Wer in der Schweiz kritische Infrastruktur betreibt – Energieversorger, Wasserwerk, Spital, Telekom-Anbieter, Bahn, Bank, oder einer der vielen MSPs, die diese Sektoren bedienen – schaut gerade auf einen Gesetzesentwurf, der das Spielfeld neu sortiert. Der Bundesrat hat am 18. Februar 2026 einen Vorschlag in die Vernehmlassung geschickt, der die Cybersicherheits-Pflichten für Betreiber kritischer Infrastruktur erstmals konsequent regelt.
Das ist keine kleine Anpassung. Es ist die Schweizer Antwort auf das, was in der EU seit der NIS2-Richtlinie läuft – und es bedeutet für viele Unternehmen, dass sie 2026/2027 deutlich strukturierter über Cybersicherheit reden müssen.
Was das Gesetz vorsieht
Die Kernpunkte des Entwurfs nach BACS-Information:
- Erweiterte Meldepflicht für Cybervorfälle. Schwerwiegende Vorfälle müssen innerhalb klar definierter Fristen an das BACS gemeldet werden – ähnlich wie die DSGVO-Meldefrist von 72 Stunden für Datenschutzvorfälle, aber breiter angelegt.
- Mindeststandards für Cybersicherheit: technische und organisatorische Massnahmen werden konkreter vorgegeben. Was heute «angemessener Schutz» heisst, wird nachvollziehbarer und prüfbarer.
- Erweiterter Geltungsbereich: nicht nur die klassischen kritischen Infrastrukturen, sondern auch deren wesentliche Dienstleister. MSPs, IT-Dienstleister, Cloud-Anbieter mit Schweizer Kunden in KRITIS-Sektoren.
- Bussgeld-Tatbestände für Verstösse gegen die Pflichten. Das ist neu für die Schweiz – bisher war Cybersicherheit für die meisten Unternehmen ein Frage des wirtschaftlichen Risikos, nicht der gesetzlichen Sanktion.
Wer betroffen ist
Direkt betroffen: Betreiber kritischer Infrastrukturen in den Sektoren Energie, Wasser, Verkehr, Gesundheit, Telekom, Finanzdienstleister, öffentliche Verwaltung. Plus: Anbieter wesentlicher digitaler Dienste – etwa Cloud-Plattformen mit Schweizer KRITIS-Kunden, oder MSPs mit signifikanter Marktstellung.
Indirekt betroffen: praktisch alle Unternehmen, die solche Betreiber als Kunden haben. Wenn Du als IT-Dienstleister einen Spital-Kunden hast, wird der demnächst Compliance-Nachweise von Dir verlangen. Wenn Du als Software-Anbieter einen Energieversorger belieferst, wirst Du Sicherheitsfragebögen ausfüllen müssen. Die Kette zieht sich durch.
Was Du jetzt tun solltest, auch wenn das Gesetz noch nicht in Kraft ist
Der Entwurf ist in der Vernehmlassung. Bis zur Verabschiedung und zum Inkrafttreten dürfte es 12-24 Monate dauern. Aber wer wartet, bis die Pflicht tatsächlich beginnt, hat einen viel zu schmalen Umsetzungs-Korridor. Drei Schritte sind 2026 sinnvoll:
1. Klassifizierung: bin ich relevant? Sektoren-Zuordnung anschauen. Wenn das eigene Unternehmen oder eine wesentliche Schnittstelle in einen KRITIS-Sektor fällt, ist die Antwort vermutlich ja. Auch indirekte Lieferantenbeziehungen prüfen – Spital-Patientenakten-Anbieter, Bank-Kernsysteme-Wartung, Energie-Steuerung.
2. Inventur des heutigen Stands. Was habe ich technisch und organisatorisch in Sachen Cybersicherheit? Konkret: dokumentierte Sicherheitskonzepte, dokumentierte Incident-Response-Prozesse, regelmässige Audits, MFA-Abdeckung, Backup-Strategie inklusive Restore-Tests, Logging und Monitoring. Wer ehrlich inventarisiert, sieht schnell die Lücken.
3. Sicherheits-Roadmap mit Standards-Bezug. ISO 27001 ist nicht zwingend, aber die ISO-Struktur ist eine bewährte Referenz für den Mindeststandard. Wer die wesentlichen Controls implementiert hat (Asset Management, Access Control, Operations Security, Incident Management, Business Continuity), ist gut aufgestellt – auch ohne formelle Zertifizierung.
Wie Standards-Arbeit ohne formelle Zertifizierung aussieht
Ein kurzer Realitäts-Check, weil es oft missverstanden wird: nicht jedes Unternehmen muss ISO 27001 zertifizieren. Aber jedes Unternehmen, das in Richtung KRITIS-Pflichten unterwegs ist, sollte nachweisbar nach einem solchen Standard arbeiten. Das ist ein Unterschied.
UCC Pro selbst ist ein Beispiel dafür: wir sind nicht ISO-27001-zertifiziert, aber wir arbeiten nach den Vorgaben dieser Norm. Manche Anforderungen erfüllen wir – etwa physische Sicherheit oder Backup-Isolation – sogar übererfüllt, weil unser UCC Secure Vault auf Bankenstandards beruht. Andere Bereiche – etwa formelle Audit-Zyklen mit externen Auditoren – sind angestrebt. Diese ehrliche Differenzierung ist wichtig: nichts behaupten, was man nicht hat, aber nachvollziehbar zeigen, woran man sich orientiert.
Wer sich für einen formellen Zertifizierungspfad entscheidet (ISO 27001, SOC 2, KRITIS-Audit), sollte mit 12-18 Monaten Vorlauf rechnen – inklusive Gap-Analyse, Implementierung fehlender Controls, internem Audit und externem Zertifizierungs-Audit.
Was 2026/2027 konkret zu erwarten ist
- Vernehmlassung bis voraussichtlich Sommer 2026.
- Parlamentarische Beratung ab Herbst 2026.
- Inkrafttreten realistisch frühestens Mitte 2027, mit Übergangsfristen für die Umsetzung.
- Vollziehende Verordnungen mit den konkreten technischen Anforderungen kommen separat – darin steht das, was praktisch zu tun ist.
Wer parallel die EU-NIS2-Diskussion verfolgt, sieht: Schweizer Lösung wird ähnlich, aber mit Schweizer Pragmatik. Weniger formelle Compliance-Theater-Veranstaltungen, mehr Fokus auf tatsächliche Resilienz. Das BACS hat in den letzten Jahren gezeigt, dass es das ernst nimmt.
Service-Bezug: ehrlich
UCC Pro begleitet Unternehmen auf KRITIS-Pfaden seit Jahren – Inventur, Gap-Analyse, technische Härtung, AirGap-Backup-Architektur über den Secure Vault. Was wir nicht machen: Zertifizierungs-Audits durchführen oder offizielle KRITIS-Beratung mit Bundesmandat. Was wir machen: die technische Umsetzung dessen, was die Standards verlangen, mit FortiNet/Ubiquiti-Infrastruktur und Backup-Isolation. Wer am Ende einen externen Zertifizierungs-Auditor braucht, kann das parallel oder darauf aufbauend machen.
Quelle: NCSC – BACS Bundesamt für Cybersicherheit, Meldung vom 18.02.2026: «Besserer Schutz der kritischen Infrastrukturen in der Schweiz» (ncsc.admin.ch).