Die Zahl schwerer Cyberangriffe auf europäische Unternehmen und Institutionen steigt stetig. Besonders das Gesundheitswesen ist ins Visier geraten: Laut ENISA entfallen über die Hälfte der Angriffe auf Spitäler und Kliniken auf Ransomware. Vor diesem Hintergrund hat die EU mit NIS2 einen Rechtsrahmen geschaffen, der erstmals auch kleinere Organisationen verpflichtet, Cybersicherheit systematisch zu verankern.
NIS2 im Überblick: Wer betroffen ist – und warum
Mit der EU-Richtlinie NIS2 weitet man die Cybersicherheits-Pflichten auf 18 Sektoren aus – darunter Gesundheitswesen, Wasser/Abwasser, Transport, Energie, öffentliche Verwaltung und digitale Dienste. Auch mittelgrosse Unternehmen sowie private Gesundheitsdienstleister können als «wesentliche» oder «wichtige» Einrichtungen eingestuft werden. Schweizer Firmen mit EU-Bezug (Niederlassung, Lieferkette, Dienstleistungen) sind faktisch gleichermassen betroffen.
Kernanforderungen: Artikel 21 (Risikomanagement) & Artikel 23 (Meldepflicht)
Artikel 21 verlangt u. a. regelmässige Risikoanalysen, Business-Continuity- und Disaster-Recovery-Pläne, Lieferkettensicherheit, Backup- und Verschlüsselungskonzepte sowie Schulung – und bindet die Geschäftsleitung explizit in die Verantwortung ein. Artikel 23 normiert eine gestaffelte Meldung signifikanter Vorfälle: Frühwarnung binnen 24 Stunden, Detailbericht binnen 72 Stunden, Abschlussbericht in der Regel nach einem Monat. Offizielle Leitfäden und FAQs stellt ENISA bereit.
ECSF als Brücke: Rollenprofile für NIS2-Aufgaben
Das European Cybersecurity Skills Framework (ECSF) definiert zwölf Rollen (u. a. Cyber Incident Responder, Cybersecurity Architect, Cyber Risk Manager, Cyber Legal/Compliance). Der ENISA-Leitfaden «Mapping NIS2 Obligations with ECSF Role Profiles» (2025) ordnet jede NIS2-Pflicht konkreten Rollen zu – so wird rasch sichtbar, wer welche Aufgabe übernimmt (Policies, BCP/DRP, Lieferantenreviews, Incident-Reporting).
Fallbeispiel Europa: MOVEit und die Lieferkette
Die MOVEit-Schwachstelle 2023 führte zu Hunderten Datenlecks weltweit – ein Musterfall für NIS2-Forderungen an Drittparteien- und Software-Lieferkettenkontrollen. Für Betreiber im Gesundheitswesen heisst das: strengere Due-Diligence bei Labor- und Praxissoftware, belastbare Verträge (Sicherheitsklauseln, Auditrechte) und klare Eskalationswege im Incident.
Schweizer Kontext: Nationale Meldepflicht & Gesundheitssektor
Seit dem 1. April 2025 gilt in der Schweiz für kritische Infrastrukturen eine gesetzliche Meldepflicht an das Bundesamt für Cybersicherheit (BACS). Das Gesundheitswesen war in den letzten Jahren wiederholt betroffen (z. B. Klinikangriffe, IT-Ausfälle). Konsequenz für die Praxis: Spitäler benötigen vorgefertigte Meldevorlagen, aktuelle Kontaktlisten und ein trainiertes Incident-Team, das binnen Stunden handlungsfähig ist – im Gleichklang mit NIS2.
Fazit
NIS2 und ECSF liefern einen umsetzbaren Bauplan, der insbesondere KMU und Kliniken hilft, Anforderungen in Rollen, Prozesse und Kontrollen zu übersetzen. Wer jetzt Verantwortlichkeiten klärt, Lieferketten prüft und Meldestrukturen testet, erhöht Sicherheit, Compliance – und die Verlässlichkeit im Versorgungsauftrag.
CISO as a Service – Ihr nächster Schritt
NIS2 verlangt von Unternehmen und Institutionen, klare Verantwortlichkeiten und belastbare Sicherheitsprozesse zu etablieren. Eine feste CISO-Stelle ist jedoch nicht in jedem Fall vorgesehen – die Verantwortung bleibt dennoch bestehen. Mit unserem Angebot CISO as a Service stellen wir Ihnen erfahrene Sicherheitsexperten zur Seite, die Ihre Organisation flexibel unterstützen: von der Entwicklung einer Cyberstrategie über die Umsetzung von Governance- und Risikoprozessen bis hin zur Begleitung im Ernstfall.
So profitieren Sie von derselben Expertise wie bei einem internen CISO – jedoch in einem Modell, das sich passgenau an Ihre Strukturen und Ihr Budget anpasst. Kontaktieren Sie uns für ein unverbindliches Gespräch und erfahren Sie, wie Sie Ihre NIS2-Verpflichtungen pragmatisch und wirksam erfüllen können.
Key Take-away – Grundlagen zuerst
Adressieren Sie zuerst Artikel 21 (Risiken, BCP/DRP, Lieferkette, Schulung) und Artikel 23 (Meldekette). Nutzen Sie das ECSF, um Verantwortlichkeiten zuzuweisen – intern oder mit Partnern.
