EN
Während die NIS2-Richtlinie weiterhin die digitale Sicherheitslandschaft Europas prägt, verändert sich auch die Art und Weise, wie über Cybersicherheit gesprochen wird. Was 2016 mit NIS1, dem ersten Versuch der Europäischen Union, Netz- und Informationssicherheitsstandards zu harmonisieren, begann, hat sich mittlerweile zu einem deutlich umfassenderen Rahmenwerk entwickelt.
Mit NIS2 hat die EU nicht nur den Anwendungsbereich erweitert, sondern auch die Erwartungen an Governance, Verantwortlichkeit und Resilienz erhöht. Was einst als politische Antwort auf fragmentierte Sicherheitspraktiken gedacht war, hat sich zu einem Treiber für kulturellen und strukturellen Wandel entwickelt – hin zu einer stärkeren Verknüpfung von digitalem Risiko, Führung und nachhaltigem Unternehmenserfolg.
Ein kontinentaler Wandel in der Cyber Governance
Die Umsetzung von NIS2 in der Europäischen Union hat neu definiert, was es bedeutet, in einer vernetzten Welt sicher zu agieren. Die Richtlinie legt klare Anforderungen an das Risikomanagement, die Überwachung von Lieferketten und die Meldung schwerwiegender Sicherheitsvorfälle fest – und das innerhalb von nur 24 Stunden nach deren Entdeckung.
Diese Vorgabe hat mittlerweile auch ausserhalb der EU Wirkung gezeigt. In der Schweiz trat am 1. April 2025 eine vergleichbare Meldepflicht in Kraft: Betreiber kritischer Infrastrukturen müssen Cyberangriffe innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS) melden. Unternehmen, die dieser Verpflichtung nicht nachkommen, riskieren Bussen von bis zu 100’000 Franken.
Wie HZ Insurance jüngst berichtete, spiegelt diese Entwicklung die europäische Angleichung im Bereich Cybersicherheit wider. Cyberbedrohungen kennen keine Grenzen – ebenso wenig wie die regulatorischen Rahmenbedingungen, die sie adressieren sollen. Ob durch NIS2 oder nationale Pendants: Europa bewegt sich in Richtung eines gemeinsamen Modells der Cyber-Accountability, in dem Resilienz als kollektive Verantwortung verstanden wird.
Reifegradmessung und Handlungsbedarf
Die neue Studie Cyber Message 2025 des Versicherungsbrokers Kessler liefert ein aktuelles Bild des Cyber-Reifegrads. Schweizer Unternehmen schneiden demnach überdurchschnittlich ab: Industrieunternehmen erreichen einen Resilienz-Score von 2,71, während Dienstleistungsbranchen wie IT, Finanzwesen und Beratung mit 2,91 Punkten noch besser aufgestellt sind – beide Werte liegen über dem EU-Durchschnitt.
Dennoch bleiben deutliche Lücken bestehen. Viele Unternehmen arbeiten noch mit manuellen Meldeprozessen, fragmentierten Governance-Strukturen und uneinheitlichen Reaktionsprotokollen. Die 24-Stunden-Meldepflicht, zentral sowohl in NIS2 als auch im Schweizer Recht, ist damit zu einem Praxistest für Koordination und operative Belastbarkeit geworden.
Die Bedeutung von NIS2 liegt nicht allein im regulatorischen Text, sondern im Paradigmenwechsel, den sie auslöst. Cybersicherheit ist kein rein technisches Thema mehr – sie ist zu einer Führungsaufgabe geworden.
Die Frage lautet nicht länger: Sind wir compliant? Sondern: Sind wir resilient?
In ganz Europa nutzen vorausschauende Organisationen diesen Moment, um Cybersicherheit mit Governance, Risikomanagement und Business Continuity zu verbinden. Anstatt NIS2 als reine Compliance-Checkliste zu betrachten, verstehen sie die Richtlinie als Katalysator für stärkere Prozesse, klare Verantwortlichkeiten und mehr Vertrauen bei ihren Stakeholdern.
Technologie als Enabler
Die Erfüllung dieser Anforderungen setzt Struktur und Transparenz voraus. Die GRC Toolbox unterstützt Organisationen dabei, die Prinzipien von NIS2 und vergleichbaren Rahmenwerken wie dem Schweizer Informationssicherheitsgesetz operativ umzusetzen. Sie vereint Governance, Risk und Compliance in einer zentralen Umgebung, wodurch Unternehmen Kontrollen dokumentieren, Vorfälle nachverfolgen und regulatorische Konformität effizient nachweisen können.
Technologie allein schafft keine Resilienz – aber sie macht sie erreichbar. In einer Welt, in der sich Cyberangriffe innerhalb weniger Stunden über Branchen und Grenzen hinweg ausbreiten, zählt die Fähigkeit, schnell und koordiniert zu reagieren – das ist wahre Stärke.
Von NIS1 bis NIS2 erzählt die Entwicklung der europäischen Cybersicherheitslandschaft eine klare Geschichte:
Resilienz entsteht nicht allein durch Technologie, sondern durch geteilte Verantwortung und wirksame Führung.
Die nächste Phase wird nicht durch jene bestimmt, die am schnellsten compliant sind, sondern durch jene, die am besten führen – Organisationen, die Rahmenwerke wie NIS2 in ihr tägliches Governance-Verständnis integrieren, Risiken frühzeitig erkennen und nach Störungen gestärkt zurückkehren.
