Cyber Resilience Act
Diese Seite ordnet die Verordnung faktisch ein und ersetzt keine Rechtsberatung im Einzelfall.
Cyber Resilience Act: Cybersicherheit als Bedingung für den Marktzugang
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verlangt, dass Produkte mit digitalen Elementen über ihren gesamten Lebenszyklus sicher gebaut, gepflegt und mit Schwachstellen-Handhabung versehen werden, und macht Cybersicherheit damit zu einer Marktzugangsbedingung, für die der Hersteller geradesteht.
Bisher gab es für Produkte mit digitalen Elementen keine horizontalen, EU-weiten Cybersicherheitspflichten als Bedingung für den Marktzugang. Der Cyber Resilience Act (CRA) schafft genau diese: Er behandelt Cybersicherheit wie jede andere Produkteigenschaft, an der ein Produkt in der EU gemessen wird. Diese Seite beschreibt, was der CRA von Herstellern verlangt, wie er den Marktzugang an Sicherheit knüpft und worin die Herstellerverantwortung für Software-Sicherheit besteht.
Was der CRA regelt
Der CRA adressiert Produkte mit digitalen Elementen, also Hardware und Software, deren bestimmungsgemässe Verwendung eine direkte oder indirekte Datenverbindung zu einem Gerät oder Netz umfasst. Das reicht vom vernetzten Sensor über Betriebssysteme bis zur Anwendungssoftware. Die Pflichten treffen vor allem den Hersteller, der ein solches Produkt unter eigenem Namen in Verkehr bringt, daneben in abgestufter Form Einführer und Händler. Im Kern stehen drei Anforderungsblöcke:
- Secure by Design. Das Produkt ist so zu entwerfen, zu entwickeln und herzustellen, dass es ein dem Risiko angemessenes Cybersicherheitsniveau bietet. Sicherheit ist keine nachgelagerte Option, sondern Teil der Konstruktion.
- Schwachstellen-Handhabung. Der Hersteller muss Schwachstellen über den Unterstützungszeitraum hinweg systematisch erkennen, dokumentieren und durch Sicherheitsaktualisierungen beheben. Updates für sicherheitsrelevante Fehler sollen kostenlos bereitstehen.
- Konformität und Kennzeichnung. Vor dem Inverkehrbringen durchläuft das Produkt eine Konformitätsbewertung und trägt anschliessend die CE-Kennzeichnung, die belegt, dass es die Anforderungen erfüllt.
Die wesentlichen Cybersicherheitsanforderungen und die Vorgaben zur Schwachstellen-Handhabung sind in den Anhängen der Verordnung niedergelegt. Eine wirksame Schwachstellen-Handhabung setzt voraus, dass ein Hersteller seine eigenen Komponenten kennt; genau diese Bestandsaufnahme leistet eine Software Bill of Materials (SBOM), die der CRA als Element der technischen Dokumentation adressiert.
Herstellerverantwortung für Software-Sicherheit
Der eigentliche Hebel des CRA ist nicht eine einzelne Pflicht, sondern die Verschiebung der Verantwortung. Bislang lag das Risiko einer unsicheren Anwendung beim Anwender, der sie einsetzte. Der CRA legt es dorthin, wo es entsteht: zum Hersteller, der das Produkt baut und in Verkehr bringt. Sicherheit wird damit zur Voraussetzung des Marktzugangs, vergleichbar mit der elektrischen Sicherheit eines Geräts. Wer ein Produkt mit digitalen Elementen ohne angemessene Cybersicherheit auf den EU-Markt bringt, riskiert, dass es vom Markt genommen wird, und setzt sich der Aufsicht durch nationale Marktüberwachungsbehörden aus.
Diese Logik ändert die Bauseite. Sicherheit ist nicht mehr ein Reifegrad, den ein Team irgendwann erreicht, sondern eine Eigenschaft, die ab dem Entwurf nachweisbar sein muss. Methodisch lässt sich das nur umsetzen, wenn Sicherheits- und Konformitätsnachweise als prüfbare Regel im Lieferprozess verankert sind, wie es Compliance as Code beschreibt, statt als einmaliges Audit kurz vor Verkaufsstart. Den organisatorischen Rahmen dafür, von der Risikobeurteilung bis zur Nachweisführung, behandelt die Security-Strategie; die anerkannte Klammer für ein Sicherheitsmanagementsystem liefert ISO 27001.
Der Weg zur Konformität
Der Pfad eines Produkts vom Entwurf bis zur CE-Kennzeichnung folgt einer wiederkehrenden Abfolge. Sie macht aus den drei Anforderungsblöcken einen nachvollziehbaren Ablauf:
flowchart TD
A["Produkt mit digitalen Elementen<br/>Geltungsbereich prüfen"] --> B["Einstufen<br/>Standard, wichtig, kritisch"]
B --> C["Secure by Design<br/>Risikobeurteilung, sichere Konstruktion"]
C --> D["Technische Dokumentation<br/>inkl. SBOM"]
D --> E["Konformitätsbewertung<br/>Selbstbewertung oder Dritte"]
E --> F["CE-Kennzeichnung<br/>Inverkehrbringen"]
F --> G["Schwachstellen-Handhabung<br/>Updates, Meldungen über den Lebenszyklus"]
G --> C
Der entscheidende Punkt ist, dass die Schleife nicht mit dem Verkauf endet. Die Schwachstellen-Handhabung läuft über den gesamten Unterstützungszeitraum weiter und führt bei neuen Erkenntnissen zurück in Konstruktion und Dokumentation. Wie tief die Konformitätsbewertung ausfällt, hängt von der Einstufung des Produkts ab: Für den Grossteil der Produkte ist eine Selbstbewertung durch den Hersteller vorgesehen, für Produkte mit besonderer Cybersicherheitsrelevanz kann eine Bewertung durch eine benannte Stelle erforderlich werden.
Meldepflichten
Über die Bauanforderungen hinaus führt der CRA Meldepflichten ein. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle an die zuständigen Stellen melden; die EU-Cybersicherheitsagentur ENISA und die nationalen Computer-Notfallteams (CSIRTs) sind in diesen Meldeweg eingebunden. Die Verordnung sieht hierfür enge Fristen vor, mit einer ersten Früh-Meldung kurz nach Kenntnisnahme. Damit verschiebt sich die Erwartung von der stillen internen Behandlung einer Schwachstelle hin zu einer aktiven, fristgebundenen Meldung.
Zeitplan
Die Verordnung gilt nicht auf einen Schlag, sondern gestaffelt:
- In Kraft seit dem 10. Dezember 2024. Damit beginnt der Übergangszeitraum, in dem sich Hersteller vorbereiten.
- Meldepflichten ab dem 11. September 2026. Die Pflichten zur Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle greifen zuerst.
- Hauptanwendung ab dem 11. Dezember 2027. Ab diesem Datum gelten die übrigen Pflichten, einschliesslich Secure by Design, Konformitätsbewertung und CE-Kennzeichnung, vollumfänglich.
Was der Geltungsbereich für die Organisation bedeutet
Ob der CRA eine Organisation trifft, entscheidet sich nicht am Firmensitz, sondern daran, ob ein Produkt mit digitalen Elementen auf dem EU-Markt bereitgestellt wird. Für die Bauseite heisst das: Wer Hardware oder Software in der EU in Verkehr bringt, muss mit den Pflichten rechnen, unabhängig davon, wo die Organisation ansässig ist. Diese marktbezogene Reichweite gleicht der extraterritorialen Logik des EU AI Act. Ein Schweizer Hersteller oder Anbieter, der in der EU in Verkehr bringt, kann den Tatbestand entsprechend erfüllen; ob das im Einzelfall zutrifft, hängt von der konkreten Konstellation ab, diese Seite referiert nur den Mechanismus.
Eine Organisation, die für mehrere Märkte baut, trifft zudem auf nebeneinander laufende Regime. Die Schweiz kennt seit 2025 eine eigene Meldepflicht für Cyberangriffe auf kritische Infrastrukturen nach dem Informationssicherheitsgesetz, die unabhängig vom CRA greift; wer Produkte für beide Märkte baut, hat damit zwei Melderegime nebeneinander. Auf EU-Ebene steht der CRA zudem neben der Richtlinie zur Netz- und Informationssicherheit (NIS2), die nicht Produkte, sondern Betreiber wesentlicher Dienste adressiert; beide werden in der Praxis oft zusammen betrachtet.
Wo die Umsetzung bricht
- Schwachstellen-Handhabung ohne Bestandsübersicht. Wer seine eigenen Komponenten und deren Abhängigkeiten nicht kennt, kann Schwachstellen nicht systematisch beheben. Ohne SBOM bleibt die Pflicht eine Absichtserklärung.
- Sicherheit erst am Ende. Konformität, die kurz vor Verkaufsstart nachgerüstet wird, widerspricht dem Secure-by-Design-Gedanken und ist teurer als ein durchgängiger Prozess.
- Meldewege ungeklärt. Ohne vorbereiteten Prozess für die fristgebundene Meldung an ENISA und CSIRTs wird der erste ernste Vorfall zur Krise statt zur Routine.
- Geltungsbereich falsch eingeschätzt. Wer annimmt, ausserhalb der EU ansässig zu sein schütze vor dem CRA, übersieht den Marktzugangs-Auslöser.
Referenzen
- Europäische Kommission Cyber Resilience Act, offizielle Politikseite. Erklärt Geltungsbereich, Pflichten, CE-Kennzeichnung und die gestaffelten Anwendungsdaten. (03.12.2025). digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
- ENISA Europäische Agentur für Cybersicherheit. Bindet Hersteller-Meldungen ein und begleitet die Umsetzung des CRA, etwa zur SBOM-Praxis. (living doc). www.enisa.europa.eu/
- Bundesamt für Cybersicherheit (BACS) Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Die Schweizer Meldepflicht nach dem Informationssicherheitsgesetz, die parallel zum CRA greift. (living doc). www.ncsc.admin.ch/ncsc/en/home/meldepflicht.html
- Verordnung (EU) 2024/2847 (EUR-Lex) Volltext des Cyber Resilience Act, massgeblicher Rechtstext. Enthält die wesentlichen Anforderungen, die Schwachstellen-Handhabung und die Anwendungsdaten. (20.11.2024). EUR-Lex CELEX 32024R2847
Verwandte Themen
- SBOM, die Stückliste, ohne die Schwachstellen-Handhabung nicht funktioniert.
- Security-Strategie, der organisatorische Rahmen für Sicherheit und Nachweis.
- EU AI Act, die parallele EU-Verordnung mit ähnlicher extraterritorialer Reichweite.
- ISO 27001, die anerkannte Klammer für ein Sicherheitsmanagementsystem.
- Compliance as Code, der methodische Hebel für prüfbare Konformität.
KI fragen
Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.