Neue Pflichten für digitale Produkte

Neue Pflichten für digitale Produkte

10. Juni 2026

Der Cyber Resilience Act (CRA) gilt seit dem 10. Dezember 2024. Was müssen Schweizer Unternehmen beim Vertrieb digitaler Produkte in der EU nun beachten?

Neue Pflichten für digitale Produkte

Der Cyber Resilience Act (CRA) gilt seit dem 10. Dezember 2024. Was müssen Schweizer Unternehmen beim Vertrieb digitaler Produkte in der EU nun beachten?

Um was geht es?
Von vernetzten Haushaltsgeräten über Unternehmenssoftware bis hin zu industriellen Steuerungssystemen: Digitale Produkte sind heute allgegenwärtig. So wichtig diese Produkte sind, können Sicherheitslücken sie zu einem Einfallstor für Cyberangriffe machen. Mit dem CRA reagiert die EU auf diese Entwicklung und schafft erstmals einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen.

Welche Produkte sind betroffen?
Erfasst werden Software- und Hardwareprodukte sowie Datenfernverarbeitungslösungen, sofern ihr bestimmungsgemässer Gebrauch einen Datenaustausch mit anderen Geräten oder Netzwerken umfasst. Hierzu gehören insbesondere Verbindungen über USB, Ethernet, WLAN oder Bluetooth sowie über Software-Schnittstellen, Fernzugriffe oder cloudbasierte Funktionen. 

Welche Unternehmen sind betroffen?
Die Vorschriften gelten für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Betroffen sind daher auch Schweizer Unternehmen, die entsprechende Produkte in die EU liefern oder dort vertreiben, sowie Unternehmen, die als Teil der Liefer- oder Vertriebskette europäischer Marktakteure mittelbar mit den Anforderungen konfrontiert werden.

Welche Pflichten bringt das Gesetz mit sich?
Hersteller müssen sicherstellen, dass ihre Produkte die Cybersicherheitsanforderungen des CRA erfüllen. Dies erfordert insbesondere eine Risikobeurteilung, eine technische Dokumentation der relevanten Cybersicherheitsanforderungen, die Einführung von Prozessen zum Umgang mit Schwachstellen und die Bereitstellung von Sicherheitsupdates während des vorgesehenen Support-Zeitraums eines Produkts. Vor dem Inverkehrbringen müssen Unternehmen im Rahmen des Konformitätsbewertungsverfahrens nachweisen, dass die Anforderungen des CRA erfüllt werden und die entsprechende Konformität in der EU-Konformitätserklärung dokumentieren. Ab dem 11. September 2026 sind zudem aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle den zuständigen Behörden zu melden – und zwar unabhängig davon, wann das betroffene Produkt in Verkehr gebracht wurde.

Wo besteht Handlungsbedarf?
Unternehmen sollten frühzeitig prüfen, welche Produkte unter den CRA fallen und ob ihre Prozesse den neuen Anforderungen entsprechen. Die Verordnung gilt zwar grundsätzlich nur für Produkte, die ab dem 11. Dezember 2027 in Verkehr gebracht werden. Für bereits auf dem Markt befindliche Produkte können die Anforderungen jedoch ebenfalls relevant werden, wenn sie später wesentliche Änderungen erfahren. Zur Unterstützung der Umsetzung hat eine von der EU-Kommission eingesetzte Expertengruppe einen umfassenden Bericht mit konkreten Vertragsmustern veröffentlicht. Die Expertengruppe begleitet die Umsetzung des CRA und befasst sich derzeit mit Leitlinien zur Anwendung der Verordnung sowie deren Zusammenspiel mit dem AI Act und DORA.

Da zahlreiche Auslegungs- und Anwendungsfragen weiterhin ungeklärt sind, werden die weiteren Arbeiten der EU-Kommission und der Expertengruppe für die Praxis von besonderem Interesse sein. Wir unterstützen und beraten betroffene Unternehmen bei der Einordnung und Umsetzung der neuen Anforderungen.