sic!

Die Europäische Union verfolgt mit ihrer digitalen Agenda das Ziel, einen einheitlichen, sicheren und wettbewerbsfähigen «digitalen» Binnenmarkt zu schaffen. Ein wesentliches Ergebnis dieser Bemühungen stellen zwei umfassende Regelwerke dar: der Digital Services Act (DSA) und der Digital Markets Act (DMA). Beide Verordnungen bedeuten einen Paradigmenwechsel im Bereich der Regulierung digitaler Dienste. Auch wenn die Schweiz weder Mitglied der EU ist noch DSA und DMA in ihre Rechtsordnung übernommen hat, wirken diese Regelungen faktisch in den Schweizer Markt hinein. Der vorliegende Beitrag analysiert, inwiefern Schweizer Unternehmen vom DSA und DMA betroffen sind. L’Union européenne poursuit, dans le cadre de son agenda numérique, l’objectif de créer un marché intérieur «numérique» unifié, sûr et compétitif. Deux instruments législatifs de grande envergure constituent le résultat essentiel de ces efforts: le règlement sur les services numériques, ou DSA (Digital Services Act) et la législation sur les marchés numériques, ou DMA (Digital Markets Act). Ces règlements visent tous deux à instaurer un changement de paradigme dans la régulation des services numériques. Bien que la Suisse ne soit pas membre de l’UE et qu’elle n’ait intégré ni le DSA ni le DMA dans son ordre juridique, ces normes produisent néanmoins des effets de facto sur le marché suisse. La présente contribution analyse dans quelle mesure les entreprises suisses sont concernées par le DSA et le DMA. Matthias C. Kettemann / Lukas Tinzl | 2025 Ausgabe 12

Matthias C. Kettemann / Lukas Tinzl | sic! 2025 Ausgabe 12

Die KI-Verordnung der EU hat auch für Schweizer Akteure erhebliche Auswirkungen, da sie den Zugang zum Binnenmarkt massgeblich beeinflusst. Der Aufsatz beleuchtet die zentralen Bestimmungen der Verordnung und zeigt auf, welche Aspekte für Schweizer Akteure besonders relevant sind. Im Fokus stehen dabei die Anwendbarkeit der Verordnung, die sich daraus ergebenden Pflichten und die praktischen Auswirkungen auf den Marktzugang zur Europäischen Union. Le règlement de l’UE sur l’IA produit également des effets considérables pour les acteurs suisses, car il influence de manière significative l’accès au marché intérieur. Cet article met en lumière les dispositions centrales de ce règlement et montre quels aspects sont particulièrement pertinents pour les acteurs suisses. Il se concentre sur l’applicabilité du règlement, les obligations qui en découlent et les répercussions pratiques sur l’accès au marché de l’Union européenne. Stephanie Volz | 2025 Ausgabe 12

Stephanie Volz | sic! 2025 Ausgabe 12

Obwohl der EU Data Act bereits seit dem 12. September 2025 grösstenteils anwendbar ist, stehen viele Unternehmen erst am Anfang seiner Umsetzung. Diese neue Säule der EU-Digital-Regulierung birgt dabei erhebliche Herausforderungen: Sie gewährt Benutzern von Geräten und dazugehörigen Diensten weitreichende Rechte an den Daten, die diese generieren. Wenn die Anbieter dieser Geräte keine Vorkehrungen getroffen haben, ist ihnen selbst die bisher oft selbstverständliche Nutzung dieser Daten neu zudem bussenbewehrt verboten. Dabei stellen sich in der Praxis vor allem in Bezug auf den Anwendungsbereich komplexe Fragen. Dieser Beitrag liefert erste Antworten.

Bien que le règlement sur les données de l’UE (Data Act) soit en grande partie applicable depuis le 12 septembre 2025, de nombreuses entreprises n’en sont qu’au début de sa mise en œuvre. Ce nouveau pilier de la réglementation numérique de l’UE pose des défis considérables: il accorde aux utilisateurs d’appareils et de services associés des droits étendus sur les données qu’ils génèrent. Si les fournisseurs de ces appareils n’ont pas pris de dispositions, l’utilisation de ces données, qui allait souvent de soi jusqu’à présent, leur est désormais interdite sous peine d’amende. Dans la pratique, cela soulève des questions complexes, notamment en ce qui concerne le champ d’application, auxquelles cette contribution apporte des réponses initiales.

David Rosenthal | sic! 2025 Ausgabe 12

Der europäische Cyber Resilience Act (CRA) legt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (insbesondere IoT-Geräte und Software) fest. Mit dem CRA kommen auf Hersteller weitreichende neue Pflichten zu. Diese haben erhebliche Auswirkungen auf die Produktentwicklung, die Produktion und das gesamte Lifecycle-Management. Le règlement européen sur la cyberrésilience (CRA) définit des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques (en particulier les appareils et les logiciels IoT). Le CRA impose d’importantes nouvelles obligations aux fabricants. Celles-ci ont des répercussions considérables sur le développement des produits, la production et la gestion globale du cycle de vie. Demian Stauber | 2025 Ausgabe 12

Demian Stauber | sic! 2025 Ausgabe 12

Mit der jüngsten Revision des Informationssicherheitsgesetzes führte die Schweiz neu eine Meldepflicht für Cyberangriffe auf ausgewählte Betreiberinnen von kritischen Infrastrukturen ein – ein wichtiger Teil der nationalen Cybersicherheitsstrategie. Der Aufsatz erläutert den persönlichen und sachlichen Anwendungsbereich dieser neuen Pflicht und legt die Ausnahmen, die der Gesetzgeber vorgesehen hat, dar. Dabei werden nicht nur juristische Details und Abgrenzungsfragen beleuchtet, sondern auch die ersten praktischen Herausforderungen für meldepflichtige Organisationen gezeigt. Im Vergleich mit der NIS2-Richtlinie der EU wird deutlich, dass die Schweiz einen eigenen, massvollen Weg geht, der zwischen staatlicher Regulierung und unternehmerischer Eigenverantwortung balanciert. Der Beitrag schliesst mit konkreten Handlungsempfehlungen für Unternehmen und Behörden. Avec la récente révision de la loi sur la sécurité de l’information, la Suisse a introduit une nouvelle obligation de déclarer les cyberattaques visant certains exploitants d’infrastructures critiques – un élément important de la stratégie nationale en matière de cybersécurité. Cet article explique le champ d’application personnel et matériel de cette nouvelle obligation et présente les exceptions prévues par le législateur. Il met en lumière non seulement les détails juridiques et les questions de délimitation, mais aussi les premiers défis pratiques auxquels seront confrontées les organisations soumises à l’obligation de déclarer. La comparaison avec la directive NIS2 de l’UE montre clairement que la Suisse suit sa propre voie, modérée, qui établit un équilibre entre la réglementation étatique et la responsabilité des entreprises. L’article se termine par des recommandations concrètes à l’intention des entreprises et des autorités. Rino Siffert | 2025 Ausgabe 12

Rino Siffert | sic! 2025 Ausgabe 12

Künstliche Intelligenz (KI), datenbasierte Produkte und Dienste, Risiken bei der Cybersecurity und die Bedeutung von Plattformen – alle diese Entwicklungen der Digitalwirtschaft bedürfen aus Sicht des europäischen Gesetzgebers der regulatorischen Intervention. Die Schweiz hat sich bisher weitgehend zurückgehalten, orientiert sich aber im wissenschaftlichen und politischen Diskurs und bei punktuellen Revisionen stark an den Ansätzen der EU. Das vorliegende Themenheft der sic! vereint Beiträge zu Rechtsfragen im Zusammenhang mit der Digitalisierung. Der Fokus liegt auf den wichtigsten «Digital-Verordnungen», welche die EU in den letzten Jahren erlassen hat, und den Auswirkungen dieser Erlasse auf die Schweiz: Matthias Kettemann und Lukas Tinzl analysieren die Auswirkungen des Digital Services Act (DSA) und des Digital Markets Act (DMA) der EU auf die Schweiz und auf Unternehmen, die im EU-Binnenmarkt tätig sind. Der DMA betrifft sie indirekt, da Gatekeeper ihre Anpassungen teilweise auch in der Schweiz umsetzen. Dies führt zu einer fragmentierten Rechtslage, da unter anderem Schutzmechanismen des DSA in der Schweiz nicht einklagbar sind. Stephanie Volz widmet sich der KI-Verordnung (KI-VO) der EU. Ihr Beitrag vermittelt einen Überblick über die zentralen Bestimmungen der KI-VO und zeigt auf, welche Aspekte für Schweizer Unternehmen besonders relevant sind. Näher untersucht werden der Regulierungsansatz und der Anwendungsbereich der KI-VO sowie die Pflichten der Anbieter und Betreiber von KI-Systemen und die praktischen Auswirkungen für den Zugang von Schweizer Unternehmen zum EU-Markt. David Rosenthal befasst sich mit den Vorgaben des Data Act, der Benutzern von Geräten und dazugehörigen Diensten weitreichende Rechte an den Daten vermittelt, die diese generieren. Er zeigt auf, dass und wie die Anbieter dieser Geräte und Dienste sicherstellen können, dass sie berechtigt und in der Lage sind, die Daten auch selbst zu nutzen. Der Beitrag vermittelt konkrete Empfehlungen zur Umsetzung der Vorgaben durch Schweizer Unternehmen. Demian Stauber greift mit dem Cyber Resilience Act (CRA) eine Regulierung auf, die in der Schweiz noch kaum zur Kenntnis genommen wurde, aber viele Schweizer Unternehmen direkt und in tiefgreifender Weise betrifft. Denn der CRA enthält umfassende Vorgaben zur Sicherheit digitaler Produkte, die auch von Schweizer Anbietern einzuhalten sind, wenn sie ihre Produkte in der EU anbieten wollen. Rino Siffert bietet eine Einführung in das revidierte Informationssicherheitsgesetz (ISG), welches neu Meldepflichten für Cyberangriffe […]

Florent Thouvenin / Gregor Wild | sic! 2025 Ausgabe 12