Skip to main content

Governance, Compliance & EU Regulation

Mit neuen europäischen Regulierungen wie der NIS2 Directive, der Critical Entities Resilience Directive (CER) und dem Cyber Resilience Act steigen die Anforderungen an Unternehmen deutlich. Auch für viele Schweizer Organisationen werden diese Vorgaben relevant – etwa durch Geschäftsbeziehungen in die EU, Lieferkettenanforderungen oder regulatorische Verpflichtungen. Viele Unternehmen stehen dabei vor ähnlichen Fragen: Welche Regelwerke gelten für uns? Welche Massnahmen sind wirklich erforderlich? Und wie lassen sich unterschiedliche Compliance-Anforderungen effizient und praxisnah umsetzen?

SYNSPACE Switzerland unterstützt Unternehmen dabei, komplexe EU-Regulatorik verständlich zu machen, strukturiert umzusetzen und auditfähig zu dokumentieren – mit einem risikobasierten Ansatz, der Compliance und operative Sicherheit miteinander verbindet.

Dabei betrachten wir nicht nur IT-Systeme, sondern auch vernetzte Produkte und Maschinen entlang ihres gesamten Lebenszyklus – von klassischen IT-Umgebungen bis hin zu Embedded Systems und Off-Highway-Anwendungen wie Landmaschinen.

Ein zentraler Bestandteil ist die strukturierte Durchführung von Risikoanalysen und Assessments, um regulatorische Anforderungen in konkrete, umsetzbare Sicherheitsmassnahmen zu übersetzen.

  • Typische Herausforderungen, mit denen Unternehmen in diesem Kontext konfrontiert sind:
  • Welche EU-Regulierungen betreffen uns überhaupt?
  • Was bedeutet persönliche Haftung für das Management?
  • Wie bereiten wir uns auf Audits vor?
  • Wie integrieren wir mehrere Compliance-Anforderungen effizient?
  • Wie führen wir Risikoanalysen durch, die regulatorischen Anforderungen wirklich standhalten?
  • Wie übertragen wir Vorgaben auf unsere Produkte, Systeme und Lieferketten?

Kurz gesagt: Was sind NIS2, CER und der Cyber Resilience Act (CRA)?

Neue EU-Regulierungen wie die NIS2 Directive, die Critical Entities Resilience Directive (CER) und der Cyber Resilience Act (CRA) stärken die Cyber- und Resilienzanforderungen für Unternehmen in Europa. Sie betreffen Betreiber kritischer Infrastrukturen, zahlreiche Industrieunternehmen sowie Hersteller digitaler Produkte und Komponenten - einschliesslich vernetzter Maschinen und industrieller Systeme.

Ziel dieser Regelwerke ist es, Cyberrisiken systematisch zu managen, Lieferketten zu schützen und die Resilienz kritischer Dienste zu erhöhen. Auch viele Schweizer Unternehmen sind betroffen – etwa durch ihre Rolle in europäischen Lieferketten oder durch Geschäftstätigkeiten im EU-Markt.

  • Zentrale Inhalte der Regulierung:
  • NIS2: Cybersecurity-Risikomanagement, Meldepflichten für Sicherheitsvorfälle und stärkere Management-Verantwortung
  • CER: Schutz und Resilienz kritischer Infrastrukturen gegenüber physischen und digitalen Bedrohungen
  • CRA: Sicherheitsanforderungen für Produkte mit digitalen Komponenten über den gesamten Produktlebenszyklus
  • Ergänzend gewinnen produktspezifische Normen wie ISO/SAE 21434 und ISO 24882 zunehmend an Bedeutung, insbesondere im Maschinenbau und bei vernetzten Systemen.
  • Gemeinsam schaffen diese Regelwerke einen europaweiten Rahmen für Cybersecurity, Resilienz und Produktsicherheit, der Unternehmen zu strukturiertem Risikomanagement und nachhaltiger Sicherheits-Governance verpflichtet.

Branchen mit erhöhtem EU-Regulierungsbedarf

Diese Branchen sind besonders von europäischen Cyber- und Resilienzregulierungen betroffen – sei es durch ihre Rolle als kritische Infrastruktur, als Betreiber digitaler Dienste oder als Hersteller vernetzter Produkte:

  • Energie & Utilities
  • Logistik & Transport
  • MedTech
  • Telekommunikation & Digitale Dienste
  • Industrie, Automobil & Maschinenbau
  • Wasser & Abwasser

Unsere Services

  • Regulatory Gap Analyse
  • Policy & Governance Framework
  • Compliance Strategie & Roadmap
  • Audit Vorbereitung & Support

Unser 4-Phasen Vorgehen

Scope & Applicability

Analyse der Unternehmensstruktur, Dienstleistungen und Produkte, um zu bestimmen, welche regulatorischen Anforderungen relevant sind und in welchem Umfang sie gelten.

Gap Analysis & Risk Assessment

Bewertung des aktuellen Reifegrads im Vergleich zu regulatorischen Anforderungen sowie Identifikation von Sicherheitsrisiken, Schwachstellen und Compliance-Lücken.

Strategy & Roadmap Development

Entwicklung einer strukturierten Umsetzungsstrategie mit priorisierten Massnahmen, Governance-Strukturen und einer realistischen Implementierungs-Roadmap.

Implementation Support & Audit Prep

Unterstützung bei der praktischen Umsetzung von Sicherheits- und Compliance-Massnahmen sowie Vorbereitung auf Audits, Nachweise und regulatorische Prüfungen.

Daraus entstehende Deliverables

  • Regulatory Applicability Assessment
  • Gap- und Risikoanalyse
  • Compliance-Strategie & Umsetzungs-Roadmap
  • Richtlinien- und Prozessframework
  • Audit-Vorbereitung & Nachweisdokumentation

Befähigung Ihrer Teams durch Trainings & Workshops

→ Formate

In-House – bei Ihnen vor Ort

Virtual – online, interaktiv

Public Courses – offene Kurse                       

Train-the-Trainer – interne Multiplikatoren befähigen

→ Ihre Vorteile

Praxisnah – echte Use Cases aus unserer Beratung

Interaktiv – Workshops statt Frontalunterricht

Aktuell – neueste Regulierungen & Standards

Schweizer Kontext – relevante Beispiele

Befähigung – Ihre Teams werden zu Experten

Rollenorientiert – Executive vs. Operational

→ Training: Cyber Sicherheit für kritische Infrastrukturen - NIS2 & CER verstehen und umsetzen

Dauer: 1 Tag (Executive: 3h) | Level: Executive & Operational | Zielgruppe: C-Level, Compliance Officers, Risk Managers

Inhalte:

  • NIS2 Directive – Anforderungen & Scope
  • CER Directive – Resilience kritischer Entitäten Management-Haftung & Bussgelder Implementation Roadmap

Nutzen: Regulatorische Klarheit für Entscheidungsträger

Trainingsbeschreibung ansehen
→ Training: EU Cyber Resilience Act (CRA) - Praktische Implementierung und Compliance Strategie

Dauer: 1 Tag | Level: Operational/Advanced | Zielgruppe: Fach- & Führungskräfte aus Produktentwicklung, Qualitätsmanagement, Regulatory Affairs, IT-Sicherheit, Hersteller von digitalen Produkten, die in der EU vertrieben werden

Inhalte:

  • CRA Scope – welche Produkte sind betroffen? Essential Requirements
  • Product Lifecycle Security
  • CE Marking & Konformitätsbewertung

Nutzen: Produktentwicklung CRA-konform gestalten

Trainingsbeschreibung ansehen
→ Training: Cybersecurity & EU Regulatory Overview

Dauer: 1 Tag | Level: Management / Operational | Zielgruppe: Security Officers, IT Managers, Compliance Officers, Management

Inhalte:

  • Überblick über aktuelle Cybersecurity-Regulatorik und Standards

  • ISO/IEC 27001 – Grundlagen eines Information Security Management Systems (ISMS)

  • NIS2 Directive – Anforderungen an Cybersecurity-Risikomanagement und Incident Reporting

  • Cyber Resilience Act – Sicherheitsanforderungen für Produkte mit digitalen Komponenten

  • Critical Entities Resilience Directive – Schutz kritischer Infrastrukturen und Resilienzanforderungen

  • Unterschiede und Zusammenhänge zwischen Regulierung, Standards und praktischer Umsetzung

  • Governance, Verantwortlichkeiten und Management-Pflichten

Nutzen:
Teilnehmende erhalten einen klaren Überblick über aktuelle Cybersecurity-Standards und EU-Regulatorik sowie deren praktische Bedeutung für Organisation, Produkte und Compliance-Strategien.

→ Training: Grundlagen der Produktsicherheit im Agrarbereich Landmaschinen

Dauer: 2 Tage | Level: Management / Operational | Zielgruppe: Produktverantwortliche, Entwickler:innen, Security Engineers, Compliance Officers, Qualitätsverantwortliche, Management | Zertifikat: Optional die Möglichkeit zur unabhängigen Zertifikatsprüfung

Inhalte:

  • Überblick über Cybersecurity und Produktsicherheit im Kontext vernetzter Landmaschinen
  • Einordnung der ISO 24882 im regulatorischen Umfeld (u. a. Cyber Resilience Act, Maschinenverordnung, ISO/SAE 21434)
  • Grundlagen und Ziele der ISO 24882 sowie deren Anforderungen an Organisationen und Produkte
  • Einführung in Risikoanalyse und Risk Assessment (inkl. Schadensszenarien und Bedrohungsbewertung)
  • Ableitung und Umsetzung technischer Cybersecurity-Anforderungen für Produkte
  • Betrachtung des gesamten Produktlebenszyklus inkl. Vulnerability Management und Supplier Handling
  • Dokumentation und Nachweisführung gemäss ISO 24882
  • Rollen, Verantwortlichkeiten und organisatorische Verankerung im Unternehmen
  • Praxisbeispiele und Anwendung des Risk Assessment Prozesses
  • Mapping der ISO 24882 zu regulatorischen Anforderungen wie dem Cyber Resilience Act und der Maschinenverordnung

Nutzen:
Teilnehmende erhalten ein fundiertes Verständnis der Cybersecurity-Anforderungen für vernetzte Landmaschinen und Agrarprodukte. Sie lernen, wie regulatorische Vorgaben und Normen in konkrete Massnahmen übersetzt werden und wie Risikoanalysen als Grundlage für sichere und konforme Produkte eingesetzt werden können.

Zertifikat: 

Optionale die Möglichkeit zur EuroSPI Zertifizierung    

Trainingsbeschreibung ansehen
→ Training: Risikoassessment kurz und knapp

Dauer: 1 Tag (public) oder 2 Tage (Inhouse, inkl. Kundenbeispiel) | Level: Operational / Advanced | Zielgruppe: Security Engineers, Entwickler, System Engineers, Architekten, Qualitätsverantwortliche, Compliance Officers 

Inhalte:

  • Einführung in risikobasierte Ansätze der Cybersecurity und deren Bedeutung für sichere Systeme und Produkte
  • Überblick über regulatorische Anforderungen wie den Cyber Resilience Act sowie relevante Standards wie ISO/SAE 21434 und ISO 24882
  • Grundlagen der Threat Analysis and Risk Assessment (TARA) Methodik
  • Strukturierte Durchführung eines Risikoassessments:
    – Definition des Intended Purpose und der Systemgrenzen
    – Identifikation und Bewertung von Assets und Cybersecurity Properties
    – Entwicklung von Schadensszenarien und Impact-Bewertung
    – Threat Modelling (inkl. Methoden wie STRIDE)
    – Bewertung von Threat Occurrence und Ableitung von Cybersecurity Risks
  • Ableitung von Massnahmen:
    – Risk Treatment Strategien
    – Definition von Cybersecurity Goals, Controls und Requirements
  • Anpassung und Kombination verschiedener Methoden und Standards je nach Projektkontext
  • Umsetzung von Cybersecurity-Anforderungen und Nachweisführung der Security (Compliance & Auditfähigkeit)

Nutzen:

Teilnehmende lernen, Risikoanalysen strukturiert und praxisnah durchzuführen und regulatorische sowie normative Anforderungen in konkrete Sicherheitsmassnahmen zu übersetzen. Sie entwickeln ein klares Verständnis dafür, wie aus Assets, Bedrohungen und Risiken belastbare Cybersecurity-Anforderungen entstehen – als Grundlage für sichere, konforme und nachvollziehbare Systeme und Produkte.

 

Trainingsbeschreibung ansehen
→ Workshops: Regulatory Gap Analysis, CRA/NIS2 Integration

Workshops:

  • 0,5- 1 Tag – IST-Stand vs. NIS2/CER/CRA
  • 1 Tag – Synergien zwischen Regulierungen nutzen
Was wir bieten:
  • Trainings
  • Workshops
  • Consulting
  • Assessment (Support)
Trainings Termine ansehen und buchen
Angebot für Consulting anfragen
Kontakt:
Porträt Reto Müller

Alle Rechte vorbehalten
- ©SYNSPACE Switzerland GmbH