Gilt der Cyber Resilience Act auch für Schweizer Unternehmen?

03/2026 – Fachartikel Swiss Infosec AG

Was Schweizer Hersteller und Softwareanbieter jetzt tun müssen

Schweizer Hersteller digitaler Produkte und Softwareentwicklungsunternehmen, die ihre Lösungen im EU-Markt anbieten, stehen ab 2026 vor handfesten Pflichten. Die kritischste operative Deadline ist der 11. September 2026: Ab dann gelten verbindliche Meldepflichten für Schwachstellen und Sicherheitsvorfälle. Wer nicht vorbereitet ist, riskiert Bussgelder bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes und im schlimmsten Fall den Verlust des EU-Marktzugangs.

Dieser Artikel gibt einen praxisnahen Überblick über den CRA, erklärt die wichtigsten Fristen und zeigt auf, was Schweizer Anbieter von Software oder digitalen Produkten jetzt konkret unternehmen müssen.

Die Swiss Infosec AG unterstützt Unternehmen auf diesem Weg, von der ersten Gap-Analyse bis hin zur fortlaufenden Begleitung eines CRA-konformen Betriebs.

Was ist der Cyber Resilience Act?

Der CRA (Verordnung (EU) 2024/2847) ist das erste horizontale EU-Gesetz, das verbindliche Cybersicherheitsanforderungen für sämtliche Produkte mit digitalen Elementen festlegt. Er ergänzt bestehende Regulierungen wie die NIS-2-Richtlinie und die DSGVO, geht aber in einem entscheidenden Punkt weiter: Er richtet sich direkt an Produkthersteller und greift entlang der gesamten Lieferkette.

Konkret umfasst der CRA:

• Hardware und Software, die direkt oder indirekt mit einem Netzwerk oder Gerät verbunden werden können
• IoT-Geräte wie Smart-Home-Produkte, Wearables und industrielle Steuerungssysteme
• Standalone-Software wie Betriebssysteme, Buchhaltungslösungen, mobile Apps und Sicherheitswerkzeuge
• Eingebettete Systeme in Maschinen, Fahrzeugen und Infrastruktur

Ausgenommen sind Produkte unter sektorspezifischen EU-Verordnungen (Medizinprodukte, zivile Luftfahrt, nationale Sicherheit) sowie nicht-kommerzielle Open-Source-Software ohne Gewinnerzielungsabsicht.

Gilt der CRA auch für Schweizer Unternehmen?

Kurz gesagt: Ja. Der CRA ist eine EU-Marktregulierung. Wer Produkte mit digitalen Elementen in der EU in Verkehr bringt, muss die Anforderungen des CRA erfüllen, unabhängig vom Firmensitz. Das betrifft insbesondere:

• Hersteller digitaler Software- oder Hardwareprodukte, die in der EU vertrieben werden
• Exporteure in die EU, die für die Konformität der Produkte geradestehen müssen
• Händler, die sicherstellen müssen, dass nur CRA-konforme Produkte in den EU-Markt gelangen
• Schweizer Cloud-Dienstleister, deren Cloud Services unter bestimmten Bedingungen ebenfalls in den Anwendungsbereich fallen können

EU-Vertreter

Schweizer Unternehmen ohne EU-Niederlassung sind zusätzlich verpflichtet, bis zum 11. Dezember 2027 einen bevollmächtigten Vertreter in der EU (Authorised Representative) zu benennen. Diese Stelle übernimmt die Kommunikation mit Marktüberwachungsbehörden, hält die technische Dokumentation bereit und stellt sicher, dass Behördenanfragen fristgerecht beantwortet werden. Schon heute übernimmt die Swiss Infosec AG EU-Vertretermandate gemäss EU-DSGVO im Auftrag für ihre Kundinnen und wird dies künftig auch für die EU-Vertretung nach CRA tun.

CRA-Pendant in der Schweiz

Der Bundesrat hat eine Aussprache geführt und das Bundesamt für Cybersicherheit (BACS) beauftragt, in Zusammenarbeit mit dem Bundesamt für Kommunikation (BAKOM) und dem Staatsekretariat für Wirtschaft (SECO) bis Herbst 2026 eine Vernehmlassungsvorlage zur «Schaffung einer Gesetzgebung zur Cyberresilienz von digitalen Produkten» zu erarbeiten. Die neuen gesetzlichen Grundlagen sollen die Vorschriften zur Cybersicherheit bei der Entwicklung und dem Inverkehrbringen von Produkten mit digitalen Elementen festlegen, die Umsetzung der Marktüberwachung dieser Produkte definieren sowie Grundlagen für ein Verbot des Imports und Vertriebs unsicherer Geräte schaffen.

Abgestimmt auf den internationalen Kontext
Bei der Erarbeitung der gesetzlichen Grundlagen soll der internationale Kontext beachtet werden – darunter das europäische Cyberresilienzgesetz («Cyber Resilience Act», CRA). Ziel ist es, eine auf den Wirtschaftsstandort Schweiz angepasste Gesetzgebung zu entwickeln. Dabei soll sichergestellt werden, dass die administrative Belastung der Unternehmen möglichst tief gehalten und dass international tätige Unternehmen aus der Schweiz nicht durch voneinander abweichende Vorgaben zusätzlich belastet werden.  

Der Cyber Resilience Act unterscheidet vier Produktkategorien:

• Standardkategorie (ca. 90 % aller Produkte): Gewöhnliche Geschäftssoftware, Consumer-Elektronik und Standard-IoT-Geräte. Für diese Kategorie genügt eine Selbstdeklaration des Herstellers (Modul A).
• Klasse I – Wichtige Produkte: Erhöhtes Risiko, z. B. Passwortmanager, Antivirensoftware, VPNs, Firewalls, Browser. Strengere Konformitätsbewertung erforderlich.
• Klasse II – Kritische Produkte: Netzwerkmanagementsysteme, industrielle Steuerungen, Smart-Meter-Gateways. Zertifizierung durch notifizierte Stelle zwingend.
• Kritische Kernprodukte: Besonders kleine Gruppe mit strengsten Anforderungen und verpflichtender externer Bewertung.

Die technischen Kernpflichten

Security by Design und Security by Default

Cybersicherheit muss von Beginn an in die Produktentwicklung integriert sein, nicht als nachträglicher Patch. Das bedeutet: sichere Standardeinstellungen, keine voreingestellten Universalpasswörter, minimale Angriffsflächen und Verschlüsselung sensibler Daten.

Schwachstellenmanagement über den gesamten Produktlebenszyklus

Hersteller sind verpflichtet, einerseits ein wirksames Schwachstellenmanagement zu betreiben, andererseits mit Sicherheitsupdates für ein Produkt über eine Dauer von mindestens fünf Jahren für ein Produkt mit digitalen Elementen bereitzustellen.

Software Bill of Materials (SBOM)

Für jedes Produkt ist eine vollständige Dokumentation aller Softwarekomponenten (SBOM) zu führen – inklusive Drittanbieterkomponenten und Open-Source-Bibliotheken.

Technische Dokumentation und CE-Kennzeichnung

Bis Ende 2027 müssen betroffene Produkte mit einer EU-Konformitätserklärung und der CE-Kennzeichnung versehen werden. Ohne diese Kennzeichnung ist der Export in die EU nicht mehr zulässig. Der CRA führt detailliert die Anforderungen an die zu erstellende Dokumentation auf.

Resilienz und Incident Containment

Produkte müssen widerstandsfähig gegen Cyberangriffe sein. Sicherheitsfunktionen dürfen bei einem Angriff nicht vollständig ausfallen. Hersteller müssen Vorfälle schnell eindämmen und betroffene Nutzer informieren können.

Fristen 2026

11. Juni 2026 – Notifizierte Stellen (relevant vor allem für höhere Risikoklassen)

Ab diesem Datum müssen EU-Mitgliedstaaten akkreditierte Konformitätsbewertungsstellen (Notified Bodies) benennen. Für die grosse Mehrheit der Schweizer Softwareentwickler, deren Produkte in die Standardkategorie fallen, ist diese Frist kein unmittelbares Handlungserfordernis: Die Selbstdeklaration erfordert keine notifizierte Stelle. Relevant ist der Termin vor allem für Hersteller von Produkten der Klassen I und II, die frühzeitig Kontakt zu Bewertungsstellen aufnehmen sollten, um Kapazitätsengpässen zuvorzukommen.

11. September 2026 – Meldepflichten (gilt für alle Hersteller)

Dies ist die zentrale und unmittelbarste Pflicht, sie gilt für alle Produktkategorien. Ab diesem Datum sind aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle innerhalb strikter Fristen zu melden:

• Innerhalb von 24 Stunden: Frühwarnung an die zuständige nationale CSIRT-Behörde und ENISA
• Innerhalb von 72 Stunden: Detailliertere Folgemeldung mit allen verfügbaren Informationen
• Innerhalb von 14 Tagen: Abschlussbericht nach Sicherheitsupdate oder Workaround
• Innerhalb von 30 Tagen: Abschlussbericht bei schwerwiegenden Sicherheitsvorfällen

ENISA richtet dafür eine zentrale Single Reporting Platform ein. Schweizer Hersteller ohne EU-Niederlassung melden über ihren bevollmächtigten EU-Vertreter.

Die Swiss Infosec AG begleitet Unternehmen beim strukturierten Aufbau dieser Prozesse.

Zeitplan im Überblick

Datum	Meilenstein
10. Dez. 2024	CRA trat in Kraft
11. Juni 2026	Notifizierte Stellen aktiv
11. Sep. 2026	Meldepflichten für Schwachstellen und Vorfälle
11. Dez. 2026	Ausreichend notifizierte Stellen in der EU
11. Dez. 2027	Vollständige Anwendung aller CRA-Anforderungen

Was zu tun ist

Die verbleibenden Monate bis September 2026 sind knapp. Die wesentlichen Todo’s umfassen:

Sofort (Q1/Q2 2026):  Produktportfolio analysieren, Risikoklassen bestimmen. Bevollmächtigten EU-Vertreter benennen und Meldeprozesse planen.

Bis Juni 2026:  Technische Dokumentation und Risikoanalyse erstellen. SBOM für alle relevanten Produkte aufbauen. Security by Design in Entwicklungsprozesse integrieren. Für Klasse-I- und Klasse-II-Produkte Kontakt mit Konformitätsbewertungsstellen aufnehmen.

Bis September 2026:  CSIRT-Prozesse aufbauen und kommunizieren. Meldewege zu CSIRT und ENISA einrichten und testen. Patch- und Update-Management sicherstellen. Meldeprozess mit EU-Vertreter koordinieren.

Bis Dezember 2027:  CE-Kennzeichnung und EU-Konformitätserklärung fertigstellen. Lieferkette auf CRA-Compliance prüfen und Zulieferer einbinden.

---

Profitieren Sie direkt vom CRA-Know-how unserer Experten:

• Webinar «Cyber Resilience Act (CRA) umsetzen: Technische Anforderungen und konkrete Massnahmen» – Freitag, 17.6.2026, 11:00 bis 11:45 Uhr

Durchführung online via Teams. Die Teilnahme ist kostenlos.

---

Spezialfall Open Source

Nicht-kommerzielle Open-Source-Projekte ohne Gewinnerzielungsabsicht sind vom CRA ausgenommen, wobei die Grenze jedoch schmal ist. Sobald Open-Source-Komponenten in kommerzielle Produkte für den EU-Markt einfliessen, trägt der Hersteller die volle CRA-Verantwortung, auch für die verwendeten Drittbibliotheken. Das SBOM-Gebot wird hier zur zentralen Herausforderung.

Sanktionen

Bei schwerwiegenden Verstössen können Marktüberwachungsbehörden Bussgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist. Bei weniger schwerwiegenden Verstössen liegt die Obergrenze bei 10 Millionen Euro oder 2 % des Umsatzes. Darüber hinaus können Behörden den Verkauf untersagen, Rückrufe anordnen oder Produkte vom Markt nehmen.

Für Schweizer KMU ohne EU-Niederlassung gilt: Wer keinen bevollmächtigten EU-Vertreter benennt, kann seine Produkte ab Dezember 2027 nicht mehr legal in der EU vertreiben. Die Swiss Infosec AG berät bei der Planung und Einrichtung dieses Mandats.

Leistungsangebot Swiss Infosec AG

Der Cyber Resilience Act ist kein fernes Regulierungsprojekt mehr. Mit dem 11. September 2026 greifen die ersten echten Pflichten, und die Zeit zur Vorbereitung wird knapper. Für Schweizer Softwareentwickler und Hersteller, die im EU-Markt aktiv sind oder es bleiben wollen, gibt es keine Alternative zum proaktiven Handeln.

Die Swiss Infosec AG steht als ganzheitlicher CRA-Partner an Ihrer Seite – von der ersten Bestandsaufnahme bis zur laufenden Compliance-Begleitung. Nehmen Sie frühzeitig Kontakt auf: +41 41 984 12 12  |  infosec@infosec.ch

CRA Gap-Analyse und Scoping

Strukturierte Bestandsaufnahme: Welche Produkte fallen unter den CRA? In welche Risikoklasse sind sie einzuordnen? Wo besteht Handlungsbedarf? Ergebnis ist ein priorisierter Massnahmenplan mit klaren Verantwortlichkeiten und Zeitplan.

Aufbau technischer Dokumentation und SBOM

Erstellung und Pflege der CRA-konformen technischen Dokumentation inkl. Risikoanalyse sowie Aufbau einer Software Bill of Materials (SBOM) für alle relevanten Produktkomponenten – strukturiert, nachvollziehbar und behördengerecht.

Schwachstellenmanagement

Konzeption und Implementierung eines CRA-konformen Schwachstellenmanagements inkl. Meldewege zu nationalen CSIRTs und ENISA, Eskalationslogik, Verantwortlichkeiten und Patch-Management.

Security by Design-Beratung

Integration von CRA-konformen Sicherheitsanforderungen in bestehende Entwicklungsprozesse (SDLC): Anforderungsengineering, Threat Modelling, Secure Coding Guidelines und sicherheitsbezogene Reviews.

CRA-Awareness und Schulungen

Massgeschneiderte Schulungen und Workshops für Entwicklungsteams, Produktverantwortliche und Management – als Firmentraining, offenes Seminar oder eLearning.

Legal Compliance Officer as a Service

Übergreifende regulatorische Begleitung im Zusammenspiel von CRA, NIS-2, DSGVO, KI-Gesetz und weiteren EU-Digitalregulierungen – für ein kohärentes Compliance-Gesamtbild ohne blinde Flecken.

CRA-Vertreter-Mandat

Schweizer Hersteller ohne EU-Niederlassung sind per 11. Dezember 2027 gesetzlich verpflichtet, einen bevollmächtigten Vertreter in der EU zu benennen. Dieses Mandat kann durch die Swiss Infosec AG im Auftragsverhältnis wahrgenommen werden. Sie fungiert als Ansprechpartner gegenüber EU-Marktüberwachungsbehörden, koordiniert Meldungen über die ENISA Single Reporting Platform und stellt die erforderliche technische Dokumentation bereit.

Gerne beantworten wir Ihre Fragen rund um den Cyber Resilience Act sowie alle generellen Fragen zu Cyber- und IT-Sicherheit.

Swiss Infosec AG; 24.03.2026
Fachteam IT-Sicherheit, +41 41 984 12 12, infosec@infosec.ch