MilesGuard
EN
CRAEU-RegulierungIoTHersteller

Cyber Resilience Act: Was Schweizer Hersteller jetzt tun müssen

19. Januar 2026|7 Min. Lesezeit

Der EU Cyber Resilience Act ist seit Dezember 2024 in Kraft. Ab September 2026 gilt die Meldepflicht, ab Dezember 2027 die volle Compliance. Schweizer Hersteller, die in die EU exportieren, müssen handeln.

Sie entwickeln ein vernetztes Medizingerät, ein industrielles Steuerungssystem oder eine Smart-Home-Komponente und verkaufen es in der EU. Dann betrifft Sie der Cyber Resilience Act (CRA). Die EU-Verordnung 2024/2847 ist seit Dezember 2024 in Kraft und reguliert erstmals die Cybersicherheit aller Produkte mit digitalen Elementen, die auf dem EU-Markt verkauft werden. Die Schweiz ist kein EU-Mitglied, aber Schweizer Hersteller mit EU-Absatzmarkt müssen die Anforderungen vollständig erfüllen.

Der Zeitplan

Der Zeitplan ist eng. Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden an die ENISA melden. Ab Dezember 2027 gelten die vollständigen Anforderungen: Security by Design, dokumentierte Risikobeurteilung, Schwachstellenmanagement über den gesamten Produktlebenszyklus (mindestens 5 Jahre) und technische Dokumentation für die CE-Kennzeichnung.

Vier Produktkategorien

Der CRA unterscheidet vier Kategorien. Default-Produkte (z.B. einfache IoT-Sensoren, ca. 90% aller Produkte) können per Selbstbewertung konformitätserklärt werden. Wichtige Produkte der Klasse I (z.B. Router, Passwort-Manager, Betriebssysteme) erfordern harmonisierte Standards oder ein Third-Party-Assessment. Wichtige Produkte der Klasse II (z.B. Firewalls, Hypervisoren, industrielle Intrusion-Detection-Systeme) verlangen eine verpflichtende Drittstellenbewertung. Kritische Produkte gemäss Anhang IV (z.B. Smartcards, Hardware-Sicherheitsmodule, Smart-Meter-Gateways) erfordern zwingend eine EU-Cybersicherheitszertifizierung (EUCC) durch eine benannte Stelle.

Konkrete Vorbereitungsschritte

Konkrete Vorbereitungsschritte für Schweizer Hersteller: Inventarisieren Sie alle Produkte, die unter den CRA fallen. Führen Sie eine Gap-Analyse gegen die Anforderungen in Anhang I der Verordnung durch. Implementieren Sie einen Secure Development Lifecycle (SDLC) nach IEC 62443 oder ISO 27034. Richten Sie ein koordiniertes Schwachstellenmanagement mit CVE-Vergabe ein. Erstellen Sie eine Software Bill of Materials (SBOM) im CycloneDX- oder SPDX-Format für jedes Produkt.

Wie MilesGuard hilft

MilesGuard begleitet Schweizer Hersteller auf dem Weg zur CRA-Compliance: von der Produktklassifizierung über die Gap-Analyse bis zur Implementierung des Schwachstellenmanagements. Starten Sie jetzt, denn die Meldepflicht ab September 2026 kommt schneller als erwartet.

Quellen

  • [1] European Commission (digital-strategy.ec.europa.eu)
  • [2] EU-Verordnung 2024/2847
  • [3] BSI (bsi.bund.de)
Teilen:LinkedIn

Weitere Beiträge

ISG-Meldepflicht: Was Schweizer Unternehmen jetzt wissen müssen

6. April 2026

nDSG und IT-Sicherheit: 10 technische Massnahmen für KMU

9. März 2026

Was kostet ein Penetration Test in der Schweiz?

20. Februar 2026

Passende Dienstleistungen

Sicherheitsaudits →Penetration Testing →
Miles Strässle

Miles Strässle

Gründer, MilesGuard GmbH

Sicherheitsfragen? Sprechen Sie mit uns.

Unsere Blog-Beiträge werden laufend auf der Originalseite aktualisiert. Für individuelle Beratung stehen wir Ihnen jederzeit zur Verfügung.

Erstgespräch vereinbaren