Anschlussfähigkeit für Schweizer Unternehmen – warum EU-Regulierung längst über Verträge, Lieferketten und Audits in der Schweiz angekommen ist.
Ich spreche aus einer operativen Perspektive an der Schnittstelle von Recht, Regulierung und Organisation.
Meine berufliche Laufbahn führte mich von der anwaltlichen Ausbildung in der Schweiz über internationale Kanzleien in Deutschland bis in die Unternehmenspraxis eines regulierten Insurtechs. In diesen Stationen war ich über viele Jahre gezwungen, EU-Regulierung, M&A, Datenschutz, Informationssicherheit, ISO 27001 und zuletzt DORA nicht isoliert, sondern im laufenden Betrieb miteinander zu verzahnen.
Der Blick dieses Vortrags ist deshalb bewusst interdisziplinär: Er richtet sich auf Unternehmen als Organisationen – auf ihre Resilienz, ihre Entscheidungsstrukturen, ihre Wettbewerbsfähigkeit und ihre Einbettung in zunehmend extraterritoriale EU-Regulierung, exemplarisch am Beispiel von DORA.
Es gibt einerseits hochwertige und gut informierte Beratungsangebote, die sich vor allem an internationale Konzerne und größere Unternehmen richten. Andererseits besteht erkennbar ein Informationsdefizit zu der Frage, welche Auswirkungen DORA und vergleichbare EU-Regulierungen für Schweizer KMU haben können, die nicht ausschließlich im Binnenmarkt tätig sind.
Viele dieser Unternehmen gehen derzeit implizit davon aus, dass EU-Regulierung primär europäische Unternehmen betrifft und für die Schweiz keine unmittelbare Relevanz hat. Diese Annahme ist historisch nachvollziehbar, wird aber unter den aktuellen regulatorischen Rahmenbedingungen zunehmend riskant.
Die industrie- und machtpolitische Dimension dieser Entwicklung lasse ich bewusst außen vor. Nicht, weil sie irrelevant wäre, sondern weil sie kurzfristig nicht durch einzelne Unternehmen beeinflussbar ist.
Mein heutiger Beitrag setzt eine Ebene darunter an: Ich konzentriere mich auf die Auswirkungen von DORA entlang der Wertschöpfungskette und darauf, was dies ganz konkret für Organisation, Prozesse und Entscheidungen im unternehmerischen Alltag bedeutet.
Auch Unternehmen, die formal nicht direkt in den Anwendungsbereich von DORA fallen, werden faktisch mit DORA konfrontiert – über ihre Geschäftspartner in der EU.
Europäische Finanzinstitute, Versicherungen und andere regulierte Unternehmen sind verpflichtet, ihre Dienstleister, Technologiepartner und Lieferanten in ihre eigenen Resilienz- und Governance-Strukturen einzubeziehen. Das geschieht bereits heute insbesondere durch:
Regulierung erfolgt nicht mehr primär über Aufsichtsbehörden, sondern über den Markt selbst.
Diese Entwicklung wird auch als Brussels Effect beschrieben. Entscheidend ist dabei weniger der Begriff als die Mechanik: Organisationen werden über Verträge, Auditrechte, Lieferketten und Governance-Pflichten selbst zu Trägern regulatorischer Anforderungen.
Konkret bedeutet das: Ein Schweizer SaaS-KMU mit 30 Mitarbeitenden und einem EU-Bankkunden unterliegt DORA nicht als Gesetz, aber als Vertragsrealität – etwa durch Audit-Rechte, Exit-Pläne, Transparenzpflichten beim Sub-Outsourcing oder Incident-Kommunikation.
Ab diesem Punkt ist DORA keine abstrakte Regulierung mehr, sondern eine Voraussetzung für Beschaffungs- und Vertragsfähigkeit.
Ein strukturelles Problem dieser marktgetriebenen Aufsicht ist, dass sie nicht zwischen groß und klein unterscheidet. Entscheidend ist nicht die Unternehmensgröße, sondern die Anschlussfähigkeit an vorgegebene Risikoraster. Für Schweizer KMU bedeutet das: Sie werden weniger an ihrem individuellen Risiko gemessen als an ihrer strukturellen Reife.
Wer jedoch relevante Leistungen für EU-Unternehmen erbringt, hat faktisch kaum Spielraum, sich nicht mit DORA zu befassen. Die Alternative ist nicht «keine Regulierung», sondern verzögerte Vertragsabschlüsse, Ausschluss aus Ausschreibungen oder der Verlust bestehender Geschäftsbeziehungen.
Zusätzlich ist zu erwarten, dass Regulatory Debt – ähnlich wie technische Altlasten – künftig stärker in Unternehmensbewertungen, Finanzierungsrunden und M&A-Transaktionen einfließt: weniger Ertrag, geringerer Wert, höhere Kosten, mehr strukturelle Lasten.
Um die vom Markt geforderte Anschlussfähigkeit mit beherrschbarem Aufwand herzustellen, müssen KMU bewusst priorisieren. DORA verlangt keine Vollständigkeit, sondern Entscheidungsfähigkeit an zentralen Punkten.
Wer versucht, von Beginn an «alles richtig zu machen», verliert Zeit, Geld und Fokus.
Ob sich der Aufbau einer DORA-orientierten Struktur lohnt, hängt wesentlich von der Kunden- und Geschäftspartnerstruktur ab. Investitionen sind sinnvoll, wenn mehrere EU-Kunden mit relevanten Umsätzen und realistischen Wachstumsoptionen bestehen und wiederkehrende Audits zu erwarten sind.
Vorbereitung bedeutet in diesem Kontext nicht Perfektion oder sofortige Zertifizierung, sondern Klarheit, Entscheidungsfähigkeit und Erklärbarkeit. Kann das Management die eigene Position nicht erklären, fehlt die Anschlussfähigkeit – unabhängig vom technischen Stand.
In der Praxis zeigt sich: Frühzeitige, offene Kommunikation mit EU-Kunden ist wirksamer als das reaktive Abarbeiten von Fragebögen. Wer den eigenen Reifegrad transparent darstellt – was möglich ist, was nicht und wie der weitere Plan aussieht – agiert professionell, verhandlungsfähig und reduziert das Risiko von Fehlinvestitionen.
Wenn eine Investition in DORA-orientierte Strukturen grundsätzlich sinnvoll ist, stellt sich die Frage nach geeigneten Strukturankern. In der Praxis können bestimmte ISO-Normen hierfür einen tragfähigen Rahmen bieten: insbesondere ISO 27001, ISO 22301 und perspektivisch auch ISO 42001.
Der Vorteil eines ISO-basierten Ansatzes liegt weniger im Zertifikat als in der Systemlogik: Ein einheitliches Managementsystem kann so gestaltet werden, dass es Anforderungen mehrerer, ähnlich strukturierter Regulierungen abdeckt – etwa DORA, aber auch angrenzende Regelwerke wie den AI Act. Ein System dient damit mehreren Zwecken.
Zusätzliche, spezifische Anforderungen aus DORA oder anderen Regelwerken können darauf aufbauend schrittweise ergänzt werden – idealerweise entlang konkreter Kundenanforderungen.
In der Schweiz wird EU-Regulierung häufig als zu detailliert, zu fremd und zu weit von der eigenen Praxis entfernt wahrgenommen. Demgegenüber steht ein anderes, sehr schweizerisches Bild: das Sackmesser. Ein Werkzeug, das nicht perfekt ist, aber zuverlässig, pragmatisch, funktional und nah an der Realität.
DORA definiert einen europäischen Mindeststandard für digitale operationale Resilienz. Nicht weniger – aber auch nicht mehr. Es ist ausdrücklich möglich, diese Mindestanforderungen mit besseren, tragfähigeren Praktiken zu übertreffen.
Ein weitergehender Ansatz beginnt daher mit einer einfachen Frage: Welche wenigen Funktionen müssen unter allen Umständen weiterlaufen, damit das Unternehmen operativ überlebensfähig bleibt? Von dort lässt sich rückwärts arbeiten: Welche Systeme hängen daran? Welche Daten? Welche externen Dienstleister? Welche Entscheidungsrollen?
Das Ergebnis ist keine zusätzliche Dokumentation, sondern eine operative Abhängigkeitslandkarte, die Technik, Organisation und Geschäftsmodell verbindet.
Mit pragmatischer, funktionaler «Sackmesser-Technik» lässt sich europäische Anschlussfähigkeit herstellen – robust, belastbar und wettbewerbsfähig.
DORA lässt sich noch aus einer weiteren Perspektive lesen: als strukturierter Test der eigenen digitalen Realität.
Im Kern stellt DORA eine einfache Frage: Wie robust, transparent und steuerbar sind unsere digitalen Abhängigkeiten tatsächlich?
In einem Umfeld zunehmender Vernetzung, Cloud-Abhängigkeiten und komplexer Lieferketten ist Resilienz längst kein reines Sicherheits- oder Compliance-Thema mehr. Sie wird zu einer Voraussetzung für Handlungsfähigkeit.
In diesem Zusammenhang lässt sich auch von digitaler Souveränität sprechen – verstanden nicht als Unabhängigkeit, sondern als Fähigkeit, auch innerhalb von Abhängigkeiten handlungsfähig zu bleiben: zu wissen, wovon man abhängt, wo man eingreifen kann und wo Entscheidungen tatsächlich liegen.
Unternehmen, die diese Fragen früh und sauber beantworten, stärken nicht nur ihre regulatorische Anschlussfähigkeit, sondern auch ihre Krisenfestigkeit und ihre Verhandlungsposition gegenüber Kunden und Partnern – unabhängig vom Standort.
DORA – wie andere europäische Digitalregulierungen – folgt einem klaren Muster: Es geht weniger darum, einzelne Pflichten formal zu erfüllen, als darum, wie Organisationen tatsächlich funktionieren, wenn:
DORA wirkt damit unmittelbar auf Arbeitsweisen, Entscheidungsprozesse, Verantwortungsstrukturen und letztlich auf die Unternehmenskultur.
Bei sachgerechter Umsetzung entfaltet DORA einen weiteren, häufig unterschätzten Effekt: Die Anforderungen machen sogenannte White Spaces sichtbar – blinde Flecken, in denen im Alltag vieler Organisationen operative Probleme entstehen.
Wer diese White Spaces früh erkennt und schließt, erhöht nicht nur die regulatorische Anschlussfähigkeit, sondern auch die operative Stabilität und die Qualität unternehmerischer Entscheidungen.
In der praktischen Umsetzung zeigt sich, dass sich die Anforderungen von DORA entlang zweier grundlegender Dimensionen ordnen lassen:
Strukturelle Integrität: Organisationen benötigen auditfähige Strukturen, die mehrere regulatorische Anforderungen gleichzeitig tragen können – statt für jedes Regelwerk neue Projekte, neue Tabellen und neue Zuständigkeiten zu erzeugen.
Organisationale Resilienz: Diese Strukturen müssen auch dann funktionieren, wenn sie tatsächlich belastet werden – im Incident, im Audit, bei Systemausfällen oder bei Entscheidungen unter Zeitdruck.
Verfügt ein Unternehmen über ausreichende Integrität in seinen Strukturen – und über Resilienz in seiner operativen Umsetzung?
Ein mittelgroßes Schweizer Finanzinstitut, nicht systemrelevant. Die IT ist weitgehend ausgelagert – E-Mail, Teile des Zahlungsverkehrs, zentrale Anwendungen. Beim Cloud-Dienstleister existiert eine veraltete Infrastrukturkomponente. Es kommt zu einer klassischen E-Mail-Compromise-Attacke: eine gefälschte CEO-Mail, eine plausible Zahlungsanweisung, ein signifikanter Betrag wird überwiesen.
Der Vorfall wird erst nach Tagen erkannt. Nicht wegen fehlender fachlicher Kompetenz, sondern wegen fehlender Struktur: unklare Eskalationswege, fragmentierte Verantwortung zwischen Institut und Dienstleister, fehlende Transparenz über kritische operative Abhängigkeiten.
In diesem Sinn materialisiert sich hier Regulatory Debt: ein kumuliertes Organisationsdefizit, das im Alltag kaum sichtbar ist, sich im Ernstfall aber schlagartig auswirkt.
Mit grundlegenden Mindeststrukturen hätte sich der Verlauf deutlich verändert:
Nicht das Regelwerk hätte den Unterschied gemacht, sondern die Fähigkeit der Organisation, Abhängigkeiten zu steuern und unter Zeitdruck zu entscheiden.
DORA ist kein rein juristisches Detailregelwerk, sondern ein strategisch-operativer Regulierungsrahmen. Er adressiert nicht einzelne Pflichten, sondern die Frage, wie Unternehmen ihre technologische und organisatorische Resilienz aufstellen – also Entscheidungswege, Abhängigkeiten, Verantwortlichkeiten und Steuerungsfähigkeit unter Stress.
Darin zeigt sich eine Entwicklung, die aktuell in vielen Bereichen zu beobachten ist: Technische und organisatorische Fragestellungen werden zunehmend rechtlich strukturiert.
Recht greift nicht mehr erst am Ende ein, sondern definiert vorab, welche organisatorischen Mindestfähigkeiten als markt- und aufsichtsrelevant gelten. Vor diesem Hintergrund lässt sich DORA weniger als Spezialmaterie, sondern als Blaupause für den Umgang mit digitalen Abhängigkeiten lesen.
Dieser Vortrag berührt Themen, die Sie weiter vertiefen können: