Der Cyber Resilience Act (CRA) bringt einheitliche, verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen in der EU. Auch Schweizer Unternehmen sind betroffen: Wer Produkte oder Software auf dem EU-Markt anbietet, auch über Online-Kanäle, fällt unter den CRA, unabhängig vom Firmensitz.
Die Swiss Infosec AG begleitet Sie von der ersten Betroffenheitsanalyse bis zur vollständigen Konformität.
CRA-Fristen: Die drei entscheidenden Stichtage
11. Juni 2026
Konformitätsbewertungsstellen
Notifizierung von Konformitätsbewertungsstellen (Art. 35-51 CRA) tritt in Kraft. Für Hersteller wichtig: Ab diesem Zeitpunkt stehen notifizierte Stellen für Konformitätsbewertungen bereit.
11. September 2026 – Wichtigste Frist für Hersteller
Meldepflicht für Schwachstellen und Vorfälle
Die 24h-Meldepflicht für aktiv ausgenutzte Schwachstellen an zuständige nationale CSIRT-Behörde und ENISA (Art. 14 CRA) tritt in Kraft. Hersteller müssen ab diesem Datum über einen funktionierenden Meldeprozess für Schwachstellen und Vorfälle verfügen.
11. Dezember 2027
Vollständige Anwendung aller CRA-Anforderungen
CE-Kennzeichnung, Software Bill of Materials (SBOM), Security by Design und Konformitätsbewertung für alle betroffenen Produkte werden vollständig anwendbar. Hersteller, die heute beginnen, haben ausreichend Zeit.
Warum Swiss Infosec AG? Ihre Vorteile auf einen Blick
- Über 35 Jahre Erfahrung in Informationssicherheit
- ISO 27001 Lead Auditoren und Implementoren – wir kennen den Standard in der Tiefe
- EU Authorised Representative: Die Swiss Infosec (Deutschland) GmbH übernimmt die gesetzliche Vertretungspflicht in der EU für Sie ab Dezember 2027
- Standort Schweiz – vertraut mit Schweizer und EU-Regulierung
Wer ist betroffen? Gilt der CRA für Ihr Unternehmen?
Der Cyber Resilience Act gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt in Verkehr gebracht werden – unabhängig davon, ob der Hersteller in der EU ansässig ist. Schweizer Unternehmen sind den gleichen Anforderungen unterworfen wie EU-Hersteller.
01 – Softwarehersteller
Anwendungssoftware, SaaS-Produkte, Betriebssysteme und Middleware, die in der EU vertrieben werden. Auch Open-Source-Komponenten in kommerziellen Produkten fallen darunter, sofern das Produkt kommerziell vertrieben wird.
02 – IoT- und Hardware-Hersteller
Vernetzte Geräte, Industrieanlagen mit Fernzugriff, Smart Home-Produkte, Netzwerkkomponenten wie Router und Switches, kurz: alles mit einer logischen oder physischen Datenverbindung zum Internet oder zu anderen Geräten.
03 – Importeure und Händler
Wer CRA-pflichtige Produkte in die EU einführt oder dort handelt, übernimmt Kontrollpflichten. Ohne EU-Niederlassung des Herstellers ist ein EU Authorised Representative zwingend erforderlich (Art. 23 CRA).
Unsere Leistungen. CRA-Compliance von A bis Z
Die Swiss Infosec AG begleitet Sie entlang des gesamten CRA-Umsetzungspfads: von der ersten Einschätzung Ihrer Betroffenheit bis zur vollständigen Dokumentation und CE-Zertifizierungsvorbereitung.
1. CRA-Betroffenheitscheck und Gap-Analyse
Wir analysieren, welche Ihrer Produkte unter den CRA fallen, welche Risikoklasse gilt (Standard, Wichtig, Kritisch) und was bis wann zu tun ist. Das Ergebnis ist ein konkreter Massnahmenplan mit Prioritäten und realistischem Zeitplan.
- Produktklassifizierung nach CRA-Anhang III, IV
- Risikobewertung und Risikoklassifikation
- Roadmap mit priorisierten Massnahmen
2. Software Bill of Materials (SBOM)
Der CRA verlangt eine vollständige und aktuell gehaltene SBOM für jedes betroffene Produkt (Anhang I, Teil II). Wir unterstützen beim Aufbau des SBOM-Prozesses, der Tool-Auswahl und der Integration in Ihre bestehende Entwicklungspipeline.
- SBOM-Erstellung nach SPDX- oder CycloneDX-Standard
- Tool-Integration und Automatisierung
- SBOM-Lifecycle-Management und Update-Prozesse
3. Vulnerability Management und Meldeprozesse
Ab September 2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA gemeldet werden (Art. 14 Abs. 2 CRA). Wir helfen beim Aufbau eines CRA-konformen Meldeprozesses und Vulnerability-Disclosure-Programms.
- ENISA-Meldeprozess aufbauen und dokumentieren
- CSIRT-Anbindung und Eskalationspfade
- Coordinated Vulnerability Disclosure Policy erstellen
4. Technische Dokumentation und Konformitätsbewertung
Wir erstellen oder reviewen die erforderliche technische Dokumentation, die EU-Konformitätserklärung und bereiten Sie auf die Konformitätsbewertung vor – intern (Self-Assessment) oder durch eine notifizierte Stelle.
- Technische Dokumentation nach Anhang VII CRA
- EU-Konformitätserklärung (Declaration of Conformity)
- Vorbereitung der Konformitätsbewertung
5. ISO 27001 SoA als CRA-Grundlage nutzen
Eine bestehende ISO 27001-Zertifizierung mit aktuellem Statement of Applicability (SoA, Anwendbarkeitserklärung) kann bereits wesentliche CRA-Anforderungen abdecken. Wir zeigen Ihnen, wobei Ihnen Ihr SoA und Ihre Zertifizierung helfen und wo die CRA-spezifischen Lücken liegen, die geschlossen werden müssen.
- SoA-Mapping auf CRA-Anforderungen
- Identifikation der CRA-spezifischen Lücken (SBOM, ENISA-Meldepflicht, CE)
- Effiziente Umsetzungsstrategie für ISO 27001-zertifizierte Unternehmen
6. CRA-Awareness und Team-Training
Der CRA verlangt, dass Mitarbeitende mit Cybersicherheitsaufgaben ausreichend geschult sind. Wir bieten massgeschneiderte Workshops für Entwicklungs-, Produkt- und Compliance-Teams – praxisnah und auf Ihr Produkt-Portfolio zugeschnitten.
- Security by Design – Workshop für Entwicklungsteams
- Compliance-Workshop für Produkt- und Legal-Teams
- CRA-Awareness-Training für die gesamte Organisation
Cyber Resilience Act – die wichtigsten Fragen
Gilt der Cyber Resilience Act auch für Schweizer Unternehmen?
Ja. Der CRA gilt für alle Produkte mit digitalen Elementen, die auf dem EU-Markt angeboten werden – unabhängig vom Firmensitz. Schweizer Softwarehersteller, IoT-Anbieter und Importeure, die in die EU liefern, müssen dieselben Anforderungen erfüllen wie EU-Unternehmen. Zusätzlich benötigen sie in der Regel einen EU Authorised Representative.
Was ist die SBOM-Pflicht im Cyber Resilience Act?
Eine Software Bill of Materials (SBOM) ist eine maschinenlesbare Liste aller Softwarekomponenten, Bibliotheken und Abhängigkeiten eines Produkts. Der CRA verlangt (Anhang I, Teil II), dass Hersteller eine SBOM erstellen und aktuell halten. Zweck ist die Nachvollziehbarkeit von Schwachstellen über die gesamte Lieferkette.
Wann muss ich als Hersteller welche CRA-Pflichten erfüllen?
Es gibt drei Stichtage: 11. Juni 2026 (Notifizierungssystem für Konformitätsbewertungsstellen), 11. September 2026 (24h-Meldepflicht für Schwachstellen und Vorfälle an ENISA/CSIRT) und 11. Dezember 2027 (volle Anwendung: CE-Kennzeichnung, SBOM, Security by Design für alle betroffenen Produkte).
Hilft meine bestehende ISO 27001-Zertifizierung für den CRA?
Ja, erheblich. Viele CRA-Anforderungen – insbesondere Risikomanagement, Schwachstellenmanagement und Incident Response – korrespondieren direkt mit ISO 27001/27002-Controls. Ein aktuelles Statement of Applicability (SoA) ist ein ausgezeichneter Ausgangspunkt. Es verbleiben jedoch CRA-spezifische Anforderungen (SBOM, ENISA-Meldepflicht, CE-Dokumentation), die die SoA allein nicht abdeckt.
Welche Bussen drohen bei Nicht-Einhaltung des CRA?
Der CRA sieht Verwaltungsbussen von bis zu 15 Mio. EUR oder 2,5 % des globalen Jahresumsatzes vor (je nachdem, was höher ist). Zusätzlich können Marktüberwachungsbehörden den Vertrieb nicht-konformer Produkte im EU-Binnenmarkt untersagen.
Plant die Schweiz ein eigenes Cyberresilienzgesetz?
Ja. Der Bundesrat hat das Bundesamt für Cybersicherheit (BACS) beauftragt, bis Herbst 2026 eine Vernehmlassungsvorlage für eine Schweizer Gesetzgebung zur Cyberresilienz digitaler Produkte zu erarbeiten – ausdrücklich orientiert am EU CRA. Schweizer Hersteller sollten daher mit einer regulatorischen Doppelwelle rechnen: EU CRA jetzt, Schweizer Pendant voraussichtlich ab 2027/2028.
Bereit für den CRA-Betroffenheitscheck?
In einem kostenlosen Erstgespräch klären wir, welche Ihrer Produkte betroffen sind, welche Fristen für Sie prioritär sind und wie eine effiziente Umsetzung aussieht.