Swiss Room · Leitfaden 12 von 15
NAVIGATOR
Was dieser Leitfaden Ihnen gibt
Das richtige ENISA-Dokument für jedes Problem
NIS2 · DORA · CRA · ISO 27001 · Incident Response · Lieferkette · Branchenspezifisch
Diese Leitfadenreihe ist aus einer spezifischen Perspektive heraus geschrieben: der einer General Counsel / Senior Vice President, die über viele Jahre in leitender Inhouse-Funktion in regulierten Unternehmen gearbeitet hat – in der Schweiz und in der EU. Die Autorin verfügt über eine juristische und betriebswirtschaftliche Ausbildung in der Schweiz und in Deutschland sowie über langjährige operative Erfahrung als interne Rechts- und Compliance-Verantwortliche in internationalen Konzernen und KMU-Umfeldern.
Diese Kombination – juristische Tiefe, operatives Management-Know-how und direkte Erfahrung mit den Realitäten von Lieferketten, Vertragsverhandlungen und Aufsichtsbehörden – ist der Grund, warum die Texte so geschrieben sind, wie sie sind: nicht als formale Gesetzeskommentare, sondern als Arbeitsinstrumente. Sie richten sich gleichzeitig an Führungskräfte, die schnell einordnen müssen, was eine Regulierung für ihr Unternehmen bedeutet, und an Fachabteilungen, die wissen müssen, was operativ zu tun ist.
Der interdisziplinäre Ansatz ist bewusst: Digitale Regulierung berührt gleichzeitig IT, Recht, Procurement, Geschäftsführung, HR und Lieferkette. Eine Perspektive, die nur eine dieser Dimensionen kennt, liefert unvollständige Antworten. Die Leitfäden versuchen, alle relevanten Dimensionen gleichzeitig zu adressieren – mit dem Bewusstsein, dass in der Praxis selten ein Team allein zuständig ist und die wirklichen Herausforderungen meistens an den Schnittstellen entstehen.
Die Perspektive «Schweizer KMU im EU-Kontext» ist nicht zufällig. Sie spiegelt langjährige Arbeit an der Schnittstelle zwischen Schweizer Geschäftspraxis und europäischem Regulierungsrahmen: die Erfahrung, was es konkret bedeutet, wenn ein EU-Kundenvertrag plötzlich DORA-Klauseln enthält, wenn ein Procurement-Fragebogen AI-Act-Anforderungen stellt oder wenn ein Lieferant keine NIS2-konformen Sicherheitsnachweise liefern kann. Diese Leitfäden sind aus genau diesen Situationen heraus entstanden – nicht aus dem Lesen von Gesetzestexten, sondern aus der Erfahrung ihrer Auswirkungen.
ENISA (European Union Agency for Cybersecurity) veröffentlicht jährlich Dutzende von Leitlinien, Frameworks und technischen Standards – kostenlos, auf Englisch, und direkt auf die Umsetzung von NIS2, DORA, CRA und anderen EU-Regulierungen ausgerichtet. Die meisten Schweizer KMU wissen, dass ENISA existiert. Die wenigsten wissen, welches Dokument ihr konkretes Problem löst.
Dieser Leitfaden ist kein allgemeiner ENISA-Überblick. Er ist ein Arbeits-Navigator: Problem beschreiben, richtiges Dokument finden, sofort loslegen. Jeder Abschnitt nennt das relevante ENISA-Dokument, wo Sie es finden, und was es Ihnen konkret nützt.
Suchen Sie Ihr konkretes Problem in der linken Spalte. Das empfohlene Dokument und die URL finden Sie rechts. Alle Dokumente sind kostenlos unter enisa.europa.eu verfügbar.
| Ihr Problem | ENISA-Dokument | Suche auf enisa.europa.eu | Konkreter Nutzen |
|---|---|---|---|
| Wo soll ich anfangen? Ich brauche einen KMU-Einstieg. | Cybersecurity Guide for SMEs | "SME Guide 2022" | Priorisierte Maßnahmen für KMU mit begrenzten Ressourcen |
| Was sind die aktuell grössten Bedrohungen für mein Unternehmen? | ENISA Threat Landscape (ETL) | "ENISA Threat Landscape 2024" | Jährliches Ranking der Top-Bedrohungen; Priorisierungsgrundlage |
| Wie überprüfe ich mein aktuelles Sicherheitsniveau? | ENISA Cybersecurity Self-Assessment | "SME Self-Assessment" | Selbsttest mit konkreten Verbesserungsschritten |
| Ich will ISO 27001 vorbereiten – womit fange ich an? | ENISA Good Practices for Security of Internet of Things | Alternativ: "ENISA ISMS Good Practices" | Übersicht der relevanten Kontrollen und Mapping zu ISO 27001 |
| Ihr Problem | ENISA-Dokument | Suche auf enisa.europa.eu | Konkreter Nutzen |
|---|---|---|---|
| Was bedeuten die NIS2-Mindestsicherheitsmaßnahmen (Art. 21) konkret? | ENISA Guidelines on Measures under NIS2 | "NIS2 measures guidelines" | Interpretation jeder Art.-21-Maßnahme mit technischen Details |
| Wie implementiere ich NIS2-Risikomanagement? | ENISA Risk Management Standards Mapping | "NIS2 risk management" | Mapping zu ISO 27001, ISO 27005 und CIS Controls |
| Was genau muss ich bei Incidents melden und wie? | ENISA NIS2 Incident Reporting Guidelines | "NIS2 incident reporting" | Klassifikation, Inhalte, Fristen – sofort verwendbar |
| Wie setze ich NIS2-Lieferkettensicherheit um? | ENISA Supply Chain Integrity | "supply chain security guidance" | Checklisten, Vertragsanforderungen, Bewertungsrahmen |
| Ihr Problem | ENISA-Dokument | Suche auf enisa.europa.eu | Konkreter Nutzen |
|---|---|---|---|
| Was bedeutet DORA für Cloud-Dienste? | ENISA Cloud Security for the Finance Sector | "ENISA cloud finance" | Spezifisch für Finanzsektor-Cloud; DORA-Mapping inklusive |
| Wie klassifiziere ich ICT-Incidents für DORA-Meldungen? | ENISA Good Practices for Incident Notification | "ENISA incident notification" | Klassifikationsschema direkt für DORA verwendbar |
| Wie baue ich BCM/DR für DORA-Anforderungen auf? | ENISA Business Continuity for ICS/SCADA | Alternativ: "ENISA BCM good practices" | Methodologie für Business Continuity und Recovery-Tests |
| Wie überprüfe ich ICT-Drittanbieter für DORA? | ENISA Procurement Guidelines for Cybersecurity | "ENISA procurement guidelines" | Fragebogen-Vorlagen und Bewertungskriterien für Drittanbieter |
| Ihr Problem | ENISA-Dokument | Suche auf enisa.europa.eu | Konkreter Nutzen |
|---|---|---|---|
| Wie implementiere ich Secure by Design? | ENISA Secure Software Development Lifecycle | "ENISA SSDLC" oder "secure development" | Phasenweise Anleitung für sichere Softwareentwicklung |
| Wie erstelle und pflege ich eine SBOM? | ENISA Software Bill of Materials Guidance | "ENISA SBOM" | Format-Empfehlungen, Tools, Integration in Entwicklungsprozesse |
| Wie richte ich Vulnerability Disclosure (CVD) ein? | ENISA Good Practices on Vulnerability Disclosure | "ENISA vulnerability disclosure" | Policy-Vorlage und Prozessempfehlungen |
| Was sind die CRA-Anforderungen für IoT-Produkte? | ENISA Guidelines for Securing IoT | "ENISA IoT security" | IoT-spezifische Sicherheitsanforderungen; Mapping zum CRA |
| Ihr Problem | ENISA-Dokument | Suche auf enisa.europa.eu | Konkreter Nutzen |
|---|---|---|---|
| Ich brauche einen Incident-Response-Plan – wo fange ich an? | ENISA Good Practice Guide for Incident Management | "ENISA incident management guide" | Vollständiger Rahmen; an KMU anpassbar |
| Wie klassifiziere ich Incidents nach Schwere? | ENISA Incident Classification | "ENISA incident classification" | Klassifikationsschema direkt verwendbar |
| Wie teste ich unseren Incident-Response-Prozess? | ENISA Cybersecurity Exercises | "ENISA cyber exercises" | Methodologie für Tabletop-Übungen |
| Ransomware-Angriff: Was tun? | ENISA Ransomware Guide | "ENISA ransomware" | Schritt-für-Schritt-Anleitung für Reaktion und Recovery |
| Ihr Problem | ENISA-Dokument | Suche auf enisa.europa.eu | Konkreter Nutzen |
|---|---|---|---|
| Cloud-Sicherheit: Wie wähle ich sicher aus und betreibe ich Cloud? | ENISA Cloud Computing: Benefits, Risks and Recommendations | "ENISA cloud computing" | Auswahlkriterien, Risikoanalyse, technische Mindestanforderungen |
| KI-Systeme absichern (AI Act-relevant) | ENISA Artificial Intelligence Cybersecurity Challenges | "ENISA AI cybersecurity" | Sicherheitsrisiken von KI und Gegenmaßnahmen |
| Industrielle Steuerung / OT sichern | ENISA ICS/SCADA Cybersecurity | "ENISA ICS SCADA" | OT-spezifische Maßnahmen; Segmentierung, Monitoring |
| Gesundheitswesen: Spezifische Anforderungen | ENISA Cybersecurity for Hospitals | "ENISA health cybersecurity" | Sektorspezifische Maßnahmen und NIS2-Mapping |
| Lieferkettensicherheit: Wie bewerte ich Software-Lieferanten? | ENISA Supply Chain Security | "ENISA supply chain" | Bewertungsrahmen, SBOM-Anforderungen, Vertragsklauseln |
ENISA-Konformität ist kein Selbstzweck. Sie wirkt in konkreten Situationen:
NIS2 verlangt 'state of the art'-Sicherheitsmaßnahmen. Nationale Aufsichtsbehörden (BSI, ANSSI, BACS etc.) verwenden ENISA-Leitlinien als Interpretationsgrundlage. Wer ENISA-Standards umsetzt, hat den stärksten verfügbaren Nachweis für regulatorische Konformität.
Wenn EU-Kunden Sicherheitsnachweise verlangen, können ENISA-Referenzen die Antwort auf viele Fragen strukturieren:
Frage: 'Wie managen Sie Schwachstellen?' → 'Wir folgen den ENISA Good Practices for Vulnerability Disclosure (CVD).'
Frage: 'Wie klassifizieren Sie Incidents?' → 'Wir verwenden das ENISA-Incident-Klassifikationsschema.'
Frage: 'Wie bewerten Sie Ihre Lieferanten?' → 'Wir nutzen den ENISA Supply Chain Security Bewertungsrahmen.'
Das Security Master Document (aus dem ISO-27001-Light-Leitfaden) wird durch ENISA-Referenzen erheblich stärker. Statt 'Wir haben Zugriffskontrollen' können Sie schreiben: 'Unsere Zugriffskontrollen folgen den ENISA Guidelines on Measures under NIS2, Section 4.2, und sind in unserem SoA v2.1 dokumentiert.'
ENISA-Dokumente sind technisch und methodisch universell anwendbar – sie sind nicht auf EU-Unternehmen beschränkt. Schweizer KMU können und sollten sie genauso nutzen wie EU-Unternehmen.
| Situation | Relevanz von ENISA |
|---|---|
| Schweizer KMU als NIS2-Lieferant | EU-Kunden akzeptieren ENISA-orientierte Sicherheit als Nachweis – auch ohne EU-Niederlassung |
| Schweizer KMU mit DORA-pflichtigen Kunden | ENISA-Dokumente für DORA sind der Referenzrahmen, den Ihre Kunden verwenden |
| Schweizer KMU als CRA-betroffener Hersteller | ENISA-Dokumente zur Secure Development und SBOM sind die relevanten technischen Referenzen |
| Schweizer KMU für CH-Behörden | BACS (Bundesamt für Cybersicherheit) orientiert sich an ENISA-Standards; Alignment ist vorteilhaft |
Viele KMU laden ENISA-PDFs herunter, lesen sie – und kehren zum Alltag zurück. ENISA-Wert entsteht nur durch Implementierung, nicht durch Kenntnis.
ENISA aktualisiert seine Dokumente regelmässig. Das ETL (Threat Landscape) erscheint jährlich. Wer NIS2-Umsetzung an einem Dokument von 2021 ausrichtet, arbeitet auf veralteter Grundlage.
'Wir folgen ENISA-Standards' ist kein Risikomanagement – es ist ein Referenzrahmen. Eigene Risikoidentifikation, -bewertung und -behandlung sind nicht ersetzbar. ENISA gibt das Framework; Sie füllen es mit Ihren spezifischen Risiken.
Alle relevanten ENISA-Dokumente sind auf Englisch. Das ist für manche KMU eine Hürde. Aber die relevanten Abschnitte sind oft kurz und direkt umsetzbar – und die Investition in das Verständnis zahlt sich bei jedem Kunden-Audit aus.
ENISA-Standards und ISO 27001 sind komplementär, nicht konkurrierend. ENISA gibt sektorspezifische und regulierungsspezifische Guidance; ISO 27001 gibt die Managementsystem-Struktur. Das beste Ergebnis entsteht aus beiden zusammen.
| Prio | Maßnahme | Warum jetzt |
|---|---|---|
| 1 | ENISA Cybersecurity Guide for SMEs herunterladen und lesen | Der beste kostenlose Einstieg in strukturierte KMU-Sicherheit. |
| 2 | Für jede aktive Regulierung (NIS2, DORA, CRA) das relevante ENISA-Dokument aus Abschnitt 1 finden | Gibt sofort Klarheit über die Erwartungen der Aufsichtsbehörden. |
| 3 | ENISA Threat Landscape Report (aktuellste Version) lesen | Zeigt, gegen welche Angriffe Sie sich 2025/26 schützen müssen. |
| 4 | ENISA-Referenzen in Security Master Document und Kunden-Fragebogen-Antworten verankern | Erhöht Glaubwürdigkeit und Prüfbarkeit Ihrer Sicherheitsnachweise erheblich. |
| 5 | Jährlichen ENISA-Review in Governance-Kalender aufnehmen | Neue Dokumente und Updates nicht verpassen. |
| NBK Legal Rechts- und Compliance-Beratung EU-Digitalregulierung · Datenschutz · Cybersicherheit Schweiz · EU | Website www.nbklegal.online Alle Leitfäden der Serie www.nbklegal.online/leitfäden |
|---|