EU Cyber Resilience Act: Was Schweizer Unternehmen ab September 2026 beachten müssen

Am 11. September 2026 tritt die erste Durchsetzungsphase des EU Cyber Resilience Act (CRA) in Kraft. Ab diesem Datum müssen alle Hersteller von Produkten mit digitalen Elementen, die im EU-Markt vertrieben werden, aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA melden. Für Schweizer Unternehmen, die in die EU exportieren, Software entwickeln oder IoT-Geräte herstellen, ist das ein Stichtag mit weitreichenden Konsequenzen.

Was der Cyber Resilience Act verlangt

Der CRA ist eine EU-Verordnung, die Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt – von Smart-Home-Geräten über Industriesteuerungen bis hin zu Software-Applikationen. Das Ziel: Sicherheit by Design und die Verantwortung für Schwachstellen über den gesamten Produktlebenszyklus.

Die Umsetzung erfolgt in zwei Phasen:

• Ab 11. September 2026 – Meldepflicht: Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an die ENISA melden
• Ab 11. Dezember 2027 – Volle Compliance: Alle Produkte müssen die vollständigen Sicherheitsanforderungen des CRA erfüllen, inklusive CE-Kennzeichnung für Cybersicherheit

Welche Produkte sind betroffen?

Der CRA betrifft praktisch jedes Produkt mit digitalen Elementen, das im EU-Binnenmarkt bereitgestellt wird. Die Verordnung unterscheidet drei Kategorien:

Standard-Produkte (Selbstbewertung)

Die Mehrheit aller digitalen Produkte fällt in diese Kategorie: Consumer-Software, Apps, Smart-Home-Geräte, IoT-Sensoren, vernetzte Spielzeuge. Hersteller können die Konformität selbst bewerten, müssen aber die grundlegenden Sicherheitsanforderungen nachweisen.

Wichtige Produkte (Klasse I und II)

Produkte mit erhöhtem Risiko wie Firewalls, Intrusion Detection Systeme, Router, Betriebssysteme, Microcontroller und industrielle Automatisierungssysteme. Klasse I erfordert die Anwendung harmonisierter Standards oder eine Drittprüfung. Klasse II verlangt zwingend eine Konformitätsbewertung durch eine benannte Stelle.

Kritische Produkte

Hardware-Sicherheitsmodule, Smartcard-Leser, Smart-Meter-Gateways und ähnliche Hochsicherheitsprodukte benötigen immer eine Zertifizierung durch eine benannte Stelle.

Warum Schweizer Unternehmen betroffen sind

Obwohl der CRA eine EU-Verordnung ist, betrifft er Schweizer Unternehmen in mehreren Szenarien direkt:

• EU-Export – Jedes Produkt mit digitalen Elementen, das im EU-Markt verkauft wird, muss CRA-konform sein – unabhängig vom Herstellerland
• Software-Entwicklung – Schweizer Softwareunternehmen, deren Produkte von EU-Kunden genutzt werden, fallen unter die Anforderungen
• IoT und Embedded Systems – Hersteller von vernetzten Geräten, Steuerungen oder Sensoren für den EU-Markt
• Komponenten-Zulieferer – Wer digitale Komponenten (Hardware oder Software) an EU-Hersteller liefert, muss Sicherheitsinformationen bereitstellen
• Importeure und Distributoren – Schweizer Unternehmen, die digitale Produkte aus Drittländern in die EU importieren, übernehmen CRA-Pflichten

Die konkreten Anforderungen

Security by Design

Produkte müssen von Beginn an mit Sicherheit entwickelt werden. Dazu gehören sichere Default-Konfigurationen, Verschlüsselung wo angemessen, Schutz vor unbefugtem Zugriff und Minimierung der Angriffsfläche. Bekannte Schwachstellen dürfen bei der Auslieferung nicht vorhanden sein.

Vulnerability Management

Hersteller müssen einen dokumentierten Prozess für den Umgang mit Schwachstellen etablieren: koordinierte Offenlegung (Coordinated Vulnerability Disclosure), zeitnahe Bereitstellung von Sicherheitsupdates und transparente Kommunikation mit Nutzern über bekannte Schwachstellen.

Software Bill of Materials (SBOM)

Jedes Produkt muss von einer SBOM begleitet werden – einem maschinenlesbaren Verzeichnis aller Software-Komponenten, inklusive Open-Source-Bibliotheken und Drittanbieter-Code. Die SBOM ermöglicht es, bei neu entdeckten Schwachstellen schnell zu identifizieren, welche Produkte betroffen sind.

Meldepflicht (ab September 2026)

Die erste durchsetzbare Anforderung ab dem 11. September 2026: Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an die ENISA melden. Eine detaillierte Meldung muss innerhalb von 72 Stunden folgen. Das erfordert funktionierende Monitoring- und Incident-Response-Prozesse.

Zusammenspiel mit anderen Regulierungen

Der CRA existiert nicht isoliert. Schweizer Unternehmen müssen möglicherweise mehrere regulatorische Anforderungen gleichzeitig erfüllen:

• Schweizer ISG/CSV – Meldepflicht für Cyberangriffe auf kritische Infrastrukturen, Sanktionen seit Oktober 2025 in Kraft
• EU NIS2 – Erweiterte Cybersicherheitspflichten für Unternehmen in kritischen Sektoren
• EU AI Act – Zusätzliche Anforderungen für Produkte mit KI-Komponenten
• DSGVO/nDSG – Datenschutzanforderungen bei der Verarbeitung personenbezogener Daten

Eine koordinierte Compliance-Strategie spart Aufwand und verhindert Widersprüche zwischen den einzelnen Anforderungen.

Handlungsempfehlungen für Schweizer Unternehmen

Betroffenheitsanalyse durchführen

Identifizieren Sie alle Produkte Ihres Unternehmens, die unter den CRA fallen könnten. Berücksichtigen Sie auch Software, Firmware-Updates und digitale Dienste, die mit physischen Produkten verbunden sind. Klären Sie die Produktkategorie (Standard, Klasse I/II, kritisch).

SBOM-Prozess aufbauen

Beginnen Sie jetzt mit der Erstellung von Software Bills of Materials für Ihre Produkte. Integrieren Sie SBOM-Generierung in Ihre Build-Pipeline. Identifizieren Sie alle Open-Source-Abhängigkeiten und deren Lizenzen.

Vulnerability Management etablieren

Implementieren Sie einen strukturierten Schwachstellenmanagement-Prozess: Erkennung, Bewertung, Behebung und Kommunikation. Richten Sie einen Kanal für koordinierte Schwachstellenmeldungen ein und definieren Sie SLAs für die Bereitstellung von Patches.

Sicherheitstests integrieren

Regelmässige Sicherheitstests sind zentral für die CRA-Compliance. Penetrationstests, Code Reviews und automatisierte Security Scans müssen Teil des Entwicklungszyklus werden – nicht ein einmaliges Ereignis vor der Markteinführung.

Wie Zerberos Sie unterstützt

Die CRA-Anforderungen berühren sowohl die technische Sicherheit Ihrer Produkte als auch Ihre organisatorischen Prozesse. Unsere Dienstleistungen helfen bei beiden Dimensionen:

• Penetrationstests – Systematische Sicherheitsprüfung Ihrer Produkte und Applikationen gegen CRA-Anforderungen
• Vulnerability Scans – Kontinuierliche Schwachstellenüberwachung Ihrer Produkte und Infrastruktur
• Risk Assessment – Gap-Analyse Ihrer aktuellen Praktiken gegen CRA-Anforderungen
• IT Security Consulting – Aufbau von Security-by-Design-Prozessen und Vulnerability-Management-Programmen

September 2026 kommt schneller als gedacht. Kontaktieren Sie uns für eine CRA-Readiness-Bewertung – damit Ihre Produkte auch nach dem Stichtag auf dem EU-Markt bleiben.

Quellen und weiterführende Links

• EUR-Lex: Verordnung (EU) 2024/2847 – Cyber Resilience Act (Volltext)
• Europäische Kommission: Cyber Resilience Act – Übersicht
• Europäische Kommission: CRA-Meldepflichten ab September 2026
• Europäische Kommission: CRA-Konformitätsbewertung und Produktkategorien
• Europäische Kommission: CRA-Zusammenfassung
• ENISA: Single Reporting Platform (SRP)
• Fedlex: Schweizer Informationssicherheitsgesetz ISG (SR 128)
• BACS: Informationen zur Schweizer Meldepflicht