Regulatorisch
4.6.2026

Der Cyber Resilience Act: Was Schweizer KMU jetzt wissen sollten

Der Cyber Resilience Act bringt neue Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Was Schweizer KMU wissen sollten und wie ein ISMS hilft.

Der Cyber Resilience Act: Was Schweizer KMU jetzt wissen sollten

Der Cyber Resilience Act bringt neue Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Auch Schweizer KMU können betroffen sein, wenn sie Software, Hardware oder digitale Komponenten in der EU anbieten oder Teil entsprechender Lieferketten sind. Wer vorbereitet sein will, braucht vor allem eines: Klarheit über Risiken, Verantwortlichkeiten, Massnahmen und Nachweise.

Für viele Schweizer KMU stellt sich beim Cyber Resilience Act, kurz CRA, zuerst eine einfache Frage: Gilt das auch für uns?

Die kurze Antwort: Es kommt darauf an.

Entscheidend ist nicht, ob ein Unternehmen in der EU sitzt, sondern ob ein betroffenes Produkt mit digitalen Elementen auf dem EU-Markt bereitgestellt wird. Wer Software, Hardware oder digitale Komponenten in die EU liefert, dort verkauft oder Teil einer entsprechenden Lieferkette ist, sollte den CRA deshalb frühzeitig prüfen.

Was ist der Cyber Resilience Act überhaupt?

Der CRA ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einführt. Dazu gehören zum Beispiel Software, Hardware, vernetzte Geräte, digitale Komponenten oder bestimmte cloudbasierte Funktionen, die für den Betrieb eines Produkts notwendig sind.

Ziel des CRA ist es, Cybersicherheit über den gesamten Produktlebenszyklus hinweg zu berücksichtigen: von der Entwicklung über die Bereitstellung bis zu Sicherheitsupdates und Schwachstellenmanagement. Sicherheit soll also nicht erst dann ein Thema werden, wenn Schwachstellen entdeckt oder Angriffe bekannt werden.

Betrifft der CRA auch Schweizer KMU?

Ja, der CRA kann auch Schweizer KMU betreffen.

Entscheidend ist nicht, ob ein betroffenes Produkt mit digitalen Elementen auf dem EU-Markt bereitgestellt wird. Schweizer Unternehmen, die Software, Hardware oder digitale Komponenten in die EU liefern oder dort verkaufen, sollten deshalb prüfen, ob ihre Produkte unter den CRA fallen. 

Das kann zum Beispiel relevant sein für:

  • Schweizer Softwarehersteller mit Kunden in der EU
  • Hersteller von IoT-Geräten, Maschinen oder Steuerungskomponenten
  • Anbieter von digitalen Komponenten für andere Hersteller
  • KMU, die Produkte über Partner oder Distributoren in der EU vertreiben oder als Zulieferer Teil einer digitalen Lieferkette sind

Auch wenn ein KMU selbst nicht direkt als Hersteller im Sinne des CRA gilt, kann die Verordnung indirekt relevant werden. Kunden, Partner oder grössere Auftraggeber können künftig Nachweise verlangen, etwa zu sicheren Entwicklungsprozessen, Schwachstellenmanagement, Risikobewertungen oder dokumentierten Sicherheitsmassnahmen.

Damit wird der CRA auch für Unternehmen relevant, die indirekt Teil einer Lieferkette sind.

Was müssen betroffene Schweizer KMU konkret tun?

Für viele KMU besteht der erste Schritt darin, den eigenen Produkt- und Lieferkettenbezug zu klären: Welche Produkte mit digitalen Elementen werden angeboten, welche Komponenten werden verwendet, welche Märkte werden bedient und wer trägt welche Rolle im Sinne des CRA?

Für betroffene Unternehmen geht es vor allem darum, Cybersicherheit als strukturierten Managementprozess über den Produktlebenszyklus hinweg zu verankern. Besonders wichtig werden dabei fünf Themen:

  1. Security by Design und Security by Default. Cybersicherheit muss von Beginn an mitgedacht werden. Produkte sollen sicher konfiguriert ausgeliefert werden, etwa ohne schwache Standardpasswörter und mit angemessenen Grundeinstellungen.
  2. Risikoanalyse vor dem Marktzugang. Unternehmen müssen Cyberrisiken im Zusammenhang mit ihrem Produkt analysieren und geeignete Massnahmen ableiten und dokumentieren.
  3. Sicherheitsupdates über den gesamten Lebenszyklus. Bekannte Schwachstellen müssen behandelt und Sicherheitsupdates bereitgestellt werden. Dafür braucht es klare Prozesse, Verantwortlichkeiten und Fristen.
  4. Transparenz über Komponenten. Unternehmen müssen nachvollziehen können, welche Softwarekomponenten, Abhängigkeiten und Drittanbieter-Bibliotheken in ihren Produkten verwendet werden. Das wird besonders mit Blick auf Lieferkettenrisiken wichtig.
  5. Meldepflichten ab September 2026. Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen innerhalb enger Fristen gemeldet werden. Unternehmen sollten deshalb frühzeitig klären, wie solche Fälle erkannt, bewertet, eskaliert und dokumentiert werden.

Für die Meldepflichten gelten enge Fristen: eine Frühwarnung innerhalb von 24 Stunden, eine Hauptmeldung innerhalb von 72 Stunden sowie ein Abschlussbericht. Bei aktiv ausgenutzten Schwachstellen ist dieser spätestens 14 Tage nach Verfügbarkeit einer Korrektur- oder Minderungsmassnahme fällig, bei schwerwiegenden Sicherheitsvorfällen innerhalb eines Monats.

Wer bisher keine klaren Prozesse für Risikobewertung, Schwachstellenmanagement, Zuständigkeiten und Nachweise hat, sollte diese Grundlagen frühzeitig schaffen.

Wichtige Fristen

  • Decemmber 2024: Der CRA ist in Kraft getreten
  • 11. September 12026: Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gelten
  • 11. Dezember 2027: Hauptpflichten des CRA gelten, einschliesslich Konformitätsbewertung und CE-Kennzeichnung

Für bestimmte Produktkategorien kann eine externe Konformitätsbewertung durch eine notifizierte Stelle erforderlich sein. Die entsprechenden Strukturen werden in der EU ab 2026 aufgebaut.

Wie fortControl dabei unterstützen kann

Der CRA stellt nicht nur technische Anforderungen. Er verlangt auch strukturierte Prozesse, klare Verantwortlichkeiten, dokumentierte Risikobewertungen und einen nachvollziehbaren Umgang mit Schwachstellen. Genau hier setzt ein gut aufgebautes ISMS an.

fortControl unterstützt Schweizer KMU dabei, diese Strukturen effizient aufzubauen und im Alltag zu steuern. Die Plattform setzt dort an, wo CRA-Anforderungen im Unternehmen steuerbar werden: bei Risiken, Massnahmen, Verantwortlichkeiten und Nachweisen. So schaffen Unternehmen eine strukturierte Grundlage für die rechtliche, technische und produktspezifische Umsetzung.

Dazu gehören insbesondere:

Risikomanagement: Risiken werden strukturiert erfasst, bewertet, priorisiert und dokumentiert.

Massnahmenmanagement: Sicherheitsmassnahmen können Verantwortlichen zugewiesen, terminiert und nachverfolgt werden.

Dokumentation und Nachweise: Bewertungen, Entscheidungen und Massnahmen bleiben nachvollziehbar und auditierbar.

Kontrollen und Frameworks: Anforderungen aus Standards wie ISO 27001, NIST CSF oder dem IKT-Minimalstandard können strukturiert abgebildet und mit internen Massnahmen verknüpft werden.

Incident Response und Schwachstellenmanagement: Prozesse, Verantwortlichkeiten und Eskalationswege werden so dokumentieren, dass im Ernstfall klar ist, wer was tun muss.

Warum ein ISMS auch unabhängig vom CRA sinnvoll ist

Der CRA zeigt, wohin sich Cybersicherheitsanforderungen entwickeln: Weg von Einzelmassnahmen, hin zu einem systematischen und gesamtheitlichen Ansatz. Risiken müssen strukturiert bewertet, Massnahmen nachvollziehbar umgesetzt und Nachweise einfach erbracht werden.

Diese Entwicklung betrifft auch Unternehmen, die nicht direkt unter den CRA fallen. Kunden, Partner, Versicherer und Branchenvorgaben verlangen zunehmend Transparenz darüber, wie Unternehmen mit Informationssicherheit umgehen.

Ein ISMS hilft, diese Anforderungen effizient zu steuern. Es schafft Klarheit darüber, welche Risiken bestehen, wer verantwortlich ist, welche Massnahmen umgesetzt wurden und wo noch Handlungsbedarf besteht.

Wer heute ein ISMS mit fortControl aufbaut, schafft eine belastbare Grundlage, um kommende Anforderungen effizienter, strukturierter und mit weniger Doppelspurigkeit umzusetzen.

Struktur schafft Sicherheit

Der Cyber Resilience Act ist auch für Schweizer KMU relevant, wenn sie Produkte mit digitalen Elementen auf dem EU-Markt anbieten oder Teil entsprechender Lieferketten sind. Wer betroffen sein könnte, sollte frühzeitig prüfen, welche Anforderungen greifen und welche Prozesse, Verantwortlichkeiten und Nachweise dafür notwendig sind.

Die übergeordnete Entwicklung ist klar: Cybersicherheit wird stärker reguliert, stärker überprüft und stärker nachweisbar. Unternehmen, die ihre Risiken, Massnahmen und Verantwortlichkeiten strukturiert steuern, sind dafür deutlich besser vorbereitet.

Mit fortControl schaffen KMU die Grundlage für ein praxistaugliches ISMS, dass Risiken, Massnahmen und Nachweise strukturiert steuerbar macht und auf kommende Anforderungen ausgerichtet ist.

Rolf Wagner

Rolf Wagner

Information Security Management enthusiast.

Neuste Artikel

Alle Beiträge durchsuchen
Risikomanagement für Blaulichtorganisationen mit fortControl
fortControl
Mar 3, 2026

Risikomanagement für Blaulichtorganisationen mit fortControl

Read more
Risikomanagement im Unternehmen - Top oder Flop?
CISO
Oct 30, 2025

Risikomanagement im Unternehmen - Top oder Flop?

Read more
Neue Möglichkeiten zur Kollaboration in fortControl – Release September 2025
fortControl
Sep 26, 2025

Neue Möglichkeiten zur Kollaboration in fortControl – Release September 2025

Read more