NIS2, DSGVO, nDSG: Was europäische Unternehmen 2026 wissen müssen

Wenn Sie ein Unternehmen in Europa führen, operieren Sie in einem der komplexesten regulatorischen Umfelder für Cybersicherheit weltweit. Die DSGVO ist seit 2018 die Basis. Das revidierte Schweizer Datenschutzgesetz (nDSG) trat im September 2023 in Kraft. Und die NIS2-Richtlinie, die die EU im Januar 2023 verabschiedete, wird nun in nationales Recht der Mitgliedstaaten umgesetzt.

Für viele Unternehmen, insbesondere solche, die grenzüberschreitend tätig sind, lautet die Frage nicht, ob diese Vorschriften gelten, sondern wie man sie alle gleichzeitig einhalten kann.

Die Datenschutz-Grundverordnung bleibt der Eckpfeiler des Datenschutzes in Europa. Wenn Sie personenbezogene Daten von EU-Einwohnern verarbeiten, gilt die DSGVO, unabhängig davon, wo Ihr Unternehmen seinen Sitz hat. Zentrale Anforderungen umfassen rechtmässige Verarbeitung, Datenminimierung, Meldepflicht bei Datenpannen innerhalb von 72 Stunden und das Recht auf Löschung.

Was sich 2026 geändert hat: Die Durchsetzung hat sich deutlich verschärft. Der Europäische Datenschutzausschuss hat die grenzüberschreitende Zusammenarbeit intensiviert, und Bussen sind längst nicht mehr grossen Technologiekonzernen vorbehalten. Mittelständische Unternehmen werden heute regelmässig geprüft.

Das revidierte Bundesgesetz über den Datenschutz (nDSG) orientiert sich stark an der DSGVO, hat aber eigene Nuancen. Es gilt für jede Datenverarbeitung, die sich in der Schweiz auswirkt. Wesentliche Unterschiede umfassen eine breitere Definition sensibler Daten, obligatorische Datenschutz-Folgenabschätzungen und spezifische Regeln für Datenübermittlungen ins Ausland.

Für Schweizer Unternehmen mit EU-Kunden (oder EU-Unternehmen mit Schweizer Geschäft) ist die doppelte Compliance keine Option, sondern eine rechtliche Pflicht.

Während sich DSGVO und nDSG auf den Datenschutz konzentrieren, zielt die NIS2-Richtlinie direkt auf die Cybersicherheit ab. Sie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie auf mehr Sektoren und legt strengere Sicherheitsanforderungen fest, einschliesslich Risikomanagement-Massnahmen, Meldepflichten bei Vorfällen und Lieferkettensicherheit.

Die praktische Erkenntnis: Selbst wenn Ihr Unternehmen nicht direkt betroffen ist, sind es Ihre Kunden oder Partner sehr wahrscheinlich. Lieferketten-Compliance wird zunehmend zu einem Wettbewerbsfaktor.

Das WAARD Assessment berücksichtigt alle drei Rahmenwerke. Ihr Reifegradreport identifiziert Compliance-Lücken über DSGVO, nDSG und NIS2 hinweg, damit Sie genau wissen, wo Handlungsbedarf besteht.