Cybersecurity · Zürich · CH/EU

Schutz, der sich rechnet.

Wir denken Cybersicherheit aus der Konfliktperspektive — Investitionen müssen dem Wert der Information entsprechen. Diese Verhandlung führen wir dort, wo sie hingehört: zwischen Vorstand, Recht und Compliance.

NIS-2 & CRA verstehen
Was wir tun

Drei Disziplinen, eine Doktrin.

Von der strategischen Positionierung über die juristisch belastbare Bewertung bis zur regulatorischen Praxis. Sektor- und grössenagnostisch, vom KMU bis zum Konzern.

01 / Strategie

Strategie, die verbindet.

Wir arbeiten auf der Ebene, auf der Sicherheitsentscheidungen tatsächlich getroffen werden — zwischen Vorstand, Recht und Compliance. Schutzbedarf, Doktrin und Investitionslogik werden hier nicht delegiert, sondern verhandelt.

  • Sicherheits-Doktrin & strategische Positionierung
  • Asset-Bewertung & Risiko-Ökonomie
  • Investitions-Priorisierung & Sicherheitsportfolio
  • Brückenfunktion zu Recht, Compliance & Audit
  • Board- & Verwaltungsrats-Dialog
02 / Bewertung

Sicherheit, juristisch belastbar.

Unabhängige Einschätzungen, die vor Versicherern, in der Due Diligence und im Verfahren bestehen. Wir beziffern, was sonst beschworen wird — Stand der Technik, Sorgfaltspflicht, Schadenpotenzial.

  • Belastbarkeit vor Versicherern (Prämien & Schadenfall)
  • Cyber-Sicht in Due Diligence (M&A · Investitionen)
  • Stand der Technik & Sorgfaltspflicht — auditfest
  • Begleitung im Verfahren (Schiedsgericht · Aufsicht)
  • Schadenpotenzial-Modellierung
03 / Regulierung

Regulierung, in Betrieb überführt.

Wir übersetzen Richtlinien in betriebliche Realität — ohne Buzzword-Theater, mit prüfbaren Spuren. Stark am Schnittpunkt Schweiz / EU, vom Inkrafttreten bis zum Audit.

  • NIS-2 & Cyber Resilience Act
  • Schweizer ISG & BACS-Meldepflicht
  • ISO 27001 / 27002
  • FINMA · DORA · branchenspezifisch
  • Audit-Reife & Belastbarkeit gegenüber Aufsicht
Das regulatorische Umfeld

Europa zieht den Schutzwall enger.
Was bedeutet das für die Schweiz?

Mit der NIS-2-Richtlinie und dem Cyber Resilience Act formuliert die EU ihren bisher umfassendsten Anspruch an Cybersicherheit. Schweizer Unternehmen sind zwar nicht direkt verpflichtet — über Tochtergesellschaften, EU-Märkte und Lieferketten gilt der Druck dennoch fast lückenlos.

24h
Frühwarnung bei signifikanten Vorfällen — sowohl unter NIS-2 als auch unter dem Schweizer ISG seit April 2025.
€10M
Maximale NIS-2-Bussen für „wesentliche" Einrichtungen — oder 2% des weltweiten Jahresumsatzes.
2027
Volle Geltung des Cyber Resilience Act ab 11. Dezember 2027 — Meldepflichten greifen bereits ab September 2026.

Die NIS-2-Richtlinie löst die ursprüngliche NIS-Richtlinie von 2016 ab und verschiebt Cybersicherheit endgültig vom IT-Keller in den Verwaltungsrat. Erfasst werden nicht mehr nur klassische kritische Infrastrukturen, sondern unter anderem auch Hersteller kritischer Produkte, digitale Dienste, Abfallwirtschaft, öffentliche Verwaltung und ein erheblicher Teil des verarbeitenden Gewerbes.

Adressaten werden in zwei Kategorien eingeteilt — „wesentliche" und „wichtige" Einrichtungen. Der Unterschied liegt vor allem in der Aufsichtsintensität und der Bussenobergrenze. Für beide gilt: die Geschäftsleitung steht persönlich in der Verantwortung.

  • Geltungsbereich 18 Sektoren, mittlere und grosse UnternehmenEnergie, Transport, Banken, Gesundheit, Wasser, digitale Infrastruktur, Verwaltung, Lebensmittel, Industrie, Forschung u. a.
  • Pflichten Risikomanagement, Sicherheitskonzepte, Lieferketten-SorgfaltInklusive Multi-Faktor-Authentisierung, Vorfallsbehandlung, Krisenmanagement, Verschlüsselung.
  • Meldepflicht 24h Frühwarnung · 72h Meldung · 1 Monat AbschlussberichtAn die jeweils zuständige nationale Behörde bzw. CSIRT.
  • Sanktionen Bis €10 Mio. oder 2% Jahresumsatz (wesentlich) · €7 Mio. / 1,4% (wichtig)Persönliche Haftung der Leitungsorgane; vorübergehendes Tätigkeitsverbot möglich.
NIS-2 macht Cybersicherheit zu einer Compliance-Disziplin im Sinne von Datenschutz oder Geldwäscheprävention — mit prüfbaren Pflichten und empfindlichen Sanktionen statt frommer Wünsche.

Während NIS-2 die Sicherheit von Organisationen regelt, adressiert der Cyber Resilience Act (CRA) die Sicherheit von Produkten — präziser: aller „Produkte mit digitalen Elementen", die im EU-Binnenmarkt in Verkehr gebracht werden. Vom IoT-Sensor über Industriekomponenten bis zur reinen Standalone-Software.

Die Stossrichtung ist eindeutig: Security by Design wird Pflicht, die CE-Kennzeichnung schliesst künftig Cybersicherheit ein, und die Verantwortung endet nicht mit dem Verkauf — Hersteller müssen ein produktspezifisches Schwachstellenmanagement und Sicherheitsupdates über den definierten „Support-Zeitraum" garantieren.

  • Geltungsbereich Alle Produkte mit digitalen Elementen im EU-MarktHardware, Software, vernetzte Komponenten — inklusive Importeure und Distributoren.
  • Kernpflichten Security by Design · Schwachstellenmanagement · UpdatesKonformitätsbewertung vor Markteintritt; Support über die gesamte Produktlebensdauer.
  • Meldepflichten Aktiv ausgenutzte Schwachstellen und Vorfälle ab 09 / 2026Meldung an ENISA und nationale CSIRTs binnen 24 / 72 Stunden.
  • Sanktionen Bis €15 Mio. oder 2,5% des weltweiten JahresumsatzesMarktrücknahme und CE-Aberkennung als zusätzliche Massnahmen möglich.
Wer Produkte in den EU-Markt liefert, muss Cybersicherheit künftig auf der Stückliste mitführen — mit derselben Selbstverständlichkeit wie elektrische Sicherheit oder EMV.

Die Schweiz ist nicht EU-Mitglied — die NIS-2-Richtlinie und der CRA gelten hier nicht direkt. Trotzdem ist es eine Illusion, Schweizer Unternehmen seien nicht betroffen. Die Wirkung läuft über drei Kanäle, und sie ist real.

i

EU-Tochtergesellschaften

Eine Niederlassung im EU-Raum unterliegt direkt der dortigen NIS-2-Umsetzung — mit allen Meldepflichten und Bussenrahmen.

ii

Dienste im EU-Markt

Wer aus der Schweiz digitale Dienste in der EU anbietet — Cloud, Managed Services, DNS — fällt häufig unmittelbar in den Geltungsbereich.

iii

Lieferkette

EU-Kunden sind verpflichtet, ihre Zulieferer auf Cybersicherheit zu prüfen. NIS-2 wird so „nach hinten" durchgereicht — mit Verträgen statt Gesetzen.

Parallel verschärft die Schweiz ihren eigenen Rahmen. Das Informationssicherheitsgesetz (ISG) ist seit Januar 2024 in Kraft; seit dem 1. April 2025 gilt eine 24-Stunden-Meldepflicht für Betreiberinnen kritischer Infrastrukturen an das Bundesamt für Cybersicherheit (BACS). Bei Versäumnissen drohen Bussen bis CHF 100'000. Eine Erweiterung des Geltungsbereichs in Richtung NIS-2-Logik ist absehbar.

Die zentrale Frage ist nicht „Sind wir compliant?", sondern „Sind wir resilient — und können wir es nachweisen?" Wer Antworten will, sollte sie vor dem Vorfall haben.
Zeitplan

Was wann scharf wird.

Die regulatorische Welle rollt nicht 2027 an — sie ist seit 2024 in Bewegung. Die folgenden Daten sind die Eckpfeiler. Vorbereitung beginnt mehrere Quartale früher.

  1. 01 · 2024
    Schweizer ISG in Kraft Erste Meldepflichten für Bundesstellen und Betreiber kritischer Infrastrukturen.
  2. 10 · 2024
    NIS-2 wirksam in der EU Frist für nationale Umsetzung; Geltungsbereich verfünffacht.
  3. 12 · 2024
    Cyber Resilience Act in Kraft Übergangsphasen beginnen; Hersteller justieren Produkt-Lifecycle.
  4. 04 · 2025
    CH: 24h-Meldepflicht aktiv BACS-Meldung verbindlich für Betreiber kritischer Infrastrukturen.
  5. 09 · 2026
    CRA-Meldepflichten greifen Aktive Schwachstellen und Vorfälle melden — Hersteller-Realität.
  6. 12 · 2027
    Volle Anwendung des CRA Konformität bei jedem Markteintritt — keine CE ohne Cyber.

Kein Sales-Pitch.
15 Minuten Klarheit darüber, was Sie wirklich schützen müssen.

Über das Unternehmen
Vertrauliches bitte über Threema oder Signal — nicht per unverschlüsselter E-Mail