CRA-Compliance für Schweizer Hersteller

Ja. Der CRA folgt dem Marktortprinzip (Art. 2 Abs. 1): Jedes Produkt mit digitalen Elementen, das auf dem EU-Markt bereitgestellt wird, fällt in den Anwendungsbereich — unabhängig vom Sitz des Herstellers. Schweizer Hersteller müssen zusätzlich einen bevollmächtigten Vertreter in einem EU-Mitgliedstaat benennen (Art. 26). Dieser ist Ansprechpartner für Marktüberwachungsbehörden und muss die technische Dokumentation 10 Jahre vorhalten.

Ja. Der CRA wirkt pro Einzelstück zum Zeitpunkt des Inverkehrbringens (Art. 13 Abs. 8, Annex I §2(a)). Ein 2026 produziertes Gerät, das 2028 ausgeliefert wird, muss zum Auslieferungszeitpunkt frei von bekannten ausgenutzten Schwachstellen sein. Für Schweizer Maschinenbauer mit 12–24 Monaten Lagerzyklus bedeutet das: jede einzelne Seriennummer braucht ihren eigenen aktuellen Patch-Status — manuelles Excel-Tracking skaliert hier nicht.

Beide sind starke Basen, decken den CRA aber nicht vollständig ab. Konkret fehlen: SBOM-Pflicht (Annex I §2), 24-Stunden-Meldung aktiv ausgenutzter Schwachstellen an ENISA (Art. 14), EU-Konformitätserklärung nach Annex V und die produktspezifische Risikobewertung. Harmonisierte CRA-Normen werden voraussichtlich auf IEC 62443 und ETSI EN 303 645 aufbauen — Investitionen in diese Standards sind also nicht verloren, müssen aber gezielt erweitert werden.

Eine Cloud-Anwendung fällt in den CRA-Scope als Remote Data Processing Solution (RDPS) gemäß Art. 3 Abs. 2, wenn sie integraler Bestandteil der Produktfunktion ist — etwa eine App zur Steuerung einer Maschine oder ein Backend, ohne das ein vernetztes Gerät seine Hauptfunktion nicht erfüllen kann. Reine Web-Apps oder SaaS-Plattformen ohne Hardware-Kopplung bleiben außerhalb des CRA-Scopes (fallen aber ggf. unter NIS2 oder revDSG).

Ja. Art. 33 Abs. 5 erlaubt eine vereinfachte technische Dokumentation für Kleinstunternehmen (<10 MA, ≤2 Mio. € Umsatz) und Kleinunternehmen (<50 MA, ≤10 Mio. €). Zusätzlich gilt: Bußgeldbefreiung bei verspäteten 24-h-Frühwarnungen, reduzierte Konformitätsbewertungsgebühren, CSIRT-Helpdesks und priorisierter Sandbox-Zugang. Wichtig: Die Sicherheitsanforderungen aus Annex I selbst sind nicht reduziert — nur die prozedurale Last.

Geteilte Verantwortung. Der EU-Importeur muss vor Markteinführung prüfen, dass CRA-Konformität vorliegt, die technische Dokumentation verfügbar ist und der Hersteller den bevollmächtigten Vertreter benannt hat (Art. 19). Verstöße können sowohl beim Importeur als auch beim Schweizer Hersteller geahndet werden — Bußgelder bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes. EU-Importeure verlangen zunehmend CRA-Nachweise vor Aufnahme ins Sortiment.

Der Bundesrat wurde beauftragt, bis Herbst 2026 ein eigenes Cybersicherheitsgesetz für digitale Produkte vorzulegen — eng am EU CRA angelehnt. Das Schweizer Gesetz wird ein Sicherheitsnetz für den Inlandsmarkt sein, kein Aufschub für die EU-Exportpflicht. Wer ab Dezember 2027 weiterhin in die EU verkaufen will, muss heute den EU CRA umsetzen. Wer den EU CRA umsetzt, ist für das kommende Schweizer Pendant zu großen Teilen bereits vorbereitet.

Ab dem 11. September 2026: Bei einer aktiv ausgenutzten Schwachstelle in einem in der EU vertriebenen Produkt müssen Hersteller direkt an die ENISA melden (Art. 14). Drei-stufiges Verfahren: 24h Early Warning, 72h Full Notification, 14d Final Report. Der bevollmächtigte Vertreter in der EU unterstützt, ist aber nicht primärer Meldekanal — die Frist gilt für den Hersteller selbst. Eine Single Reporting Platform der ENISA bündelt die Meldungen ab 2026.

Annex III definiert wichtige Produkte (Klasse I und II), Annex IV kritische Produkte. Klasse I umfasst u.a. Firewalls, VPN-Software, Mikrocontroller mit Sicherheitsfunktionen, Identity-Management-Komponenten. Klasse II betrifft Hypervisoren, PKI-Lösungen, IoT-Sicherheits-Gateways. Schweizer Industrieprodukte — insbesondere Maschinensteuerungen mit Embedded-Security-Funktionen — landen häufiger in Klasse I als erwartet. Klassifizierung sollte produktspezifisch im Konformitätsbewertungs-Verfahren erfolgen.

Für ein mittleres Schweizer Produktportfolio (10–30 Varianten) liegt der manuelle Aufwand erfahrungsgemäß bei 3–5 FTE-Jahren für die initiale Compliance, plus laufender Schwachstellenüberwachung mit 24-Stunden-Reaktionsfristen. Mit automatisiertem SBOM-Management, Vulnerability-Tracking und Audit-Dokumentation reduziert sich das auf 0,2–1 FTE — bei zugleich höherer Audit-Sicherheit. Methodik mit Quellen und Annahmen siehe https://kunnus.tech/methodology.