nDSG, FINMA, NIS2, DORA, EU AI Act, ISO 27001: Schweizer Unternehmen stehen vor einem Flickenteppich aus nationalen Gesetzen und EU-Regulierungen mit extraterritorialer Wirkung. Die meisten Anforderungen überschneiden sich. Wer die Grundlagen richtig aufbaut, erfüllt mehrere Regulierungen gleichzeitig.
Das nDSG gilt für jedes Unternehmen, das Personendaten bearbeitet. Branchenspezifische Anforderungen kommen je nach Sektor hinzu. Wer mit EU-Kunden arbeitet, muss auch EU-Recht beachten. Ein professionelles Red Teaming validiert die technischen Schutzanforderungen aller dieser Regulierungen in einem einzigen Test.
Schweizer Cybersecurity-Regulierungen: Gesamtüberblick
Laut einer Studie des Instituts für Wirtschaftsinformatik der Universität St. Gallen aus 2024 kennen nur 38 % der Schweizer KMU alle für sie relevanten Datenschutz- und Cybersecurity-Regulierungen vollständig. 61 % sind sich unsicher, ob sie compliant sind. Das ist angesichts steigender Bussgelder und Reputationsrisiken ein erhebliches Problem.
Überblick aller relevanten Regulierungen für Schweizer KMU
| Regulierung | Wer ist betroffen? | Kern-Anforderung | Max. Strafe | Detailseite |
|---|---|---|---|---|
| nDSG (Schweiz) | Alle Unternehmen mit Personendaten | TOMs, Meldepflichten, DSFA | CHF 250’000 (natürl. Personen) | nDSG-Compliance |
| FINMA-Rundschreiben | Banken, Versicherungen, Finanzintermediäre | IKT-Risikomanagement, BCMP | Entzug Lizenz | FINMA-Anforderungen |
| DORA (EU) | Finanzdienstleister mit EU-Bezug | TLPT, IKT-Drittanbieter | 1 % Tagesumsatz/Tag | DORA Schweiz |
| NIS2 (EU) | Kritische Infrastruktur mit EU-Bezug | Sicherheitsmassnahmen, 24h-Meldung | EUR 10 Mio. oder 2 % Umsatz | NIS2 Schweiz |
| ISG (Schweiz) | Bundesbehörden + kritische Infrastruktur | Sicherheitsmassnahmen, Meldepflichten | Verwaltungssanktionen | Meldepflicht Schweiz |
| ISO 27001 | Freiwillig, aber marktüblich | ISMS, kontinuierliche Verbesserung | – (kein Gesetz) | ISO 27001 KMU |
| TIBER-CH | Systemrelevante Finanzinstitute | Red Teaming / TLPT | – (regulatorische Empfehlung) | TIBER-CH |
Die wichtigsten Schweizer Regulierungen im Detail
1. nDSG — Das neue Datenschutzgesetz
Das revidierte Datenschutzgesetz ist seit September 2023 in Kraft und die wichtigste Cybersecurity-Regulierung für die überwiegende Mehrheit der Schweizer Unternehmen. Es verpflichtet zur Implementierung «angemessener technischer und organisatorischer Massnahmen» (TOMs) und zur Meldung von Datenschutzverletzungen an den EDÖB.
Wer ist betroffen? Praktisch jedes Unternehmen, das Personendaten bearbeitet — also nahezu alle Schweizer KMU.
Wichtigste Cybersecurity-Anforderungen:
- Technische und organisatorische Schutzmassnahmen (Verschlüsselung, Zugangskontrolle, Logging)
- Datenschutz-Folgenabschätzung (DSFA) bei risikoreichen Verarbeitungen
- Meldung von Datenschutzverletzungen «so rasch als möglich» an den EDÖB
- Privacy by Design und Privacy by Default
- Verzeichnis der Bearbeitungstätigkeiten (für Unternehmen ab 250 MA empfohlen, für bestimmte KMU Pflicht)
Strafen: Bis CHF 250’000 gegen natürliche Personen (nicht das Unternehmen!). Verantwortliche Geschäftsführer und IT-Verantwortliche haften persönlich.
Vollständige Informationen: nDSG Compliance und Cybersecurity | nDSG Checkliste für KMU
2. FINMA — Aufsicht für den Finanzsektor
Die Eidgenössische Finanzmarktaufsicht FINMA reguliert Banken, Versicherungen, Effektenhändler und andere Finanzintermediäre. Das FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz» ist das zentrale Regelwerk für Cybersecurity im Finanzsektor.
Wer ist betroffen? Alle FINMA-beaufsichtigten Institute: Banken (inkl. Kantonalbanken), Versicherungen, Wertpapierhäuser, Fondsleitungen, Fintech-Unternehmen mit FINMA-Lizenz.
Wichtigste Cybersecurity-Anforderungen:
- IKT-Strategie, die zur Geschäftsstrategie kompatibel ist
- Umfassendes IKT-Risikomanagement
- Business Continuity Management (BCM) und Disaster Recovery
- Regelmässige Penetrationstests und Sicherheitsüberprüfungen
- Management von Drittanbieterrisiken im IKT-Bereich
- Meldung schwerwiegender IKT-Vorfälle an FINMA
Vollständige Informationen: FINMA Cybersecurity-Anforderungen
3. DORA — Digital Operational Resilience Act (EU)
DORA gilt seit Januar 2025 und betrifft Schweizer Finanzdienstleister mit EU-Bezug. Besonders relevant: die Pflicht zu Threat-Led Penetration Testing (TLPT) für systemrelevante Institute — also professionelles Red Teaming.
Wer ist betroffen? Schweizer Finanzinstitute mit EU-Niederlassungen, als IKT-Drittanbieter für EU-Institute und EU-Tochtergesellschaften.
Wichtigste Anforderungen: IKT-Risikorahmen, Vorfallmeldungen (4h/72h/1 Monat), TLPT alle 3 Jahre für systemrelevante Institute, Management von IKT-Drittanbieterrisiken.
Vollständige Informationen: DORA Verordnung Schweiz
4. NIS2 — Netz- und Informationssicherheitsrichtlinie (EU)
NIS2 ersetzt seit Oktober 2024 die ursprüngliche NIS-Richtlinie und weitet den Anwendungsbereich erheblich aus. Schweizer Unternehmen mit EU-Präsenz oder EU-Kunden in kritischen Sektoren sind direkt betroffen.
Wer ist betroffen? Unternehmen in Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, IKT-Dienstleister und weitere — ab 50 Mitarbeitenden oder EUR 10 Mio. Umsatz mit EU-Bezug.
Wichtigste Anforderungen: Risikomanagementmassnahmen, Meldepflichten (24h, 72h, 1 Monat), Supply-Chain-Sicherheit, Lieferkettensicherheit, persönliche Haftung der Geschäftsleitung.
Vollständige Informationen: NIS2 Auswirkungen auf die Schweiz
5. ISG und Meldepflichten — Schweizer Informationssicherheitsgesetz
Das Informationssicherheitsgesetz (ISG) regelt die Informationssicherheit beim Bund und strahlt auf kritische Infrastrukturen aus. Seit dem 1. April 2025 gilt ausserdem eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen gegenüber dem Bundesamt für Cybersicherheit (BACS).
Wer ist betroffen? Primär Bundesorgane, aber auch Betreiber kritischer Infrastrukturen (Energie, Wasser, Transport, Gesundheit, Finanzen) sind meldepflichtig.
Vollständige Informationen: Meldepflicht Cyberangriff Schweiz
6. ISO 27001 — Internationaler Sicherheitsstandard
ISO 27001 ist kein Gesetz, sondern ein freiwilliger Standard. Trotzdem ist er in der Schweiz de facto zur Voraussetzung für Ausschreibungen, Enterprise-Kunden und EU-Geschäft geworden. Er bietet zudem das beste Framework, um die technischen Anforderungen des nDSG, der FINMA und anderer Regulierungen strukturiert umzusetzen.
Wer profitiert davon? KMU, die strukturiert an Cybersecurity heranwollen, Unternehmen mit Enterprise-Kunden oder öffentlichen Ausschreibungen, Finanzdienstleister zur FINMA-Compliance.
Vollständige Informationen: ISO 27001 für KMU Schweiz | ISO 27001 Kosten Schweiz
Welche Regulierungen gelten für mein KMU? — Entscheidungsbaum
Die folgende Entscheidungshilfe zeigt, welche Regulierungen für Ihr Unternehmen relevant sind:
Frage 1: Bearbeiten Sie Personendaten von natürlichen Personen?
- Ja → nDSG gilt (nahezu universell)
Frage 2: Sind Sie ein Finanzdienstleister mit FINMA-Lizenz?
- Ja → FINMA-Rundschreiben 2023/1 und TIBER-CH prüfen
Frage 3: Haben Sie EU-Niederlassungen, EU-Kunden oder erbringen Sie IT-Dienstleistungen für EU-Firmen?
- Ja (Finanzsektor) → DORA prüfen
- Ja (kritische Infrastruktur) → NIS2 prüfen
- Ja (allgemein) → DSGVO (EU-Datenschutz) zusätzlich zu nDSG
Frage 4: Betreiben Sie kritische Infrastruktur in der Schweiz?
- Ja → ISG-Meldepflichten ab April 2025
Frage 5: Haben Sie Kunden, die ISO 27001 verlangen oder öffentliche Ausschreibungen?
- Ja → ISO 27001-Zertifizierung evaluieren
«Die häufigste Compliance-Falle für Schweizer KMU ist nicht Unwissenheit über ein Gesetz, sondern das Missverständnis, dass man für jede Regulierung ein separates Programm braucht. Ein gut aufgebautes Sicherheitsprogramm nach ISO 27001 erfüllt gleichzeitig die Kernanforderungen von nDSG, FINMA und NIS2.» — Swiss Cyber Security Days, Panel-Diskussion 2025
Gemeinsame Anforderungen quer durch alle Regulierungen
Obwohl jede Regulierung ihren eigenen Fokus hat, verlangen praktisch alle dieselben technischen Grundmassnahmen:
Technische Schutzmassnahmen (universell gefordert)
- Zugangs- und Identitätsmanagement: Multi-Faktor-Authentifizierung, Least-Privilege-Prinzip
- Verschlüsselung: Daten in Übertragung und Ruhe
- Netzwerksicherheit: Segmentierung, Firewalls, Intrusion Detection
- Patch- und Schwachstellenmanagement: Regelmässige Updates, Schwachstellenscans
- Datensicherung: Regelmässige Backups, getestete Wiederherstellung
- Logging und Monitoring: Protokollierung und Anomalieerkennung
Organisatorische Massnahmen (universell gefordert)
- Risikobewertung: Regelmässige Identifikation und Bewertung von IT-Risiken
- Incident Response: Definierte Prozesse für Sicherheitsvorfälle
- Business Continuity: Pläne für den Notfall
- Mitarbeiterschulung: Sicherheitsbewusstsein im gesamten Unternehmen
- Drittanbieter-Management: Sicherheitsanforderungen in Lieferantenverträgen
Eine gründliche Cybersecurity-Checkliste für KMU hilft dabei, diese universellen Anforderungen strukturiert abzuarbeiten.
Meldepflichten im Vergleich
| Regulierung | Ereignis | Meldefrist | Meldestelle |
|---|---|---|---|
| nDSG | Datenschutzverletzung mit hohem Risiko | «So rasch als möglich» | EDÖB |
| FINMA | Schwerwiegender IKT-Vorfall | Unverzüglich | FINMA |
| DORA | Schwerwiegender IKT-Vorfall | 4h (Erst) / 72h (Zwischen) / 1 Monat (Abschluss) | Nationale Behörde |
| NIS2 | Erheblicher Vorfall | 24h (Früh) / 72h (Meldung) / 1 Monat (Abschluss) | Nationale CSIRT |
| ISG/BACS | Cyberangriff auf krit. Infrastruktur | 24 Stunden | BACS |
Compliance-Kosten realistisch einschätzen
Die Kosten für Cybersecurity-Compliance variieren stark je nach Ausgangslage und Regulierungstiefe:
nDSG-Grundcompliance für ein KMU mit 20–50 MA: CHF 5’000–25’000 einmalig, CHF 2’000–8’000 jährlich
ISO 27001-Zertifizierung (inkl. Erstzertifizierung): CHF 30’000–80’000 für KMU. Details: ISO 27001 Kosten Schweiz
DORA-Compliance-Programm für mittelgrosse Finanzinstitute: CHF 100’000–500’000+, je nach Ausgangslage
TLPT/Red Teaming als DORA- oder TIBER-CH-Anforderung: Ab CHF 11’900 für KMU-gerechte Engagements, deutlich mehr für systemrelevante Institute
Kosten eines Cyberangriffs (zur Einordnung): Laut Swiss Insurance Association (SIA) 2024 kostet ein durchschnittlicher Ransomware-Angriff ein Schweizer KMU CHF 185’000 an direkten Kosten — ohne Reputationsschäden und Betriebsunterbrechungen.
Das Verhältnis von Compliance-Investition zu potenziellen Schadenkosten macht Cybersecurity-Investitionen betriebswirtschaftlich klar rational.
Häufige Compliance-Fehler von Schweizer KMU
Laut dem BACS-Jahresbericht 2024 machen Schweizer KMU bei der Cybersecurity-Compliance wiederholt dieselben Fehler:
1. Reaktive statt präventive Haltung: 73 % der KMU-Cyberangriffe hätten durch bekannte Grundmassnahmen verhindert werden können.
2. Fehlende Dokumentation: Technische Massnahmen sind vorhanden, aber nicht dokumentiert — was im Ernstfall die Compliance-Nachweispflicht verletzt.
3. Drittanbieter-Blindstellen: Cloud-Anbieter, IT-Dienstleister und SaaS-Lösungen werden nicht in das Risikomanagement integriert.
4. Einmalige statt kontinuierliche Assessments: Ein Penetrationstest vor drei Jahren schützt nicht vor aktuellen Bedrohungen.
5. Verwechslung von Audit und echtem Test: Compliance-Audits prüfen Prozesse, aber nicht die echte Widerstandsfähigkeit. Red Teaming prüft, ob Angreifer trotz aller Massnahmen eindringen könnten.
«Compliance bedeutet nicht Sicherheit — und Sicherheit bedeutet nicht automatisch Compliance. Das Beste ist, beides systematisch zu verfolgen: ein Framework wie ISO 27001 für Compliance, und reale Angriffssimulationen für echte Sicherheit.» — Cybersecurity-Experte, Swiss Cyber Security Days 2025
Ihr Fahrplan zur Cybersecurity Compliance
Schritt 1: Bestandsaufnahme — Welche Regulierungen gelten? Welche Massnahmen sind bereits vorhanden? Gap-Analyse durchführen.
Schritt 2: Priorisierung — Nicht alles gleichzeitig angehen. Priorität auf gesetzlich vorgeschriebene Massnahmen, dann auf Massnahmen mit höchstem Risikoreduktionspotenzial.
Schritt 3: Umsetzung — Technische und organisatorische Massnahmen implementieren. ISO 27001 als Framework nutzen, um mehrere Regulierungen gleichzeitig zu adressieren.
Schritt 4: Validierung — Prüfen, ob die implementierten Massnahmen wirken. Penetrationstests für technische Systeme, interne Audits für Prozesse, Red Teaming für realistische Wirksamkeitstests.
Schritt 5: Dokumentation — Compliance-Nachweise sichern: Risikobeurteilungen, Massnahmenbeschreibungen, Testergebnisse, Schulungsnachweise.
Schritt 6: Monitoring — Kontinuierliche Überwachung, regelmässige Reviews, Anpassung bei neuen Bedrohungen oder Regulierungsänderungen.
Fazit
Die Cybersecurity-Regulierungslandschaft in der Schweiz ist komplex — aber beherrschbar. Der Schlüssel liegt darin, die gemeinsamen Anforderungen aller relevanten Regulierungen zu identifizieren und einmal systematisch umzusetzen, statt für jedes Gesetz ein separates Programm aufzubauen. ISO 27001 bietet dafür das beste Framework. Und professionelles Red Teaming stellt sicher, dass die implementierten Massnahmen nicht nur auf dem Papier, sondern auch in der Realität standhalten.
Wissen Sie, welche Regulierungen für Ihr KMU gelten und ob Sie compliant sind? Unsere Experten führen in einem ersten Schritt eine kosteneffiziente Compliance-Gap-Analyse durch — und validieren Ihre Sicherheitsmassnahmen mit realistischen Angriffssimulationen.
Starten Sie mit unserem Red Teaming-Service — ab CHF 11’900 — und erhalten Sie gleichzeitig eine fundierte Bewertung Ihrer Compliance-Lücken.