Die Schweiz ist kein EU-Mitglied – doch der Cyber Resilience Act (CRA) betrifft Schweizer Hersteller trotzdem unmittelbar. Jedes Produkt mit digitalen Elementen, das auf dem EU-Markt verkauft wird, muss die CRA-Anforderungen erfüllen. Für die exportstarke Schweizer Industrie bedeutet das: Wer weiterhin in die EU liefern will, muss jetzt handeln.
Warum der CRA für Schweizer Unternehmen gilt
Der CRA ist eine EU-Verordnung, die direkt in allen 27 Mitgliedstaaten gilt. Die Schweiz muss die Verordnung nicht in nationales Recht umsetzen – aber das ist für Schweizer Hersteller irrelevant. Entscheidend ist: Der CRA reguliert den EU-Binnenmarkt. Jedes Produkt, das in der EU in Verkehr gebracht wird, muss konform sein – unabhängig davon, wo es hergestellt wurde.
Für die Schweiz ist das besonders relevant, weil die EU der mit Abstand wichtigste Handelspartner ist. Rund 44 Prozent aller Schweizer Exporte gehen in die EU. Im Bereich digitaler Produkte – von Industriesteuerungen über Medizintechnik bis zu IoT-Geräten – ist die Abhängigkeit vom EU-Markt noch stärker ausgeprägt.
Anders als bei einigen anderen EU-Regulierungen gibt es beim CRA keine bilateralen Abkommen zwischen der Schweiz und der EU, die eine gegenseitige Anerkennung regeln würden. Schweizer Hersteller werden rechtlich wie Drittlandshersteller behandelt. Das hat konkrete Konsequenzen für die Pflichten.
Besondere Pflichten für Hersteller aus Drittstaaten
Schweizer Unternehmen, die Produkte mit digitalen Elementen in der EU vertreiben, müssen einige zusätzliche Anforderungen beachten, die für EU-Hersteller nicht gelten.
Bevollmächtigter in der EU. Hersteller mit Sitz außerhalb der EU müssen einen Bevollmächtigten (Authorized Representative) in einem EU-Mitgliedstaat benennen. Dieser Bevollmächtigte ist der Ansprechpartner für Marktüberwachungsbehörden und trägt bestimmte Pflichten mit. Die Benennung muss schriftlich erfolgen, und der Bevollmächtigte muss auf der Konformitätserklärung und den Produktinformationen genannt werden.
Importeur-Pflichten. Wenn ein Schweizer Hersteller nicht direkt an Endkunden in der EU verkauft, sondern über einen EU-Importeur, übernimmt dieser Importeur zusätzliche Verantwortung. Der Importeur muss sicherstellen, dass das Produkt die CRA-Anforderungen erfüllt und die erforderliche technische Dokumentation vorliegt. In der Praxis werden EU-Importeure zunehmend Nachweise der CRA-Konformität verlangen, bevor sie Produkte in ihr Sortiment aufnehmen.
CE-Kennzeichnung. Schweizer Hersteller müssen – wie alle Hersteller – die CE-Kennzeichnung anbringen, bevor das Produkt auf den EU-Markt kommt. Der Prozess der Konformitätsbewertung ist identisch mit dem für EU-Hersteller, aber die Dokumentation muss den EU-Bevollmächtigten benennen.
Was Schweizer Hersteller jetzt konkret tun müssen
Der Weg zur CRA-Compliance lässt sich in fünf Handlungsfelder gliedern, die Schweizer Unternehmen parallel angehen sollten.
1. Produktportfolio analysieren. Identifizieren Sie alle Produkte, die unter den CRA-Anwendungsbereich fallen. Das betrifft jedes Produkt mit digitalen Elementen, das eine direkte oder indirekte Datenverbindung zu einem Netzwerk herstellen kann. Klären Sie die Produktklassifizierung (Standard, wichtig Klasse I/II, kritisch), denn davon hängt das erforderliche Bewertungsverfahren ab.
2. Bevollmächtigten benennen. Wenn Sie noch keinen Bevollmächtigten in der EU haben, sollten Sie jetzt einen benennen. Das kann ein eigenes Tochterunternehmen in der EU sein, ein spezialisierter Dienstleister oder ein bestehender Geschäftspartner, der die Rolle übernimmt. Achten Sie darauf, dass der Bevollmächtigte die nötigen Kapazitäten und das fachliche Verständnis mitbringt.
3. Technische Anforderungen umsetzen. Die Sicherheitsanforderungen des CRA gelten für Schweizer Hersteller identisch: Security by Design, keine Standardpasswörter, verschlüsselte Kommunikation, sichere Update-Mechanismen, SBOM-Erstellung und Schwachstellenmanagement. Prüfen Sie systematisch, welche Anforderungen Ihre Produkte bereits erfüllen und wo Lücken bestehen.
4. Meldeprozesse einrichten. Ab September 2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA gemeldet werden. Dieses gilt auch für Schweizer Hersteller, deren Produkte auf dem EU-Markt sind. Richten Sie einen Prozess ein, der die Erkennung, Bewertung und Meldung innerhalb dieser Frist sicherstellt.
5. Dokumentation vorbereiten. Die technische Dokumentation, die EU-Konformitätserklärung und die SBOM müssen auf Anfrage der Marktüberwachungsbehörden bereitgestellt werden können. Die Dokumentation muss in einer Amtssprache des EU-Mitgliedstaats verfügbar sein, in dem das Produkt vertrieben wird – in der Praxis meist Deutsch, Französisch oder Englisch.
Fristen für Schweizer Hersteller
Die CRA-Fristen gelten für alle Hersteller gleich, unabhängig vom Firmensitz. Ab September 2026 tritt die Meldepflicht für aktiv ausgenutzte Schwachstellen in Kraft. Ab Dezember 2027 müssen alle neu auf dem EU-Markt platzierten Produkte vollständig CRA-konform sein.
Angesichts der Entwicklungszyklen vieler Schweizer Industrieprodukte – oft 12 bis 24 Monate – ist die verbleibende Zeit knapp. Produkte, die Ende 2027 auf den EU-Markt kommen sollen, müssen jetzt in der Entwicklung die CRA-Anforderungen berücksichtigen.
Für bestehende Produkte gilt: Solange kein wesentliches Update erfolgt, müssen sie nicht nachträglich CRA-konform gemacht werden. Aber jedes Major-Update, das die Sicherheitsarchitektur verändert, löst eine Neubewertung aus.
Schweizer Normen und internationale Standards als Brücke
Schweizer Unternehmen, die bereits nach internationalen Standards wie IEC 62443, ISO 27001 oder ETSI EN 303 645 arbeiten, haben einen Vorsprung. Diese Standards werden voraussichtlich als Basis für die harmonisierten Normen des CRA dienen. Eine vollständige Übereinstimmung gibt es jedoch nicht – CRA-spezifische Anforderungen wie die SBOM-Pflicht, Meldepflichten und die EU-Konformitätserklärung müssen zusätzlich erfüllt werden.
Die Schweizer Normenorganisation SNV verfolgt die CRA-Entwicklung und beteiligt sich über die europäischen Normungsorganisationen an der Erarbeitung relevanter Standards. Schweizer Hersteller sollten diese Entwicklungen aktiv beobachten und frühzeitig in die Umsetzung einbeziehen.
CRA als Chance für Schweizer Qualität
Der CRA schafft ein gemeinsames Sicherheitsniveau für den gesamten EU-Markt. Für Schweizer Hersteller, die traditionell auf Qualität und Zuverlässigkeit setzen, kann das ein Wettbewerbsvorteil sein. Wer CRA-Compliance frühzeitig nachweisen kann, positioniert sich als vertrauenswürdiger Lieferant – gerade gegenüber Wettbewerbern aus Ländern mit niedrigeren Sicherheitsstandards.
Kunnus unterstützt Schweizer Hersteller dabei, die CRA-Compliance systematisch aufzubauen – von der Gap-Analyse über das SBOM-Management bis zur vollständigen Dokumentation. Unsere Plattform ist darauf ausgelegt, den gesamten Prozess effizient zu gestalten, auch für Unternehmen, die als Drittlandshersteller zusätzliche Anforderungen erfüllen müssen.
Machen Sie den ersten Schritt: Unsere kostenlose CRA-Reifegradanalyse zeigt Ihnen in wenigen Minuten, wo Ihr Unternehmen steht und welche konkreten Maßnahmen Sie für den EU-Export priorisieren sollten.