Mit Beginn der Anwendung des Cyber Resilience Act (CRA) am 11. Dezember 2027 wird die Messlatte für die Cybersicherheit von Produkten in der EU deutlich höher gelegt. Für Industrieunternehmen bedeutet das: Der Zugang zum EU-Markt ist künftig an verbindliche Sicherheitsanforderungen geknüpft.
Regulatorische Einordnung und Schweizer Gesetzgebung
Der CRA ist die regulatorische Antwort der EU auf eine reale Bedrohungslage. Die zunehmende digitale Vernetzung von Produkten kann eine rasche, «virale» Ausbreitung von Cyberbedrohungen begünstigen. Entsprechend klar formuliert die EU:
«Die Cybersicherheit bedeutet eine der grössten Herausforderungen für die Union. Die Zahl und Vielfalt der vernetzten Geräte wird in den kommenden Jahren exponentiell zunehmen. Cyberangriffe sind ein Thema von öffentlichem Interesse, da sie sich nicht nur auf die Wirtschaft der Union, sondern auch auf die Demokratie sowie die Sicherheit und Gesundheit der Verbraucher kritisch auswirken. Es ist deshalb nötig, das Cybersicherheitskonzept der Union zu stärken […] und das Funktionieren des Binnenmarkts zu verbessern […]» (Erwägungsgrund (1) der EU-Verordnung «Cyber Resilience Act»)
Auch in der Schweiz ist das Thema angekommen: Der Bundesrat hat im August 2025 eine Gesetzgebung in Auftrag gegeben, um Sicherheitslücken zu adressieren und dabei den internationalen Kontext zu berücksichtigen – ausdrücklich auch den Cyber Resilience Act.
Cyber Resilience: Sicherheit als Designprinzip
«Cyber Resilience» bedeutet nicht absolute Sicherheit, sondern Robustheit und Widerstandsfähigkeit. Systeme sollen Angriffen standhalten und nach einem Vorfall rasch wieder sicher einsatzfähig sein.
Der CRA macht Security by Design zur Pflicht. Hersteller müssen Sicherheit systematisch in jeder Entwicklungsphase verankern – von der Konzeption bis hin zur Wartung. Cybersicherheit wird damit vom nachgelagerten Zusatz zum grundlegenden Designprinzip.
Ein weiterer SchlĂĽsselfaktor sind Sicherheitsupdates ĂĽber den gesamten vorgesehenen Nutzungszeitraum.
Die verbreitete Nutzung von Software-Bibliotheken ist dabei Fluch und Segen zugleich: Eine einzelne Schwachstelle kann zahlreiche Produkte gleichzeitig betreffen. Gleichzeitig weisen etablierte Bibliotheken dank permanenter Überprüfung durch Entwickler-Communities häufig eine höhere Sicherheitsqualität auf als isolierte Eigenentwicklungen. Entscheidend ist, dass Sicherheitsupdates rasch bereitgestellt und flächendeckend implementiert werden können.
Wer ist betroffen – und ab wann?
Der CRA ist in das CE-Kennzeichnungsverfahren eingebettet. Ab dem 11. Dezember 2027 dĂĽrfen vernetzte Produkte in der EU nur noch in Verkehr gebracht werden, wenn sie die CRA-Anforderungen erfĂĽllen und entsprechend CE-gekennzeichnet sind.
Betroffen sind «Produkte mit digitalen Elementen», die über direkte oder indirekte logische oder physische Datenverbindungen verfügen.
Ein Beispiel:
Ein Messgerät mit Display ohne Schnittstelle verfügt zwar über digitale Elemente, ist jedoch nicht vernetzt. Sobald jedoch eine Kommunikationsfähigkeit im Rahmen normaler oder vernünftigerweise vorhersehbarer Nutzung besteht, greift die Verordnung.
Der CRA gilt nicht rĂĽckwirkend fĂĽr Produkte, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden. Werden jedoch nach dem Stichtag wesentliche Ă„nderungen an einem bestehenden Produkt vorgenommen, wird die Verordnung relevant.
Grundsätzlich trägt der Hersteller die Verantwortung für die CE-Konformität. In der Praxis werden die Anforderungen jedoch entlang der Lieferkette weitergegeben werden. Auch B2B-Lieferanten sollten sich deshalb frühzeitig mit dem Thema befassen.
Was Unternehmen jetzt tun sollten
Wir empfehlen, mit einer fundierten Betroffenheitsanalyse des eigenen Produktportfolios zu starten. Diese umfasst:
- die technische Betrachtung der Produkte,
- die Produkt-Portfolio-Roadmap
- sowie die Rolle innerhalb der Lieferkette.
Unabhängig vom Ergebnis sollte die Analyse sauber dokumentiert werden.
Im nächsten Schritt folgen Gap-Analysen für betroffene Produkte. Der SCS CRA-Kompass bietet hierfür eine strukturierte Orientierung.
Die Risikoanalyse bildet die Entscheidungsgrundlage: Was ist zu schĂĽtzen? Welche Sicherheitsmassnahmen sind angemessen?
Eine weitere zentrale Dimension ist die koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure). Unternehmen müssen Schwachstellen strukturiert erfassen und mit betroffenen Akteuren kommunizieren. Ziel der EU ist es, durch mehr Transparenz die Sicherheit im gesamten Ökosystem zu erhöhen.
Zu beachten ist zudem:
Bei schwerwiegenden Vorfällen schreibt der CRA Meldepflichten mit kurzen Fristen gegenüber Behörden vor. Diese gelten bereits ab dem 11. September 2026.
Wie weiter?
Die neuen Sicherheitsanforderungen der EU sind im Grundsatz vernĂĽnftig und gerechtfertigt.
Klar ist, dass Cybersicherheit kein reines IT- oder Entwickler-Thema ist. Sie betrifft Produktstrategie, MarktÂzugang, Risikobeurteilung und Lieferketten – und muss auf strategischer Ebene verankert werden.
Zwar bestehen derzeit noch Auslegungsspielräume – etwa beim Umgang mit Open-Source-Software oder bei der Definition der «wesentlichen Änderung». Auch harmonisierte Normen werden erst noch folgen. Wie bei jeder neuen Regulierung entwickeln sich Best Practices und Rechtspraxis schrittweise.
Doch Warten ist keine Option.
FĂĽhren Sie den Dialog mit Ihren Partnern und Lieferanten. Nutzen Sie internes Fachwissen und holen Sie sich bei Bedarf gezielt externe technische oder rechtliche Expertise dazu.
Weitere Informationen https://www.scs.ch/cra/
Die Autoren