Geltungsbereich

Die DSGVO gilt für Schweizer Unternehmen immer dann, wenn sie sich mit ihren Angeboten oder ihrer Datenverarbeitung gezielt (aber nicht ausschliesslich) an Personen in der EU wenden oder deren Verhalten überwachen – auch ohne Sitz in der EU.

Schweizer Firmen können direkt oder indirekt von NIS2 betroffen sein.

Hat ein Schweizer Unternehmen eine Tochtergesellschaft, Betriebsstätte oder rechtliche Einheit in einem EU-Mitgliedsstaat, dann gilt NIS2 für diese Niederlassung.

Auch ohne Sitz in der EU können Schweizer Firmen von NIS2 betroffen sein:

• Schweizer Unternehmen, die IT-Dienstleistungen, Komponenten oder Services an NIS2-pflichtige Unternehmen in der EU liefern, müssen oft NIS2-Standards einhalten, weil ihre Kunden dies in Verträgen verlangen.

• Wenn ein Schweizer Anbieter digitale Dienste direkt in der EU anbietet (z. B. Rechenzentren, Cloud Services, kritische Software), kann er verpflichtet sein, die Anforderungen einzuhalten oder durch EU-Regulierungsbehörden kontrolliert zu werden.

Auch wenn NIS2 kein Schweizer Recht ist, führt der Markt- und Lieferkettendruck dazu, dass Schweizer Unternehmen faktisch NIS2-Standards erfüllen müssen, wenn sie mit EU-Kritischen Sektoren (Energie, Gesundheit, Transport, öffentliche Verwaltung, usw.) zusammenarbeiten.

NIS2 gilt für Schweizer Unternehmen direkt, wenn sie eine Niederlassung in der EU haben, und indirekt, sobald sie als Lieferant oder Dienstleister für NIS2-pflichtige Unternehmen im EU-Raum tätig sind.