1. Anwendungsbereich

Der Cyber Resilience Act (CRA), offiziell als Verordnung (EU) 2024/2847 bekannt, gilt für alle Produkte mit digitalen Elementen, deren bestimmungsgemässer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschliesst, und die auf dem europäischen Binnenmarkt in Verkehr gebracht werden. Dies umfasst sowohl Hardware- als auch Softwareprodukte, die vernetzt sind oder mit anderen digitalen Systemen interagieren können. Ausgenommen sind Produkte, die ausschliesslich für nationale Sicherheits- oder Verteidigungszwecke genutzt werden sowie Medizinprodukte und Kraftfahrzeuge, die bereits anderen spezifischen regulatorischen Anforderungen unterliegen (Art. 2 und Erwägungsgründe 25, 26 & 27 CRA).

Betroffene Akteure sind insbesondere:

• Hersteller: Sie tragen die Hauptverantwortung für die Einhaltung der Cybersicherheitsanforderungen (Art. 13 und 14 CRA).
• Importeure in die EU und Händler: Diese müssen sicherstellen, dass nur konforme Produkte auf den Markt gelangen (Art. 19 und 20 CRA).
• KMU und Start-ups: Auch kleine Unternehmen sind betroffen, wobei besondere Leitlinien für sie bereitgestellt werden sollen (Erwägungsgrund 5 und Art. 26 CRA).

2. Zeitplan und Übergangsfristen

Die digitale Sicherheit ist eine der grössten Herausforderungen der Europäischen Union. Deshalb wurde der CRA am 23. Oktober 2024 verabschiedet, um einheitliche, europaweite Cybersicherheitsanforderungen für Produkte mit digitalen Elementen zu schaffen.

Der CRA trat 20 Tage nach seiner Veröffentlichung am 20. November 2024 im Amtsblatt der Europäischen Union am 10. Dezember 2024 in Kraft. Die meisten Bestimmungen werden jedoch erst nach einer Übergangsfrist anwendbar. Der Zeitplan für Unternehmen sieht gemäss Art. 71 CRA wie folgt aus:

• 11. Juni 2026: Die Bestimmungen von Kapitel IV (Art. 35 bis 51) CRA zur Notifizierung von Konformitätsbewertungsstellen treten in Kraft.
• 11. September 2026: Die Verpflichtungen aus Art. 14 CRA werden für Unternehmen verbindlich, d.h. die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle mit Auswirkungen auf die Sicherheit von Produkten mit digitalen Elementen.
• 11. Dezember 2027: Der restliche CRA gilt vollumfänglich für alle betroffenen Produkte und Marktakteure.

3. Wichtige Compliance-Anforderungen

Der CRA legt eine Reihe verbindlicher Cybersicherheitsanforderungen fest, die Hersteller und andere Wirtschaftsakteure erfüllen müssen. Die zentralen Compliance-Verpflichtungen sind:

A) Anforderungen an Hersteller (Art. 13 CRA)

Hersteller von Produkten mit digitalen Elementen tragen die Hauptverantwortung für die Einhaltung der Cybersicherheitsanforderungen. Ihre Verpflichtungen umfassen:

a) Design- und Entwicklungsanforderungen

• Produkte müssen sicher konzipiert, entwickelt und gewartet werden (Art. 13 Abs. 1 CRA).
• Eine Risikobewertung ist durchzuführen, um mögliche Cybersicherheitsrisiken zu identifizieren (Art. 13 Abs. 2 CRA).
• Während des gesamten Lebenszyklus müssen Massnahmen zur Risikominimierung implementiert werden (Art. 13 Abs. 3 CRA).

b) Sicherheitsupdates und Schwachstellenmanagement

• Hersteller müssen Schwachstellen überwachen, analysieren und beheben (Art. 13 Abs. 4 CRA).
• Sicherheitsupdates müssen während des gesamten Unterstützungszeitraums bereitgestellt werden (Art. 13 Abs. 8 CRA).
• Hersteller müssen eine koordinierte Offenlegung von Schwachstellen sicherstellen (Art. 13 Abs. 7 CRA).

c) Transparenz und Dokumentation

• Technische Dokumentationen und eine EU-Konformitätserklärung müssen erstellt und mindestens 10 Jahre aufbewahrt werden (Art. 13 Abs. 9–10 CRA).
• Produkte müssen mit einer CE-Kennzeichnung versehen werden, die die Einhaltung der Verordnung bestätigt (Art. 13 Abs. 12 CRA).

B) Anforderungen an Händler (Art. 20 CRA)

Händler, die Produkte mit digitalen Elementen auf dem Markt bereitstellen, müssen sicherstellen, dass diese den gesetzlichen Anforderungen entsprechen.

a) Sorgfaltspflicht und Überprüfungspflichten

• Händler müssen sicherstellen, dass Produkte mit einer CE-Kennzeichnung versehen sind und alle erforderlichen Konformitätsdokumente vorliegen (Art. 20 Abs. 2 CRA).
• Sie müssen vor dem Verkauf überprüfen, ob Hersteller und Einführer ihre Pflichten erfüllt haben (Art. 20 Abs. 2 CRA).

b) Umgang mit Sicherheitsrisiken

• Händler müssen Produkte vom Markt nehmen oder zurückrufen, wenn diese nicht den Anforderungen entsprechen (Art. 20 Abs. 4 CRA).
• Sobald Händler von einer Schwachstelle oder einem erheblichen Cybersicherheitsrisiko erfahren, müssen sie den Hersteller und die Marktüberwachungsbehörden informieren (Art. 20 Abs. 4 CRA).

c) Zusammenarbeit mit Marktüberwachungsbehörden

• Händler sind verpflichtet, auf Anfrage der Behörden alle notwendigen Informationen zur Konformität des Produkts bereitzustellen (Art. 20 Abs. 5 CRA).
• Wenn ein Hersteller seine Geschäftstätigkeit einstellt und keine Sicherheitsupdates mehr bereitstellen kann, muss der Händler dies den Behörden und Nutzern melden (Art. 20 Abs. 6 CRA).
• Produkte mit höheren Cybersicherheitsrisiken müssen gemäss Erwägungsgrund 44 CRA strenge Konformitätsbewertungsverfahren durchlaufen. Die Verfahren richten sich nach den Kriterien des CRA und beinhalten z. B. unabhängige Prüfungen durch notifizierte Stellen.

4. Auswirkungen auf schweizerische Unternehmen

Auch wenn die Schweiz nicht Mitglied der EU ist, hat der CRA erhebliche Auswirkungen auf schweizerische Unternehmen, die Produkte mit digitalen Elementen in die EU exportieren. Diese müssen sicherstellen, dass ihre Produkte den Anforderungen der Verordnung entsprechen, um weiterhin Zugang zum EU-Binnenmarkt zu haben. Besonders betroffen sind:

• Schweizer Hersteller: Sie müssen die gleichen Konformitätsverfahren durchlaufen wie EU-Hersteller.
• Schweizer Importeure und Händler: Diese sind ebenfalls verpflichtet, nur konforme Produkte in die EU zu liefern.
• Schweizer Dienstleister mit Cloud-Diensten: Bestimmte Cloud-Dienste könnten unter die Regelungen zur Fernverarbeitung fallen (Erwägungsgrund 12 CRA).

Um die Einhaltung der Vorschriften zu gewährleisten, sollten schweizerische Unternehmen ihre Cybersicherheitsstrategien anpassen, Prozesse zur Schwachstellenüberwachung implementieren und ihre Lieferketten auf Compliance-Risiken überprüfen.

5. Die 10 wichtigsten Dos and Don'ts

6. Fazit 

Der CRA bringt wesentliche Änderungen für Unternehmen mit sich, die Produkte mit digitalen Elementen in der EU vertreiben. Während er für mehr Sicherheit und Transparenz sorgt, stellt er gleichzeitig hohe Anforderungen an die betroffenen Akteure. Unternehmen müssen frühzeitig Anpassungen vornehmen, um Compliance-Risiken zu vermeiden und den Zugang zum Binnenmarkt sicherzustellen.

Besonders für schweizerische Unternehmen ist eine proaktive Umsetzung entscheidend, da sie die gleichen Anforderungen wie EU-Unternehmen erfüllen müssen, um ihre Produkte weiterhin in der EU vertreiben zu können. Eine gezielte Anpassung der internen Prozesse, kontinuierliches Schwachstellenmanagement und eine enge Zusammenarbeit mit Partnern entlang der Lieferkette sind essenziell, um den neuen regulatorischen Anforderungen gerecht zu werden.

Die Cybersicherheit bleibt ein dynamisches Feld, das kontinuierliche Anpassungen erfordert. Unternehmen sollten daher nicht nur die Mindestanforderungen der Verordnung erfüllen, sondern ihre Sicherheitspraktiken proaktiv weiterentwickeln. Dies stärkt nicht nur ihre Marktposition, sondern trägt auch zu einem sichereren digitalen Ökosystem in Europa bei.