Swiss Room · Leitfaden 13 von 15
LIGHT
Was dieser Leitfaden Ihnen gibt
Ohne Zertifizierungsdruck · Mit Regulierungswirkung · Sofort umsetzbar
Diese Leitfadenreihe ist aus einer spezifischen Perspektive heraus geschrieben: der einer General Counsel / Senior Vice President, die über viele Jahre in leitender Inhouse-Funktion in regulierten Unternehmen gearbeitet hat – in der Schweiz und in der EU. Die Autorin verfügt über eine juristische und betriebswirtschaftliche Ausbildung in der Schweiz und in Deutschland sowie über langjährige operative Erfahrung als interne Rechts- und Compliance-Verantwortliche in internationalen Konzernen und KMU-Umfeldern.
Diese Kombination – juristische Tiefe, operatives Management-Know-how und direkte Erfahrung mit den Realitäten von Lieferketten, Vertragsverhandlungen und Aufsichtsbehörden – ist der Grund, warum die Texte so geschrieben sind, wie sie sind: nicht als formale Gesetzeskommentare, sondern als Arbeitsinstrumente. Sie richten sich gleichzeitig an Führungskräfte, die schnell einordnen müssen, was eine Regulierung für ihr Unternehmen bedeutet, und an Fachabteilungen, die wissen müssen, was operativ zu tun ist.
Der interdisziplinäre Ansatz ist bewusst: Digitale Regulierung berührt gleichzeitig IT, Recht, Procurement, Geschäftsführung, HR und Lieferkette. Eine Perspektive, die nur eine dieser Dimensionen kennt, liefert unvollständige Antworten. Die Leitfäden versuchen, alle relevanten Dimensionen gleichzeitig zu adressieren – mit dem Bewusstsein, dass in der Praxis selten ein Team allein zuständig ist und die wirklichen Herausforderungen meistens an den Schnittstellen entstehen.
Die Perspektive «Schweizer KMU im EU-Kontext» ist nicht zufällig. Sie spiegelt langjährige Arbeit an der Schnittstelle zwischen Schweizer Geschäftspraxis und europäischem Regulierungsrahmen: die Erfahrung, was es konkret bedeutet, wenn ein EU-Kundenvertrag plötzlich DORA-Klauseln enthält, wenn ein Procurement-Fragebogen AI-Act-Anforderungen stellt oder wenn ein Lieferant keine NIS2-konformen Sicherheitsnachweise liefern kann. Diese Leitfäden sind aus genau diesen Situationen heraus entstanden – nicht aus dem Lesen von Gesetzestexten, sondern aus der Erfahrung ihrer Auswirkungen.
ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme. Eine vollständige Zertifizierung kostet Schweizer KMU typischerweise 30'000–80'000 CHF und 6–18 Monate. Das ist für viele KMU zu teuer – und oft auch nicht notwendig.
Trotzdem ist ISO 27001 relevant: NIS2, DORA und AI Act verweisen explizit auf ISO 27001 als Referenzrahmen. EU-Kunden akzeptieren ISO-orientierte Sicherheitsnachweise oft ohne formale Zertifizierung. Und die Struktur des Standards ist das beste verfügbare Werkzeug, um Informationssicherheit systematisch aufzubauen.
| Was viele denken | Was es wirklich ist |
|---|---|
| 'ISO 27001 ist eine Checkliste' | Ein Managementsystem-Rahmen: nicht Was, sondern Wie Sie Sicherheit steuern |
| 'Man braucht ein Zertifikat, um zu profitieren' | Auch ohne Zertifikat ist ISO-orientiertes Arbeiten regulatorisch anerkannt |
| 'Das ist für IT-Abteilungen' | ISO 27001 ist ein Management-System. Führungskräfte tragen die Verantwortung |
| 'Einmal implementiert, dann fertig' | Kontinuierlicher Verbesserungsprozess: Review, Test, Update, Repeat |
| 'Alle 114 Kontrollen müssen umgesetzt werden' | Scope und Kontrollen werden risikobasiert ausgewählt – nicht alles gilt für jeden |
| Regulierung | ISO-27001-Überschneidung | Was das bedeutet |
|---|---|---|
| NIS2 | Risikomanagement, Incident Response, Lieferkettensicherheit, Zugriffskontrollen | ISO 27001 wird von nationalen NIS2-Behörden als Referenzrahmen anerkannt |
| DORA | ICT-Risikomanagement, BCM, Incident-Reporting, Drittanbieter-Kontrolle | ISO 27001 + ISO 22301 deckt den grössten Teil der DORA-Anforderungen ab |
| AI Act | Datensicherheit, Zugangskontrollen, Logging, Incident Response | ISO 27001 als Governance-Grundlage; AI Act erfordert zusätzlich KI-spezifische Kontrollen |
| GDPR/revDSG | Technische und organisatorische Maßnahmen (TOMs) | ISO 27001 ist der anerkannte Rahmen für TOMs |
| FINMA-Rundschreiben | IKT-Risikomanagement, Sicherheitskontrollen, Outsourcing | ISO 27001 als akzeptierter Nachweis |
ISO 27001 besteht aus zwei Teilen: dem Managementsystem-Rahmen (Klauseln 4–10) und den Sicherheitskontrollen (Annex A). Für 'Light'-Implementierung konzentrieren wir uns auf das Wesentliche.
| Klausel | Kern-Anforderung | 'Light'-Umsetzung für KMU |
|---|---|---|
| 4: Kontext | Wer sind wir? Was sind unsere Risiken? Was ist unser Scope? | Einseitige Scope-Beschreibung: welche Systeme, Daten, Prozesse sind im ISMS |
| 5: Führung | Management trägt Verantwortung für Informationssicherheit | Informationssicherheits-Policy von Geschäftsleitung unterzeichnet |
| 6: Planung | Risiken identifizieren und behandeln; messbare Ziele setzen | Risikoregister mit Top-10-Risiken; jährliche Überprüfung |
| 7: Support | Ressourcen, Kompetenz, Kommunikation, Dokumentation | Sicherheitsverantwortlicher benannt; grundlegende Dokumentation |
| 8: Betrieb | Sicherheitsmaßnahmen umsetzen und steuern | Kontrollen aus Annex A risikobasiert auswählen und umsetzen |
| 9: Bewertung | Interne Audits, Managementreviews, Messung | Jährliches Management-Review; einfaches Audit intern möglich |
| 10: Verbesserung | Auf Abweichungen reagieren; kontinuierlich verbessern | Incident-Lernschleife; dokumentierte Verbesserungen |
Annex A enthält 93 Kontrollen. Für ein KMU-'Light'-ISMS sind diese 20 der grösste Hebel – sie decken die häufigsten Schwachstellen und die meisten regulatorischen Anforderungen ab.
| Kontrolle | Regulatorische Relevanz | Was Sie konkret implementieren |
|---|---|---|
| Informationssicherheits-Policy | NIS2, DORA, GDPR | 1–2 Seiten, von GL unterzeichnet, jährlich reviewed |
| Risikobeurteilung und -behandlung | NIS2, DORA, AI Act | Risikoregister mit Bedrohungen, Auswirkungen, Maßnahmen |
| Asset Management (Daten- und Systemkatalog) | GDPR, NIS2 | Liste kritischer Systeme, Daten und Verantwortlichkeiten |
| Zugangskontrollen (Access Control) | GDPR, NIS2, AI Act | Rollen-basiertes Zugriffskonzept; Need-to-know-Prinzip |
| Privileged Access Management | NIS2, DORA | Separate Accounts für Admins; MFA Pflicht |
| Kryptographie (Verschlüsselung) | GDPR, DORA | Verschlüsselung at rest und in transit; Schlüsselmanagement |
| Physische Sicherheit | NIS2, DORA | Zutrittskontrollen zu Serverräumen/Büros mit kritischer Infrastruktur |
| Malware-Schutz | NIS2 | Endpoint-Protection auf allen Geräten; automatische Updates |
| Backup und Recovery | DORA, NIS2 | 3-2-1-Backup-Regel; regelmässige Restore-Tests |
| Logging und Monitoring | AI Act, NIS2, DORA | Zentrale Logs; Aufbewahrung mind. 1 Jahr; Anomalie-Erkennung |
| Patch Management | NIS2, CRA | Definierte Patch-Fristen: kritisch ≤72h, hoch ≤1 Woche |
| Netzwerksegmentierung | NIS2, DORA | Kritische Systeme in separaten Netzwerkzonen |
| Incident Management | NIS2, DORA, AI Act | Dokumentierter IR-Prozess; Eskalationspfad; Post-Incident-Review |
| Business Continuity (BCM) | DORA, NIS2 | BCP mit RTO/RPO; jährlicher Test |
| Lieferkettensicherheit (Supplier Security) | NIS2, DORA | Lieferantenmatrix; Sicherheitsanforderungen in Verträgen |
| Sichere Entwicklung (Secure Development) | CRA, AI Act | Security im SDLC; Code Reviews; Dependency Scanning |
| Vulnerability Management | CRA, NIS2 | Regelmässige Scans; CVE-Monitoring; Disclosure-Prozess |
| Human Resource Security (Mitarbeiter) | GDPR, NIS2 | Security-Schulungen; Off-Boarding-Prozess; Background Checks |
| Compliance mit Rechtsanforderungen | GDPR, NIS2, DORA | Regulierungsmonitoring; Compliance-Register |
| Informationssicherheits-Bewertung (Audits) | NIS2, DORA | Jährliches internes Audit; Penetrationstest alle 2 Jahre |
Dieser Plan ist in drei Phasen gegliedert. Jede Phase ist in 4–6 Wochen umsetzbar. Ziel nach Phase 3: ein ISMS, das regulatorische Anfragen beantwortet und als Basis für eine spätere Zertifizierung dient.
| # | Aufgabe | Zeitaufwand | Output |
|---|---|---|---|
| 1 | Scope definieren: Welche Systeme, Daten und Prozesse sind im ISMS? | 2h | Scope-Dokument |
| 2 | Asset-Register: Alle kritischen Systeme, Daten und deren Verantwortliche erfassen | 4h | Asset-Register |
| 3 | Informationssicherheits-Policy schreiben und von GL unterzeichnen lassen | 3h | Unterzeichnete Policy |
| 4 | Risikoregister: Top-10-Risiken identifizieren, bewerten, Maßnahmen benennen | 4h | Risikoregister |
| 5 | Sicherheitsverantwortlichen benennen (kann Teilzeit sein) | 1h | Benannte Person |
| # | Aufgabe | Zeitaufwand | Output |
|---|---|---|---|
| 6 | Zugriffskonzept erstellen: Wer hat Zugang wozu? MFA aktivieren | 4h | Zugriffsmatrix + MFA |
| 7 | Backup-Strategie implementieren und ersten Restore-Test durchführen | 4h | Backup-Policy + Testprotokoll |
| 8 | Patch-Management-Policy definieren: Fristen, Verantwortlichkeit, Prozess | 2h | Patch-Policy |
| 9 | Incident-Response-Prozess dokumentieren und testen (Tabletop) | 3h | IR-Playbook + Testprotokoll |
| 10 | Lieferantenmatrix erstellen: kritische Anbieter, Sicherheitsanforderungen | 3h | Lieferantenmatrix |
| 11 | Statement of Applicability (SoA) erstellen: jede Kontrolle mit Status | 4h | SoA-Dokument |
| 12 | Mitarbeiter-Schulung zu Basisinformationssicherheit | 2h | Schulungsnachweis |
| # | Aufgabe | Zeitaufwand | Output |
|---|---|---|---|
| 13 | Management-Review durchführen: Status des ISMS, offene Maßnahmen, Ziele | 2h | Management-Review-Protokoll |
| 14 | Penetrationstest oder Vulnerability-Scan beauftragen | Extern | Pentest-Bericht |
| 15 | Compliance-Mapping: ISMS zu NIS2, DORA, GDPR, AI Act | 3h | Compliance-Übersicht |
| 16 | Jährliche Review-Termine im Kalender verankern | 1h | Governance-Kalender |
| 17 | Security Master Document erstellen: Zusammenfassung für Kunden-Audits | 3h | Security Master Doc |
Das Security Master Document ist das Dokument, das Sie an EU-Kunden, Auditoren und Regulatoren senden, wenn sie nach Ihrem Sicherheitsprogramm fragen. Es ersetzt individuelle Fragebogen-Antworten.
| Abschnitt | Inhalt |
|---|---|
| Überblick ISMS | Scope, Verantwortlichkeiten, Policy-Verweis, Zertifizierungsstatus |
| Risikoansatz | Kurze Beschreibung der Risikobewertungsmethodik und Risikoregister-Existenz |
| Statement of Applicability (Zusammenfassung) | Welche ISO-27001-Kontrollen implementiert; welche ausgeschlossen und warum |
| Schlüsselkontrollen | Zugriffskontrollen, Verschlüsselung, Backup, Patch, Incident Response – Status und Nachweis |
| Compliance-Mapping | Welche regulatorischen Anforderungen das ISMS abdeckt (NIS2, DORA, GDPR) |
| Lieferkettensicherheit | Kurze Beschreibung des Lieferantenmanagement-Prozesses |
| Incident Response | IR-Prozess, Fristen, Eskalationspfad – ohne operative Details |
| Letzte Überprüfung | Datum des letzten Management-Reviews und Audits |
| Zertifizierung lohnt sich wenn... | 'Light'-Ansatz reicht wenn... |
|---|---|
| Kunden explizit ein ISO-27001-Zertifikat verlangen (nicht nur 'ISO-orientiert') | Kunden Sicherheitsnachweise akzeptieren ohne formales Zertifikat |
| Sie in einem Sektor tätig sind, wo Zertifizierung Standard ist (Finanz, Gesundheit, kritische Infrastruktur) | Sie primär B2B in nicht-regulierten Sektoren tätig sind |
| Sie Zertifizierung als Differenzierungsmerkmal im Vertrieb nutzen wollen | Ihr Vertrieb ohne Zertifikat kompetitiv ist |
| Sie bereits 'Light' implementiert haben und der Aufwand für die Zertifizierung marginal ist | Sie noch am Anfang sind und Zertifizierung überdimensioniert wäre |
| Regulatoren (FINMA, DORA-Aufsicht) eine Zertifizierung faktisch verlangen | Sie die regulatorischen Anforderungen ohne Zertifikat nachweisen können |
Informationssicherheit wird an die IT-Abteilung delegiert. Die Geschäftsleitung sieht sich nicht als zuständig. Dann fehlt die unterzeichnete Policy, die Management-Reviews finden nicht statt, und das ISMS ist Papier ohne Wirkung. ISO 27001 ist explizit ein Managementsystem – Führung ist Pflicht.
Das SoA ist das Herzstück jedes ISO-27001-Programms – es dokumentiert, welche Kontrollen Sie anwenden und warum Sie andere ausgeschlossen haben. Ohne SoA ist jede ISO-Diskussion unvollständig, und Auditoren fragen es als erstes.
Policies, Risikoregister und Berichte ohne Datum sind für Kunden-Audits und Regulatoren wertlos. Sie können nicht nachweisen, wann eine Kontrolle implementiert wurde, ob sie aktuell ist, oder wer sie autorisiert hat.
Backup-Systeme existieren – aber der letzte Restore-Test ist drei Jahre alt oder nie passiert. Im Ernstfall zeigt sich das. Und im Kunden-Audit auch.
| Prio | Maßnahme | Warum jetzt |
|---|---|---|
| 1 | Scope definieren und Asset-Register erstellen | Ohne Inventar weiss niemand, was geschützt werden muss. |
| 2 | Informationssicherheits-Policy von GL unterzeichnen | Signalisiert Ernst. Erste Frage bei jedem Kunden-Audit. |
| 3 | Risikoregister mit Top-10-Risiken erstellen | Grundlage für alle weiteren Maßnahmen. Ohne Risikobewertung ist jede Maßnahme willkürlich. |
| 4 | MFA für alle Admin-Zugänge aktivieren | Schnellster ROI in Informationssicherheit. Heute umsetzbar. |
| 5 | Backup-Strategie und Restore-Test dokumentieren | DORA- und NIS2-Kunden fragen als erstes. |
| 6 | Security Master Document erstellen | Ersetzt dutzende individuelle Fragebogen-Antworten. |
| NBK Legal Rechts- und Compliance-Beratung EU-Digitalregulierung · Datenschutz · Cybersicherheit Schweiz · EU | Website www.nbklegal.online Alle Leitfäden der Serie www.nbklegal.online/leitfäden |
|---|