theoretische Modelle reichen dafür nicht mehr aus.

Verantwortung lässt sich nicht delegieren

Ein zentraler Gedanke von NIS2 ist Verantwortlichkeit. Aufgaben können ausgelagert werden, Verantwortung nicht. Wer kritische Prozesse extern betreiben lässt, bleibt dennoch in der Pflicht.

Für viele Schweizer Unternehmen ist das ein ungewohnter Gedanke. Outsourcing wird häufig mit Entlastung gleichgesetzt. In der Cybersicherheit gilt das nur eingeschränkt. Externe Leistungen erfordern zusätzliche Steuerung, nicht weniger.

Das bedeutet nicht, dass jedes Detail kontrolliert werden muss. Entscheidend ist die Fähigkeit, Risiken eigenständig zu bewerten. Unternehmen müssen verstehen, welche Abhängigkeiten sie eingehen und welche Konsequenzen ein Ausfall hätte. Erst dann lassen sich angemessene Kontrollmechanismen etablieren.

Cybersicherheit wird zur Führungsfrage

NIS2 verschiebt Cybersicherheit klar auf die Managementebene. Es geht nicht mehr nur um technische Maßnahmen, sondern um unternehmerische Entscheidungen. Welche Risiken sind akzeptabel. Welche nicht. Welche Investitionen sind notwendig, um den Geschäftsbetrieb langfristig abzusichern.

Gerade in der Schweiz, wo viele Unternehmen schlanke Strukturen und kurze Entscheidungswege haben, liegt darin eine Chance. Cybersicherheit kann dort wirksam verankert werden, wo Führung Verantwortung übernimmt und nicht weiterreicht.

Das setzt allerdings klare Kommunikation voraus. Sicherheitsverantwortliche müssen Risiken verständlich darstellen. Nicht als technische Details, sondern als unternehmerische Fragestellungen. Lieferketten sind dabei ein zentraler Hebel.

Belastbare Kontrolle statt bürokratischer Überforderung

Ein häufiger Einwand lautet, dass strengere Anforderungen zu mehr Bürokratie führen. In der Praxis zeigt sich jedoch, dass nicht die Anzahl der Kontrollen entscheidend ist, sondern ihre Qualität.

Wirksame Lieferkettensteuerung fokussiert sich auf das Wesentliche. Kritische Partner werden intensiver betrachtet, weniger relevante mit verhältnismäßigem Aufwand. Kontrollen sind nachvollziehbar, wiederholbar und liefern echte Erkenntnisse.

NIS2 fordert genau diese Differenzierung. Sie verlangt kein pauschales Misstrauen, sondern bewusste Steuerung. Unternehmen, die diesen Ansatz verfolgen, gewinnen nicht nur regulatorische Sicherheit, sondern auch operative Stabilität.

Lieferketten als strategischer Faktor

Wer Lieferketten ausschließlich als Kostenfaktor betrachtet, übersieht ihr strategisches Potenzial. Transparente Abhängigkeiten, klare Sicherheitsanforderungen und funktionierende Eskalationsprozesse stärken die Resilienz des gesamten Unternehmens.

In einem Umfeld wachsender geopolitischer Spannungen und zunehmender Cyberangriffe wird diese Resilienz zum Wettbewerbsfaktor. Schweizer Unternehmen können hier ihre Stärke ausspielen. Nicht durch formale Compliance, sondern durch glaubwürdige Sicherheitskultur.

Sicherheit neu denken

NIS2 ist kein rein europäisches Regulierungsthema. Sie verändert Erwartungen, Standards und Geschäftsbeziehungen. Für Schweizer Unternehmen bedeutet das, Cybersicherheit neu zu denken. Nicht als internes IT Projekt, sondern als Verantwortung entlang der gesamten Lieferkette.

Wer diesen Wandel frühzeitig annimmt, stärkt Vertrauen, Stabilität und Zukunftsfähigkeit. Lieferketten werden damit vom Risikofaktor zur strategischen Stellschraube.

Mehr Information hier

Thomas Kress / Bild zvg