Schweizer Software und der Cyber Resilience Act

Mit dem Cyber Resilience Act (CRA) führt die EU einheitliche Cybersicherheitsstandards für Produkte mit digitalen Elementen ein – von Smartphones über IoT-Geräte bis hin zu Betriebssystemen. Hersteller, Importeure und Händler werden in die Pflicht genommen.

Was ist vom CRA umfasst?

Der neue Cyber Resilience Act («CRA», Verordnung (EU) 2024/2847) schafft erstmals sektorenübergreifend einheitliche Cybersicherheitsstandards für Produkte mit digitalen Elementen sämtlicher Branchen. Die ersten Pflichten (Meldepflichten für Sicherheitsvorfälle) gelten ab 11. September 2026. Ab dem 11. Dezember 2027 ist der gesamte CRA verpflichtend. Geregelt werden fast alle vernetzten Produkte, die in der EU oder im EWR in Verkehr gebracht oder bereitgestellt werden. Dazu zählen z. B.:

• Consumer-Geräte: Smartphones, Tablets, Smart-Home-Produkte, Wearables
• Netzwerk & Kommunikation: Router, Browser, VPN-Tools
• Industrie & IoT: Vernetzte Maschinensteuerungen, industrielle IoT-Geräte, Drohnen
• Sicherheits- & Systemsoftware: Betriebssysteme, Passwort-Manager, SIEM-Systeme, PKI-Infrastrukturen

Vom CRA ausgenommen sind Produkte, die bereits durch sektorspezifische EU-Regelungen abgedeckt sind (z.B. Medizinprodukte, Autos, Luft- oder Schifffahrtausrüstung), reine SaaS- oder PaaS-Dienste ohne direkte Produktfunktion, Open-Source-Software ohne kommerzielle Verwertung und Produkte ausschliesslich für staatliche Sicherheits- oder Verteidigungszwecke.

Was sind die gesetzlichen Pflichten?

Wer Produkte mit digitalen Elementen konzipiert, für den Vertrieb in der EU (Hersteller und Zulieferer) entwickelt, in die EU importiert (Importeure) oder vertreibt (Händler), sollte daher frühzeitig prüfen, wie der CRA effizient umgesetzt werden kann.

Die wichtigsten Pflichten:

• Security by Design and by Default. Hersteller müssen die Produkte so konzipieren, entwickeln, herstellen und warten, dass sie – basierend auf der Risikobewertung – ein angemessenes Cybersicherheit-Niveau gewährleisten.
• Sicherheitsupdates und Schwachstellenmanagement. Hersteller müssen die Produkte fortlaufend über den gesamten Lebenszyklus testen, Schwachstellen ermitteln, dokumentieren, beheben, kommunizieren und Sicherheitsupdates bereitstellen.
• Risikobasierte Konformitätsbewertung. Die Produkte werden in drei Risikoklassen eingeteilt. Produkte der Basiskategorie («default») können per Selbstzertifizierung in Verkehr gebracht werden, während «wichtige» («important») und «kritische» («critical») Produkte externe Prüfungen durch offiziell ernannte unabhängige Prüfstellen erfordern.
• Technische Dokumentation & CE-Kennzeichnung. Ab dem 11. Dezember 2027 ist die CE-Kennzeichnung für alle konformen Produkte verpflichtend. Dies erfordert eine vollständige technische Dokumentation mit Sicherheitskonzept, Risikoanalyse und Nachweisen der Konformität. Der CRA verlangt eine fortlaufende, mindestens fünfjährige Risikodokumentation und eine zehnjährige Aufbewahrung technischer Unterlagen.
• Meldepflicht für Sicherheitsvorfälle. Ab 11. September 2026 tritt eine strikte Meldepflicht in Kraft. Ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden der Agentur der EU für Cybersicherheit (ENISA) und einem als Koordinator benannten Computer Security Incident Response Team (CSIRT) gemeldet werden.
• Pflichten für Importeure und Händler. Der CRA verlangt verschiedene Kontrollpflichten um sicherzustellen, dass die Produkte den Anforderungen genügen, korrekt CE-gekennzeichnet sind und die Konformitätsnachweise vorliegen. Bei Verdacht auf Sicherheitsmängel müssen die Behörden informiert und Massnahmen ergriffen werden.

Sanktionen: Bei Nichteinhaltung drohen Bussen bis zu 15 Mio. EUR oder 2,5 % des globalen Umsatzes. Zusätzlich können die zuständigen Behörden weitere Massnahmen verfügen, wie beispielsweise den Hersteller zwingen, das Produkt zu verbessern oder vom Markt zu nehmen.

Warum ist das für Schweizer Unternehmen relevant?

Schweizer Unternehmen, die Produkte mit digitalen Elementen in der EU/EWR vertreiben, fallen unter den EU-Cyber Resilience Act (CRA), auch wenn ihr Firmensitz ausserhalb der EU liegt. Schweizer Zulieferer für solche Produkte können indirekt betroffen sein. Im Unterschied zur Schweiz kennt die EU mit dem CRA erstmals ein einheitliches, horizontales (sektorenübergreifendes) Regime. In der Schweiz gibt kein entsprechendes Cyber‑Security‑Gesetz. Stattdessen bestehen branchenübergreifend unterschiedliche Regelungen (Datenschutzgesetz, Strafgesetz, Informationssicherheitsgesetz für den Bund, sektorale Vorgaben für Finanz, Telekom etc.), ergänzt durch eine nationale Cyberstrategie.

Aus ökonomischer Sicht kann der CRA für Schweizer Unternehmen bedeuten, dass sie erheblich in Governance, Dokumentations- und Reporting-Prozesse investieren und je nach Risikoklasse auch externe Auditkosten (Konformitätsprüfung) einkalkulieren müssen. Gleichzeitig bietet der CRA die Chance, sich auf dem EU-Markt als vertrauenswürdiger und sicherer Anbieter zu positionieren. Wer frühzeitig konform handelt, stärkt seine Wettbewerbsfähigkeit. Wer dies hingegen verpasst, riskiert nicht nur Sanktionen, sondern auch Markt- und Reputationsverluste.

Was ist jetzt zu tun?

Die Umsetzung des CRA kann an bestehende Compliance Prozesse für Datensicherheit (z.B. GDPR) und Qualitäts- und Entwicklungsprozesse anknüpfen.

Ist die Anwendbarkeit der CRA geklärt, umfasst folgende Checkliste die wichtigsten Themen:

• Relevante Produkte identifizieren, validieren und klassifizieren
• Technische Dokumentation anpassen
• Schwachstellenbehebungsprozess anpassen
• Anwender-/Nutzerdokumentation aktualisieren
• Verträge überprüfen und anpassen (gesamte Supply Chain)
• CE-Kennzeichnung vorbereiten
• Frühzeitige Vorbereitung einer externen Konformitätsprüfung
• Laufendes Monitoring-System definieren
• Cybersecurity by Design and Default in den gesamten Produkt-Lebenszyklus integrieren
• Produkte- und Lieferketten-Compliance gewährleisten
• Meldepflichten sicherstellen