Cybersicherheitsnormen: ISO 27001, NIST, ANSSI und Schweizer IKT-Minimalstandard

Vollständiger Vergleich der 4 Cybersicherheitsrahmen für Schweizer KMU: ISO 27001, NIST CSF, ANSSI und IKT-Minimalstandard. Unterschiede, Kosten und Konformitätsumsetzung.

Vier Rahmenwerke, ein gemeinsames Ziel: Ihr Unternehmen schützen

Mehrere Referenzrahmen strukturieren die Cybersicherheit weltweit. Für ein Schweizer KMU sind vier besonders relevant: die ISO 27001 (zertifizierbare internationale Norm, 93 Kontrollen, 70 000+ zertifizierte Unternehmen), das NIST CSF (freiwilliger amerikanischer Rahmen, 5 Funktionen, kostenlos), der ANSSI-Rahmen (frankophoner Referenzrahmen, 42 Hygienemassnahmen) und der Schweizer IKT-Minimalstandard (vom BWÖL für kritische Infrastrukturen empfohlen).

Jeder hat seine Stärken: internationale Zertifizierung, Flexibilität, frankophoner Pragmatismus oder Schweizer Verankerung. Die nachstehende Tabelle hilft Ihnen, den für Ihre Situation geeigneten Rahmen zu wählen. Bei Bexxo begleiten wir Schweizer KMU seit 2003 bei der Konformitätsumsetzung mit diesen Referenzrahmen.

Vergleichstabelle der 4 Cybersicherheitsnormen

KriteriumISO 27001NIST CSFANSSIIKT-Minimalstandard (CH)
TypZertifizierbare NormFreiwilliger RahmenStaatliche EmpfehlungenSchweizerischer Bundesstandard
OrganisationISO / IECNIST (USA)ANSSI (Frankreich)BWÖL (Schweiz)
Struktur93 Kontrollen (Anhang A)5 Funktionen, 23 Kategorien42 Hygienemassnahmen + EBIOS RM106 Massnahmen basierend auf NIST
ZertifizierungJa (Drittprüfung)Nein (Selbstbewertung)ANSSI-SicherheitsvisaNein (Selbstbewertung)
Geschätzte Kosten10 000 – 50 000 CHFKostenlosKostenlos (öffentliche Leitfäden)Kostenlos
ErneuerungAlle 3 JahreFortlaufendFortlaufendFortlaufend
FlexibilitätStrenger RahmenSehr anpassbarPragmatischSektoriell anpassbar
Ideale ZielgruppeKMU mit ZertifizierungswunschKMU am Anfang in CyberFrankophone KMUKritische Infrastrukturen CH
Relevanz SchweizVom nDSG anerkanntVom NCSC empfohlenFrankophoner ReferenzrahmenVom BWÖL empfohlen
Aktuelle VersionISO 27001:2022CSF 2.0 (Feb. 2024)Hygieneführer v2 (2017)Version 2023

Diese vier Rahmenwerke ergänzen sich. Der Schweizer IKT-Minimalstandard und das NIST CSF sind die besten Ausgangspunkte für ein Schweizer KMU. Die ANSSI-Leitfäden bringen einen im frankophonen Kontext geschätzten Pragmatismus. Die ISO 27001 ist die ideale Wahl, um eine international anerkannte Zertifizierung zu erlangen. Bei Bexxo kombinieren wir diese Referenzrahmen je nach Ihrem Kontext.

Was ist das NIST CSF?

Das NIST Cybersecurity Framework bietet freiwillige Leitlinien zur Verwaltung und Reduzierung von Cybersicherheitsrisiken. Diese Empfehlungen sind an die unterschiedlichen Bedürfnisse von Unternehmen angepasst, unabhängig von ihrer Grösse und Branche. Im Gegensatz zur ISO 27001 sind die NIST-Anforderungen flexibel und darauf ausgelegt, sich mit der Organisation weiterzuentwickeln.

Die 5 Funktionen des NIST CSF

Der Framework Core basiert auf 5 Hauptfunktionen, aufgeteilt in 23 Kategorien:

  1. Identifizieren — Vermögenswerte, Risiken und Governance der Organisation verstehen
  2. Schützen — Schutzmassnahmen umsetzen (Zugangskontrolle, Schulung, Verschlüsselung)
  3. Erkennen — Erkennungsfähigkeiten für Sicherheitsvorfälle einsetzen
  4. Reagieren — Reaktion auf erkannte Vorfälle planen und ausführen
  5. Wiederherstellen — Dienste wiederherstellen und aus dem Vorfall lernen
Ein Score von 0 bis 4 (Implementation Tiers) wird für jede Funktion vergeben, um die Cybersicherheitsreife der Organisation zu messen und Verbesserungen zu priorisieren.

Für wen eignet sich das NIST CSF?

Das NIST CSF richtet sich an jede Organisation, die ihre Cybersicherheitsstrategie ohne grossen Anfangsinvestition strukturieren möchte. Es ist der ideale Ausgangspunkt für Schweizer KMU, die noch keinen formalen Rahmen haben. Das NCSC (Nationales Zentrum für Cybersicherheit) empfiehlt dieses Framework übrigens als Basis für Schweizer Unternehmen.

Was ist die ISO 27001?

Die ISO 27001 ist eine internationale Norm, die bewährte Verfahren für Informationssicherheits-Managementsysteme (ISMS) definiert. Sie ermöglicht Organisationen, ihren Sicherheits- und Datenschutzansatz durch eine von einem akkreditierten Drittprüfer überprüfbare Zertifizierung nachzuweisen. Weltweit sind mehr als 70 000 Unternehmen zertifiziert (ISO Survey 2023).

Die 93 Kontrollen der ISO 27001:2022

Die Version 2022 der ISO 27001 definiert 93 Kontrollen, die in Anhang A in 4 Kategorien aufgeteilt sind:

  • Organisatorische Kontrollen (37) — Richtlinien, Rollen, Asset-Management, Lieferantenbeziehungen
  • Personenbezogene Kontrollen (8) — Personalauswahl, Sensibilisierung, Schulung
  • Physische Kontrollen (14) — Sicherheitsperimeter, Geräte, Überwachung
  • Technologische Kontrollen (34) — Authentifizierung, Verschlüsselung, Protokollierung, sichere Entwicklung
Ein akkreditierter Drittprüfer bewertet die Konformität. Die Zertifizierung ist 3 Jahre gültig mit jährlichen Überwachungsaudits.

Kosten und Zertifizierungsprozess ISO 27001

Die Kosten einer ISO 27001-Zertifizierung für ein Schweizer KMU liegen zwischen 10 000 und 50 000 CHF, abhängig von der Grösse der Organisation und der Komplexität ihres Geltungsbereichs. Der Prozess umfasst: Gap-Analyse, ISMS-Einführung, internes Audit und anschliessend Zertifizierungsaudit durch eine akkreditierte Stelle. Bei Bexxo begleiten wir KMU in jedem Schritt dieses Prozesses, von der Erstanalyse bis zur Zertifizierungserlangung.

Der ANSSI-Rahmen (Frankreich)

Die ANSSI (Nationale Agentur für die Sicherheit der Informationssysteme) ist die französische Behörde für Cybersicherheit. Ihr IT-Hygieneführer definiert 42 wesentliche Massnahmen zu Sensibilisierung, Authentifizierung, Endgerätesicherheit, Netzwerksicherheit und Vorfallsmanagement. Kostenlos veröffentlicht, ist er die pragmatischste Referenz für frankophone KMU.

Die 42 IT-Hygienemassnahmen

Die 42 ANSSI-Massnahmen decken 10 Bereiche ab:

  • Sensibilisierung — Benutzer schulen und in die Verantwortung nehmen
  • Authentifizierung — Passwortrichtlinien und MFA
  • Arbeitsstationen — Updates, Verschlüsselung, Antivirusprogramme
  • Netzwerk — Segmentierung, Firewall, Überwachung
  • Mobiles Arbeiten — VPN, Sicherung des Homeoffice
  • Administration — Privilegierte Konten, Protokollierung
  • Aufrechterhaltung des Sicherheitszustands — Überwachung, Patches
  • Überwachung — Erkennung von Vorfällen, Warnmeldungen
  • Vorfallsmanagement — Reaktionspläne, Kommunikation
  • Betriebskontinuität — Backups, BCP/BRP
Dieser Leitfaden ist eine hervorragende Ergänzung zum NIST CSF und kann als Grundlage für eine ISO 27001-Zertifizierung dienen.

EBIOS Risk Manager

Die ANSSI bietet auch EBIOS Risk Manager an, eine Risikoanalysemethode in 5 Workshops, die von französischen Behörden und zahlreichen frankophonen Unternehmen übernommen wurde. Sie ermöglicht die Identifikation der realistischsten Bedrohungsszenarien und die Priorisierung von Sicherheitsmassnahmen. Vergleichbar mit der Risikobewertung des NIST wird EBIOS besonders für seine methodische Strenge im frankophonen Kontext geschätzt.

Der Schweizer IKT-Minimalstandard

Der IKT-Minimalstandard ist ein Rahmenwerk, das vom Bundesamt für wirtschaftliche Landesversorgung (BWÖL) in Zusammenarbeit mit dem NCSC entwickelt wurde. Basierend auf dem NIST CSF definiert er 106 Massnahmen, die rund um die 5 NIST-Funktionen organisiert und an den Schweizer Kontext angepasst sind. Er wird für Betreiber kritischer Infrastrukturen empfohlen, ist aber auf jedes Schweizer KMU anwendbar.

Warum der IKT-Standard für Schweizer KMU relevant ist

Der IKT-Minimalstandard bietet mehrere Vorteile für Schweizer KMU:

  • Kostenlos und öffentlich — auf der Website des BWÖL auf Deutsch, Französisch und Italienisch verfügbar
  • An den Schweizer Kontext angepasst — integriert die nDSG-Anforderungen und NCSC-Empfehlungen
  • NIST-kompatibel — gleiche Struktur mit 5 Funktionen, was einen Übergang zum NIST CSF oder zur ISO 27001 erleichtert
  • Selbstbewertung — beinhaltet ein Excel-Bewertungstool zur Messung der eigenen Reife
Bei Bexxo verwenden wir den IKT-Minimalstandard als Grundlage für die Erstbewertung bei unseren Audits für Schweizer KMU, bevor wir bei Bedarf eine Erhöhung der ISO 27001-Konformität empfehlen.

Welchen Rahmen wählen für Ihr KMU?

Sie beginnen mit der Cybersicherheit? Starten Sie mit dem Schweizer IKT-Minimalstandard (kostenlos, an den lokalen Kontext angepasst) oder dem ANSSI-Leitfaden (42 pragmatische Massnahmen). Diese beiden Rahmenwerke geben Ihnen eine solide Grundlage ohne Anfangsinvestition.

Möchten Sie Ihre Strategie strukturieren? Das NIST CSF bietet ein flexibles Framework mit messbaren Reifeniveaus (Score 0-4). Das NCSC empfiehlt es für Schweizer KMU.

Streben Sie eine Zertifizierung an? Die ISO 27001 ist das einzige durch einen Drittprüfer zertifizierbare Rahmenwerk. Dies ist ein starker Wettbewerbsvorteil für KMU, die sensible Daten verarbeiten oder mit grossen Unternehmen zusammenarbeiten. Bei Bexxo empfehlen wir oft einen schrittweisen Ansatz: IKT-Minimalstandard → NIST CSF → ISO 27001.

Einen Compliance-Audit anfordern
Bexxo?

Warum Bexxo wählen?

I

Zertifizierte Expertise

CyberSafe-Label zertifiziert und berechtigt, vertrauliche Daten für Bundesinstitutionen zu bearbeiten — unsere Experten wenden die höchsten Sicherheitsstandards der Branche an.

II

Persönliche Betreuung

Wir passen unsere Dienstleistungen an Ihre spezifischen Bedürfnisse an, egal ob Sie ein KMU oder ein großes Unternehmen sind.

III

Proaktiver Schutz

Wir antizipieren Bedrohungen, bevor sie zu einem Problem werden, und reduzieren so Risiken und die Auswirkungen von Angriffen.

Lassen Sie Ihr Unternehmen nicht anfällig für Cyberbedrohungen sein. Sichern Sie mit Bexxo noch heute Ihre digitale Zukunft!

Häufige Fragen zu den Cybersicherheitsnormen

Ist die ISO 27001 in der Schweiz obligatorisch?

Nein, die ISO 27001 ist in der Schweiz nicht gesetzlich vorgeschrieben. Allerdings verlangt das nDSG geeignete technische und organisatorische Massnahmen zum Schutz der Daten. Die ISO 27001 bietet den anerkanntesten Rahmen zum Nachweis dieser Konformität. Einige Branchen (Finanzen, Gesundheit) fordern sie vertraglich.

Was kostet eine ISO 27001-Zertifizierung für ein KMU?

Zwischen 10 000 und 50 000 CHF für ein Schweizer KMU, je nach Grösse und Komplexität. Dieser Preis umfasst die Vorbereitung (Gap-Analyse, ISMS-Einführung) und das Zertifizierungsaudit durch eine akkreditierte Stelle. Die Erneuerung alle 3 Jahre kostet in der Regel 30 bis 50 % der ursprünglichen Kosten.

Können mehrere Rahmenwerke kombiniert werden (ISO, NIST, ANSSI, IKT)?

Ja, diese Rahmenwerke ergänzen sich. Bei Bexxo empfehlen wir einen schrittweisen Ansatz: mit dem Schweizer IKT-Minimalstandard oder dem ANSSI-Leitfaden beginnen, mit dem NIST CSF strukturieren und anschliessend die ISO 27001-Zertifizierung anstreben. Jede Stufe stärkt die vorherige, ohne von vorn beginnen zu müssen.

Ist der ANSSI-Leitfaden in der Schweiz anwendbar?

Ja. Obwohl die ANSSI die französische Behörde ist, sind ihre 42 IT-Hygienemassnahmen universell und besonders relevant für frankophone Schweizer KMU. Der Leitfaden ist kostenlos, pragmatisch und kompatibel mit NIST CSF und ISO 27001. Er ist ein ausgezeichneter Ausgangspunkt für Unternehmen in der Westschweiz.

Was ist der Schweizer IKT-Minimalstandard?

Der IKT-Minimalstandard ist ein Rahmenwerk, das vom BWÖL (Bundesamt für wirtschaftliche Landesversorgung) in Zusammenarbeit mit dem NCSC entwickelt wurde. Er definiert 106 Massnahmen basierend auf dem NIST CSF, angepasst an den Schweizer Kontext. Kostenlos und auf Deutsch, Französisch und Italienisch verfügbar, enthält er ein Excel-Tool zur Selbstbewertung.

Was sind die 5 Funktionen des NIST CSF?

Die 5 Funktionen des NIST Cybersecurity Frameworks sind: Identifizieren (Vermögenswerte und Risiken verstehen), Schützen (Zugangskontrolle, Verschlüsselung), Erkennen (Überwachung, Warnmeldungen), Reagieren (Interventionsplan, Kommunikation) und Wiederherstellen (Wiederherstellung, gewonnene Erkenntnisse). Jede Funktion wird auf einem Score von 0 bis 4 bewertet.

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

Die ISO 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ermöglicht die Zertifizierung. Die ISO 27002 ist ein Leitfaden für bewährte Verfahren, der die Umsetzung der 93 Kontrollen des Anhangs A detailliert. Kurz gesagt: 27001 sagt «was zu tun ist», 27002 sagt «wie es zu tun ist».

Schreibt das nDSG eine bestimmte Norm vor?

Nein, das nDSG (neues Schweizer Datenschutzgesetz) schreibt keine bestimmte Norm vor. Es verlangt «geeignete technische und organisatorische Massnahmen». Die ISO 27001, das NIST CSF oder der Schweizer IKT-Minimalstandard sind die anerkanntesten Rahmenwerke, um diese Konformität gegenüber dem EDÖB nachzuweisen.

Wie lange dauert es, die ISO 27001-Zertifizierung zu erhalten?

Im Durchschnitt 6 bis 12 Monate für ein Schweizer KMU, abhängig von der vorhandenen Reife. Der Prozess umfasst die Gap-Analyse (1-2 Monate), die ISMS-Einführung (3-6 Monate), das interne Audit (1 Monat) und das Zertifizierungsaudit (1-2 Monate). Bexxo begleitet seine Kunden auf dem gesamten Weg.

Was ist EBIOS Risk Manager?

EBIOS Risk Manager ist die Risikoanalysemethode der ANSSI, strukturiert in 5 Workshops: Rahmensetzung, Risikoursachen, strategische Szenarien, operationelle Szenarien und Behandlung. Von französischen Behörden und zahlreichen frankophonen Unternehmen übernommen, ermöglicht sie die Identifikation der realistischsten Bedrohungen und die Priorisierung von Sicherheitsinvestitionen.
Nein, die ISO 27001 ist in der Schweiz nicht gesetzlich vorgeschrieben. Allerdings verlangt das nDSG geeignete technische und organisatorische Massnahmen zum Schutz der Daten. Die ISO 27001 bietet den anerkanntesten Rahmen zum Nachweis dieser Konformität. Einige Branchen (Finanzen, Gesundheit) fordern sie vertraglich.
Zwischen 10 000 und 50 000 CHF für ein Schweizer KMU, je nach Grösse und Komplexität. Dieser Preis umfasst die Vorbereitung (Gap-Analyse, ISMS-Einführung) und das Zertifizierungsaudit durch eine akkreditierte Stelle. Die Erneuerung alle 3 Jahre kostet in der Regel 30 bis 50 % der ursprünglichen Kosten.
Ja, diese Rahmenwerke ergänzen sich. Bei Bexxo empfehlen wir einen schrittweisen Ansatz: mit dem Schweizer IKT-Minimalstandard oder dem ANSSI-Leitfaden beginnen, mit dem NIST CSF strukturieren und anschliessend die ISO 27001-Zertifizierung anstreben. Jede Stufe stärkt die vorherige, ohne von vorn beginnen zu müssen.
Ja. Obwohl die ANSSI die französische Behörde ist, sind ihre 42 IT-Hygienemassnahmen universell und besonders relevant für frankophone Schweizer KMU. Der Leitfaden ist kostenlos, pragmatisch und kompatibel mit NIST CSF und ISO 27001. Er ist ein ausgezeichneter Ausgangspunkt für Unternehmen in der Westschweiz.
Der IKT-Minimalstandard ist ein Rahmenwerk, das vom BWÖL (Bundesamt für wirtschaftliche Landesversorgung) in Zusammenarbeit mit dem NCSC entwickelt wurde. Er definiert 106 Massnahmen basierend auf dem NIST CSF, angepasst an den Schweizer Kontext. Kostenlos und auf Deutsch, Französisch und Italienisch verfügbar, enthält er ein Excel-Tool zur Selbstbewertung.
Die 5 Funktionen des NIST Cybersecurity Frameworks sind: Identifizieren (Vermögenswerte und Risiken verstehen), Schützen (Zugangskontrolle, Verschlüsselung), Erkennen (Überwachung, Warnmeldungen), Reagieren (Interventionsplan, Kommunikation) und Wiederherstellen (Wiederherstellung, gewonnene Erkenntnisse). Jede Funktion wird auf einem Score von 0 bis 4 bewertet.
Die ISO 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ermöglicht die Zertifizierung. Die ISO 27002 ist ein Leitfaden für bewährte Verfahren, der die Umsetzung der 93 Kontrollen des Anhangs A detailliert. Kurz gesagt: 27001 sagt «was zu tun ist», 27002 sagt «wie es zu tun ist».
Nein, das nDSG (neues Schweizer Datenschutzgesetz) schreibt keine bestimmte Norm vor. Es verlangt «geeignete technische und organisatorische Massnahmen». Die ISO 27001, das NIST CSF oder der Schweizer IKT-Minimalstandard sind die anerkanntesten Rahmenwerke, um diese Konformität gegenüber dem EDÖB nachzuweisen.
Im Durchschnitt 6 bis 12 Monate für ein Schweizer KMU, abhängig von der vorhandenen Reife. Der Prozess umfasst die Gap-Analyse (1-2 Monate), die ISMS-Einführung (3-6 Monate), das interne Audit (1 Monat) und das Zertifizierungsaudit (1-2 Monate). Bexxo begleitet seine Kunden auf dem gesamten Weg.
EBIOS Risk Manager ist die Risikoanalysemethode der ANSSI, strukturiert in 5 Workshops: Rahmensetzung, Risikoursachen, strategische Szenarien, operationelle Szenarien und Behandlung. Von französischen Behörden und zahlreichen frankophonen Unternehmen übernommen, ermöglicht sie die Identifikation der realistischsten Bedrohungen und die Priorisierung von Sicherheitsinvestitionen.
Entdecken Sie, wie bexxo Ihr Unternehmen sichern kann. Zögern Sie nicht, uns noch heute für eine persönliche Beratung zu kontaktieren!
Kontaktieren Sie uns Chatten Sie mit einem Experten