Ist mein Schweizer KMU von der EU-NIS2-Richtlinie betroffen?

Direkt betroffen sind Unternehmen mit EU-Niederlassungen, mehr als 50 Mitarbeitenden in der EU oder über 10 Millionen Euro EU-Jahresumsatz. Als Zulieferer für EU-Unternehmen werden Schweizer KMU aber zunehmend indirekt mit NIS2-Anforderungen konfrontiert.

Wie erkenne ich KI-gestützte Phishing-E-Mails?

KI-generierte Phishing-E-Mails sind heute oft fehlerfrei und personalisiert. Achten Sie auf unerwartete Anfragen, unbekannte Absenderdomains, dringende Handlungsaufforderungen und Links, die nicht zur offiziellen Domain passen. Im Zweifel: telefonisch beim Absender rückfragen.

Was kostet ein IT-Sicherheitsaudit für ein KMU?

Ein Basis-Sicherheitsaudit für ein KMU mit 10–50 Mitarbeitenden kostet je nach Umfang zwischen CHF 2'000 und CHF 8'000. Verglichen mit dem durchschnittlichen Schaden eines erfolgreichen Ransomware-Angriffs – oft CHF 50'000 oder mehr – ist das eine kostengünstige Investition.

Was tue ich, wenn mein Unternehmen Opfer eines Cyberangriffs wird?

Betroffene Systeme sofort vom Netzwerk trennen, den Vorfall dokumentieren, IT-Notfallplan aktivieren und das BACS unter incidentreport@ncsc.ch informieren. Bei Datenverlust ist auch der Eidgenössische Datenschutzbeauftragte (EDÖB) zu benachrichtigen. Kein Lösegeld ohne rechtliche Beratung zahlen.

18. Mai 2026|8 min read|Manuel Hedinger

Cybersicherheit KMU Schweiz 2026: Fakten und Massnahmen

64'733 Cybervorfälle in der Schweiz 2025 – nur 40% der KMU sind vorbereitet. Was KMU jetzt über ISG, Meldepflicht, NIS2 und Schutzmassnahmen wissen müssen.

CybersicherheitKMUDatenschutzStrategie

Es ist Dienstagmorgen, kurz nach acht Uhr. Die Inhaberin einer zwölfköpfigen Handelsfirma in Chur öffnet ihren Laptop — und sieht statt der gewohnten Arbeitsoberfläche nur eine Meldung in roten Buchstaben: «Ihre Dateien wurden verschlüsselt. Zahlen Sie innerhalb von 48 Stunden CHF 15'000 in Bitcoin, oder alle Daten werden unwiderruflich gelöscht.» Offerten, Kundendaten, Buchhaltungsunterlagen: alles weg. Der Betrieb steht still.

Dieses Szenario ist kein Ausnahmefall mehr. Ransomware-Angriffe auf Schweizer Unternehmen haben im zweiten Halbjahr 2025 gegenüber dem Vorjahreszeitraum um 59 Prozent zugenommen. Gleichzeitig sinkt die Wachsamkeit in vielen KMU: Nur noch 40 Prozent fühlen sich gut auf einen Cyberangriff vorbereitet — im Vorjahr waren es noch über die Hälfte. Die Schere zwischen Bedrohung und Abwehrbereitschaft wächst in die falsche Richtung.

Die gute Nachricht: Wirksame Cybersicherheit erfordert keine Grosskonzern-Budgets. Wer die aktuellen Bedrohungen kennt, die gesetzlichen Pflichten versteht und fünf konkrete Massnahmen umsetzt, reduziert das Risiko erheblich. Bevor wir ins Detail gehen, lohnt sich zunächst ein Blick auf die Zahlen.

Die Bedrohungslage 2025/2026 in Zahlen

Das Bundesamt für Cybersicherheit (BACS) registrierte 2025 insgesamt 64'733 Cybervorfälle in der Schweiz — so viele wie noch nie. Das sind rund 2'000 Meldungen mehr als im Vorjahr, und diese Zahl unterschätzt die Realität noch: Viele Vorfälle werden gar nicht erst gemeldet.

Die Entwicklung einzelner Angriffstypen ist besonders besorgniserregend:

Ransomware nahm im zweiten Halbjahr 2025 um 59 Prozent zu: fast 80 Vorfälle gegenüber 47 im Vorjahreszeitraum.
KI-gestützte Phishing-Angriffe stiegen 2025 um 204 Prozent — mehr als eine Verdreifachung in einem einzigen Jahr.
Phishing insgesamt blieb mit 6'299 Meldungen im zweiten Halbjahr 2025 auf einem Rekordniveau (+17 Prozent).

Was diese Zahlen besonders heikel macht: Die Angriffe werden gezielter und schwerer erkennbar. Früher verriet sich Phishing durch schlechtes Deutsch oder merkwürdige Absenderadressen. Heute erstellen Angreifer mithilfe von KI fehlerfreie, personalisierte E-Mails, die auf den LinkedIn-Auftritt, die Website oder sogar auf laufende Projekte der Zielfirma zugeschnitten sind. Ein einziger Klick reicht.

Die KMU Cybersicherheitsstudie 2025 von digitalswitzerland zeigt das Dilemma scharf: 88 Prozent der Schweizer KMU halten Cyberkriminalität für ein ernstes Problem — aber nur 30 Prozent verfügen über ein IT-Sicherheitskonzept, einen Notfallplan oder führen regelmässige Mitarbeiterschulungen durch. Wissen und Handeln klaffen weit auseinander.

Was das ISG für Ihr Unternehmen bedeutet

Das Schweizer Informationssicherheitsgesetz (ISG) hat die Cybersicherheitslandschaft für Unternehmen mit Verbindungen zu kritischen Infrastrukturen fundamental verändert. Seit dem 1. April 2025 gilt eine verbindliche Meldepflicht: Betreiber kritischer Infrastrukturen müssen Cyberangriffe innerhalb von 24 Stunden nach Entdeckung beim BACS melden. Seit dem 1. Oktober 2025 drohen bei verspäteter oder unterlassener Meldung Bussen bis CHF 100'000.

Als kritische Infrastruktur gelten neben Spitälern, Energieversorgern und Bundesbehörden auch Unternehmen in der Finanz-, Transport- und Telekommunikationsbranche. Wichtig für KMU: Wer als Zulieferer, Subunternehmer oder IT-Dienstleister für solche Organisationen tätig ist, kann über vertragliche Sorgfaltspflichten in die Meldekette einbezogen werden. Die eigenen Lieferverträge sollten daher dringend geprüft werden.

Das ISG verlangt ausserdem eine schrittweise Einführung eines Informationssicherheitsmanagementsystems (ISMS):

Bis Ende 2025: Schutzbedarfsanalyse und IT-Klassifizierung
Bis Ende 2026: Aufbau eines vollständigen ISMS

Auch für KMU, die formell nicht unter das ISG fallen, zeigen diese Fristen die Marschrichtung: Strukturierte Informationssicherheit ist kein Nice-to-have mehr, sondern zunehmend Voraussetzung für Geschäftsbeziehungen mit regulierten Unternehmen.

Unabhängig von der Meldepflicht empfiehlt das BACS allen Unternehmen, Cybervorfälle freiwillig zu melden. Das verbessert die nationale Lagebildung und hilft dem Bund, rechtzeitig Frühwarnungen an andere Betroffene auszusprechen.

NIS2 — auch für Schweizer KMU relevant?

Die EU-Richtlinie NIS2 gilt seit Oktober 2024 verbindlich in allen EU-Mitgliedstaaten. Die Schweiz hat sie formell nicht übernommen — aber Schweizer KMU sind trotzdem betroffen, und zwar auf zwei Wegen.

Direkt betroffen sind Schweizer Unternehmen, die eine Niederlassung in der EU betreiben oder dort IT-Dienste anbieten und dabei entweder mehr als 50 Mitarbeitende in der EU beschäftigen oder einen EU-Jahresumsatz von über 10 Millionen Euro erzielen. Für diese Unternehmen gelten die NIS2-Anforderungen vollumfänglich: systematisches Risikomanagement, regelmässige Security-Audits, 24-Stunden-Meldepflicht. Bei Verstössen drohen Bussen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Führungskräfte haften persönlich.

Indirekt betroffen sind deutlich mehr Schweizer KMU: Wer als Zulieferer oder Subunternehmer für EU-Firmen tätig ist, die selbst unter NIS2 fallen, bekommt deren Sicherheitsanforderungen über Vertragsklauseln weitergereicht. In der Logistik, Industrie, im IT-Sektor und im Gesundheitswesen ist das heute bereits gängige Praxis. Grosse EU-Auftraggeber verlangen zunehmend Nachweise über implementierte Sicherheitsmassnahmen — oder bevorzugen Lieferanten, die diese bereits vorweisen können.

NIS2 ist damit auch für viele Schweizer KMU kein rein europäisches Thema.

Die grössten Einfallstore

Bevor wir zu den Schutzmassnahmen kommen, lohnt ein Blick darauf, wie Angriffe in der Praxis ablaufen. Die häufigsten Einfallstore in Schweizer KMU:

Phishing und Social Engineering

Phishing ist der mit Abstand häufigste Ausgangspunkt für Angriffe. Mit KI-Unterstützung erstellen Angreifer täuschend echte E-Mails, die aussehen wie Nachrichten von Ihrer Bank, Ihrem Cloud-Anbieter oder einem internen Mitarbeitenden. Ein einziger Klick auf einen präparierten Link genügt, um Zugangsdaten abzufangen oder Schadsoftware einzuschleusen. Die Klickrate bei gut gestalteten Phishing-E-Mails liegt in Unternehmen ohne Schulungen bei durchschnittlich 30 Prozent.

Ransomware

Ransomware verschlüsselt Ihre Daten und gibt sie nur gegen Lösegeld frei — oder auch gar nicht. Die Gesamtkosten eines erfolgreichen Ransomware-Angriffs übersteigen in der Schweiz regelmässig CHF 50'000, wenn Ausfallzeit, IT-Wiederherstellung, Datenverluste und mögliche Bussgelder eingerechnet werden. Lösegeld zahlen lohnt sich selten: Erfahrungsgemäss erhält nur etwa die Hälfte der zahlenden Unternehmen tatsächlich alle Daten zurück.

Ungeschützte Fernzugriffe

Homeoffice und Remote Work haben VPN-Zugänge und Remote-Desktop-Protokolle (RDP) in vielen KMU zum Standard gemacht. Gleichzeitig sind schlecht gesicherte Fernzugriffe eines der beliebtesten Einfallstore. Veraltete VPN-Software, schwache Passwörter und fehlende Mehrfachauthentifizierung öffnen Angreifern die Tür — oft ohne jede sichtbare Warnung.

Kompromittierte Lieferkette

Software-Updates, Cloud-Dienste und externe IT-Dienstleister können als Angriffsvektoren dienen. Wenn ein vertrauenswürdiger Anbieter kompromittiert wird, kann Schadsoftware über legitime Update-Kanäle ins eigene Netzwerk gelangen. Solche Supply-Chain-Angriffe sind besonders tückisch, weil die Schadsoftware aus einer als sicher geltenden Quelle stammt.

Fünf Massnahmen, die jedes KMU sofort umsetzen kann

Die wichtigsten Schutzmassnahmen sind weder teuer noch technisch komplex. Diese fünf Massnahmen bieten das grösste Kosten-Nutzen-Verhältnis für KMU:

1. Mehr-Faktor-Authentifizierung (MFA) für alle Zugänge aktivieren

MFA verlangt neben dem Passwort einen zweiten Bestätigungsschritt — eine SMS, eine Authenticator-App oder einen Hardware-Token. Damit werden über 99 Prozent aller automatisierten Konto-Angriffe blockiert. MFA lässt sich für E-Mail, VPN, Cloud-Dienste und Remote-Zugänge oft in weniger als einem halben Tag einrichten. Die Kosten: null bis wenige Franken pro Nutzer und Monat.

2. Datensicherungen nach der 3-2-1-Regel einrichten

Drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine ausserhalb des Unternehmens — etwa in einem Schweizer Cloud-Dienst mit EU-Datenschutz. Mindestens genauso wichtig: die Wiederherstellung regelmässig testen. Eine Sicherung, die im Ernstfall nicht funktioniert, ist wertlos. Viele KMU entdecken das leider erst, wenn sie die Sicherung wirklich brauchen.

3. Mitarbeiterschulungen mindestens einmal jährlich durchführen

Der Mensch bleibt das häufigste Einfallstor — und das, das mit geringstem Aufwand gestärkt werden kann. Eine einstündige Schulung pro Jahr, in der Mitarbeitende lernen, Phishing-E-Mails zu erkennen und verdächtige Links zu melden, reduziert die Klickrate auf schadhafte Nachrichten nachweislich um über 70 Prozent. Simulierte Phishing-Tests — bei denen das eigene IT-Team oder ein externer Dienstleister Testmails verschickt — machen den Lerneffekt messbar.

4. Notfallplan schriftlich festhalten

Wer macht was, wenn die Systeme ausfallen? Wer informiert Kunden und Behörden? Welche Systeme werden zuerst wiederhergestellt? Ein einseitiger Notfallplan, der einmal jährlich aktualisiert und allen Führungskräften bekannt ist, kann im Ernstfall Stunden oder Tage Ausfallzeit einsparen. Der Plan muss offline verfügbar sein — auf Papier oder auf einem nicht vernetzten Gerät — damit er auch dann noch zugänglich ist, wenn alle Computer verschlüsselt sind.

5. IT-Sicherheitsaudit durchführen lassen

Nur 20 Prozent der Schweizer KMU führen heute IT-Sicherheitsaudits durch. Dabei zeigt ein professionelles Audit oft schon nach wenigen Stunden die kritischsten Schwachstellen: veraltete Software mit bekannten Sicherheitslücken, zu weit gefasste Zugriffsrechte, fehlende Updates oder unverschlüsselte Datenspeicher. Ein Basis-Audit für ein KMU mit 10 bis 50 Mitarbeitenden kostet zwischen CHF 2'000 und CHF 8'000 — ein Bruchteil der Kosten eines erfolgreichen Angriffs.

Wo fängt man an?

Cybersicherheit muss kein Projekt mit monatelanger Vorlaufzeit sein. Der entscheidende erste Schritt ist eine ehrliche Bestandsaufnahme: Wo liegen die grössten Lücken? Welche Systeme sind besonders exponiert? Welche Daten wären bei einem Angriff am kritischsten?

Hedinger-Digital begleitet KMU in der Ostschweiz und der ganzen Deutschschweiz bei dieser Bestandsaufnahme — und entwickelt daraus konkrete, priorisierte Massnahmen, die zum Budget und zur Grösse des Unternehmens passen. Keine überladenen Konzepte, sondern klare Prioritäten, die sich umsetzen lassen.

Mehr über die Beratungsleistungen erfahren Sie auf der Digitalberatungs-Seite. Oder nehmen Sie direkt Kontakt auf — für eine unverbindliche Ersteinschätzung Ihrer Situation.