Spiegelung Gebäudefassaden Spiegelung Gebäudefassaden

Cyber Resilience Act: der EU-Sicherheitsstandard, der den Schweizer Markt verändern könnte?

14.03.2025

Die Verordnung (EU) 2024/2847 (Cyber Resilience Act oder CRA) führt erstmals einen europäischen Rechtsrahmen ein, der verpflichtende Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen festlegt, die auf den EU-Markt gebracht werden. Die Verordnung schreibt Mindeststandards für die Sicherheit von Hardware, Software und Remote-Datenverarbeitungslösungen vor und stellt sicher, dass diese mit angemessenen Cybersicherheitseigenschaften entworfen, entwickelt und gewartet werden.

Die Verordnung unterteilt die Produkte in zwei Risikokategorien:
Standardprodukte, die grundlegenden Sicherheitsanforderungen unterliegen, und kritische Produkte, die in Klasse I und Klasse II unterteilt sind und strengere Zertifizierungspflichten erfüllen müssen.

Der CRA adressiert zwei zentrale Probleme: die weit verbreiteten Sicherheitslücken in digitalen Produkten und den Mangel an Informationen für Nutzer, der es erschwert, sichere Produkte auszuwählen. Die Verordnung legt spezifische Anforderungen an das Schwachstellenmanagement, die Sicherheitsüberwachung und die CE-Konformität fest, wodurch die regulatorische Fragmentierung zwischen den Mitgliedstaaten beseitigt wird.

  • Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, sowohl Hardware als auch Software.

  • Unternehmen, die digitale Produkte vertreiben, die direkt oder indirekt mit einem Netzwerk verbunden sind.

  • Open-Source-Softwarebetreiber, die langfristige Unterstützung für die Entwicklung freier/Open-Source-Software mit kommerziellen Anwendungen bieten.

Allerdings betrifft das komplexe regulatorische Umfeld auch Endnutzer, wenn auch indirekt, wie weiter unten dargestellt wird.

Nach Inkrafttreten im Dezember 2024 erfolgt die schrittweise Umsetzung der Verordnung wie folgt:

  • Notifizierung der Konformitätsbewertungsstellen: ab 11. Juni 2026

  • Meldepflicht für Schwachstellen und Sicherheitsvorfälle: ab 11. September 2026

  • Vollständige Anwendung der Anforderungen: ab 11. Dezember 2027

Bei Nichteinhaltung drohen Strafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes.

Der CRA verfolgt einen risikobasierten Ansatz und legt strengere Anforderungen für „wichtige“ und „kritische“ Produkte fest, die ein hohes Cybersicherheitsrisiko darstellen. Die Verordnung bringt eine tiefgreifende Veränderung in der Gestaltung, Entwicklung und Sicherheitsverwaltung digitaler Produkte mit sich und macht die Einhaltung der Vorschriften zu einem strategischen Faktor für Unternehmen, die auf dem europäischen Markt tätig sind.

CRA und die Schweiz: spezifische Implikationen

Die Schweiz verfügt derzeit über keinen Rechtsrahmen, der dem Cyber Resilience Act (CRA) der EU entspricht. Der schweizerische Ansatz zur Cybersicherheit ist fragmentiert und sektoriell ausgerichtet, mit spezifischen Vorschriften für bestimmte Bereiche, jedoch ohne eine horizontale Regulierung, die Mindestanforderungen an die Sicherheit aller Produkte mit digitalen Elementen vorschreibt.

Dennoch unterliegen Schweizer Unternehmen, die digitale Produkte in die Europäische Union exportieren, dem CRA und müssen die Konformität sicherstellen, um Zugang zum Binnenmarkt zu erhalten.

Auf nationaler Ebene gibt die Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) allgemeine Leitlinien zur Stärkung der Cyber-Resilienz des Landes vor, legt jedoch keine spezifischen regulatorischen Verpflichtungen für Hersteller von Hard- und Software fest.

Einige regulierte Sektoren, wie der Finanzsektor, folgen bereits Sicherheitspraktiken, die von der FINMA (Eidgenössische Finanzmarktaufsicht) vorgeschrieben werden, diese sind jedoch nicht vollständig mit den Anforderungen des CRA vergleichbar.Es ist wahrscheinlich, dass die Schweiz in Zukunft harmonisierte Vorschriften mit der EU übernehmen wird, um Handelshemmnisse zu verringern und den Zugang ihrer Unternehmen zum europäischen Markt zu erleichtern, ähnlich wie bei anderen technischen Regulierungen.

Hauptanforderungen des CRA

Der Cyber Resilience Act führt eine Reihe grundlegender Anforderungen ein, die den Ansatz zur Sicherheit digitaler Produkte auf dem europäischen Markt radikal verändern:

Security by Design und Schwachstellenmanagement:

  • Verpflichtungen für Hersteller, Sicherheit bereits in der Entwurfs- und Entwicklungsphase zu integrieren.

  • Auf den Markt gebrachte Produkte dürfen keine bekannten, ausnutzbaren Schwachstellen enthalten.

  • Bereitstellung von Sicherheitsupdates während der gesamten „Supportperiode“ (mindestens 5 Jahre).

  • Sichere Konfiguration als Standardeinstellung.

  • Strukturiertes System zur Verwaltung und Dokumentation von Schwachstellen, einschließlich einer Software-Stückliste (Software Bill of Materials).

Konformitätsbewertungsverfahren:

  • Selbstzertifizierung (interne Kontrolle) für Standardprodukte.

  • Bewertung durch benannte Drittstellen für „wichtige“ und „kritische“ Produkte.

  • Vollständige technische Dokumentation, die die Konformität nachweist.

Meldepflichten:

  • Meldung aktiv ausgenutzter Schwachstellen innerhalb von 24 Stunden.

  • Meldung schwerwiegender Sicherheitsvorfälle an die zuständigen nationalen CSIRTs (Computer Security Incident Response Teams).

  • Information der Nutzer über Schwachstellen, Updates und das Support-Ende.

  • Implementierung koordinierter Offenlegungsrichtlinien für Schwachstellen.

Darüber hinaus stellt der CRA ein zentrales und ergänzendes Element im europäischen Rechtsrahmen für Cybersicherheit dar, indem er sich in bestehende spezifische Vorschriften integriert und die Mindeststandards für die Sicherheit digitaler Produkte stärkt.

Was bedeutet das für Ihr Unternehmen?

Der Cyber Resilience Act führt greifbare Vorteile für Endnutzer ein:

  • sicherere und zuverlässigere digitale Produkte;

  • größere Transparenz über Sicherheitsmerkmale und den vorgesehenen Unterstützungszeitraum;

  • Recht auf kostenlose Sicherheitsupdates für mindestens fünf Jahre;

  • klare Informationen über den Lebenszyklus und das Enddatum des Supports.


Diese Situation schafft eine Grauzone in Bezug auf Compliance und Sicherheit.

Obwohl der CRA keine direkten Sanktionen für Endnutzer vorsieht, die digitale Produkte nach dem obligatorischen Supportzeitraum weiterverwenden, könnte das Unterlassen von Updates oder der Austausch dieser Hardware- oder Softwareprodukte als Nachweis für Fahrlässigkeit in anderen Verfahren betrachtet werden.

Zum Beispiel könnten im Falle eines Vorfalls im Bereich der Cybersicherheit oder eines Datenschutzverstoßes die Aufsichtsbehörden (zum Beispiel die DSGVO, die bei schweren Verstößen Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vorsieht) den CRA als Referenzstandard heranziehen, um die Sorgfaltspflicht des Unternehmens zu bewerten. Insbesondere könnten sie argumentieren, dass das Unternehmen, obwohl es über das Ende des Supports und die damit verbundenen Risiken informiert war, keine angemessenen präventiven Maßnahmen ergriffen hat.

Daher ist es für Unternehmen unabdingbar, so bald wie möglich eine detaillierte Gap-Analyse ihrer digitalen Produkte durchzuführen und Risikominderungsstrategien zu planen.

Es wird darauf hingewiesen, dass die von den europäischen Vorschriften vorgesehenen Sanktionen administrativer Natur sind und keine direkte Entschädigung für geschädigte Parteien darstellen, die eigenständig rechtliche Schritte einleiten müssen, um eine Entschädigung durch spezifische Klagen zu erhalten.

Es ist wichtig zu bedenken, dass die zuständige Behörde Sanktionen auf der Grundlage technischer Bewertungen verhängen kann, die in einigen Fällen unvollständig oder technisch-wissenschaftlich anfechtbar sein könnten. Erst danach können Unternehmen gegen solche Sanktionen vor den zuständigen Justizbehörden Einspruch erheben, die sowohl die Verfahrensaspekte als auch die Verhältnismäßigkeit der Sanktion prüfen, ohne zwangsläufig eine vertiefte technische Analyse vorzunehmen.

Mit anderen Worten, das Unternehmen wird sich dennoch in der schwierigen Position befinden, nachweisen zu müssen, dass beispielsweise das verwendete Legacy-System oder eine IoT-Komponente nicht zur Sicherheitsverletzung beigetragen hat oder dass wirksame kompensatorische Maßnahmen getroffen wurden. Damit wird dem Unternehmen implizit die Beweislast auferlegt, mit der gebotenen Sorgfalt gehandelt zu haben, anstatt dass die Behörde die Fahrlässigkeit nachweisen muss.

Daher wird es unerlässlich, die Risikoanalyse, die ergriffenen Maßnahmen zur Risikominderung und die Segmentierung kritischer Legacy-Systeme im Voraus zu dokumentieren, um sich wirksam gegen mögliche Beanstandungen und Sanktionen zu verteidigen.