Leistungen · III

Regulation in a Box.

DORA, NIS2, AI Act – Sie wissen, dass es Sie betrifft. Aber niemand kann sagen, wo genau, wie dringend und was davon wirklich Ihr Problem ist.

Die Situation

Drei Regulierungen, drei Parallelprojekte, keine Gesamtsicht.

DORA

Finanzmarkt-ICT-Regulierung

NIS2

Cybersecurity & KRITIS

AI Act

KI-Regulierung der EU

Data Act

Datenzugang & -nutzung

DSA / DMA

Digitaler Markt & Dienste

eIDAS / EUDI

Digitale Identität

Was schiefläuft

Das Problem ist nicht die Regulierung. Das Problem ist, wie sie umgesetzt wird.

Jede Regulierung wird einzeln bearbeitet – mit separaten Beratern, separaten Budgets, separater Logik

DORA bei der IT, NIS2 beim CISO, AI Act bei Legal. Drei Projekte, die sich überlappen, widersprechen und Ressourcen binden – ohne dass jemand die Gesamtsicht hat.

Übergangsfristen laufen – aber niemand weiß, was zuerst kommen muss

Die Fristen stehen fest. Was fehlt, ist die Priorisierung: Was ist dringend, was ist strukturell, was kann warten? Ohne klare Reihenfolge entsteht Aktionismus statt Architektur.

Compliance wird behauptet – aber im Audit fehlen die Nachweise

Sie haben Maßnahmen ergriffen. Aber können Sie zeigen, welche? Können Sie erklären, warum bestimmte Risiken akzeptiert wurden? Ohne dokumentierte Entscheidungen ist jedes Audit ein Risiko.

Schweizer Unternehmen mit EU-Kunden wissen nicht, was sie treffen wird

DORA-Klauseln in Verträgen mit Finanzinstituten. NIS2-Anforderungen in der Lieferkette. Der Brussels Effect trifft Schweizer KMU – und die meisten erfahren es erst durch eine Vertragsklausel.

Der Entscheidungspunkt

Die Frage ist nicht, ob Regulierung kommt. Die Frage ist, ob Sie sie als Architekturfrage lösen – oder als Notfallprojekt.
Parallelprojekte erzeugen Parallelkosten, Parallelrisiken und Parallelfrustration. Eine integrierte Struktur kostet einmal und hält dauerhaft.
80 Prozent der NIS2-betroffenen Unternehmen wissen nicht, dass sie betroffen sind. Die Frage ist, wann Sie es herausfinden – vor dem Audit oder währenddessen.

Was ich konkret tue

Ich baue eine integrierte Struktur – nicht drei separate Projekte.

Ich streiche, was Sie nicht betrifft – bevor es Budget bindet

Nicht jede Regulierung trifft jedes Unternehmen gleich. Ich lese Ihre Verträge, Ihre Kundenstruktur, Ihre Lieferkette – und sage Ihnen, welche Anforderungen wirklich greifen. Was nicht relevant ist, fliegt raus. Das spart Berater, Projekte und Nerven.

Ich finde, wo sich DORA, NIS2 und AI Act überlappen – und löse alle drei in einer Struktur

Governance, Risikomanagement, Dokumentation, technische Maßnahmen – dieselben Anforderungen tauchen in jeder Regulierung auf. Ich finde die Schnittmenge und baue eine Roadmap, die alle abdeckt. Nicht drei Projekte. Eines.

Ich sorge dafür, dass Sie im Audit erklären können, warum – nicht nur was

Compliance ist eine Behauptung. Audit-Fähigkeit ist ein Nachweis. Ich bereite Ihre Dokumentation so auf, dass Sie nicht nur zeigen können, was Sie tun – sondern warum Sie es so tun und welche Risiken Sie bewusst akzeptiert haben. Das ist der Unterschied zwischen bestehen und erklären müssen.

Was danach anders ist

Drei Regulierungen, eine Roadmap. Und die Sicherheit, dass Sie prüfbar sind – nicht nur compliant.

Keine Parallelprojekte mehr. Keine widersprüchlichen Anforderungen. Eine Struktur, die skaliert, die im Audit hält und die bei der nächsten Regulierungswelle nicht neu gebaut werden muss.

Impuls und Entscheidung

Regulatorische Komplexität erzeugt nicht nur fachliche Fragen.

Sie erzeugt organisatorische Spannungen, Rollenkonflikte und Entscheidungsblockaden. Impuls und Entscheidung adressiert die menschliche Seite der Umsetzung.

Regulatorischer Zeitrahmen · Stand April 2026

DORA – vollständig anwendbar seit Januar 2025
NIS2 – nationale Umsetzung läuft, Fristen je nach Mitgliedstaat
EU AI Act – Hochrisiko-Anforderungen ab August 2026

Schweizer Unternehmen mit EU-Bezug sind über Verträge, Auditrechte und Beschaffungslogiken betroffen – unabhängig vom Sitzland.

Nächster Schritt

Sie erzählen, welche Regulierungen auf Ihrem Tisch liegen. Ich sage Ihnen, welche davon wirklich Ihr Problem sind – und wo eine Struktur drei Projekte ersetzt.

Klären, welche Regulierung wirklich zählt Regulatory Exposure (CH)

DORA Self-Check NIS2 Self-Check AI Act Self-Check