Am 11. Dezember 2024 ist der «Cyber Resilience Act CRA der Europäischen Union EU» in Kraft getreten. Ziel ist es, EU-weit verbindliche «Cybersicherheitsanforderungen für Produkte mit digitalen Elementen» zu schaffen. Betroffen sind alle Hersteller, Importeure und Händler dieser Produkte. Der «Cyber Resilience Act CRA» wird schrittweise eingeführt. Wer gegen die neuen Vorschriften verstösst, zahlt hohe Bussen. Schweizer Unternehmen, die in der EU tätig sind oder «Produkte mit digitalen Elementen» in die EU exportieren, müssen den neuen EU-Cybersicherheitsanforderungen voll genügen.

Die vom «Cyber Resilience Act CRA» betroffenen «Produkte mit digitalen Elementen»

Der «Cyber Resilience Act CRA» Der CRA unterteilt die betroffenen «Produkte mit digitalen Elementen» in vier Kategorien, die je nach Sicherheitsrelevanz unterschiedlich reguliert werden:

• Standardprodukte: Smartphones, Tablets, Computer, Laptops, Spielkonsolen, intelligente Fernseher oder einfache Hausautomatisierungssysteme müssen künftig die erhöhten CRA-Sicherheitsstandards erfüllen.

• Wichtige Produkte – Klasse 1: Produkte mit sicherheitsrelevanten Funktionen, wie Router, Betriebssysteme oder intelligente Türschlösser erfordern entweder die Einhaltung eines harmonisierten EU-Standards oder eine externe Konformitätsbewertung.

• Wichtige Produkte – Klasse 2: Für Produkte mit erhöhter Sicherheitsrelevanz wie Firewalls, manipulationssichere Mikrocontroller, «Internet-of-Things»-Geräte ist eine verpflichtende externe Prüfung erforderlich, um die CRA-Konformität sicherzustellen.

• Kritische Produkte: Produkte für fortgeschrittene Sicherheitszwecke wie Smart-Meter-Gateways oder Geräte für die sichere Kryptoverarbeitung müssen, falls vorhanden, die entsprechende EU-Cybersicherheitszertifizierung vorweisen.

Pflichten der Hersteller

Der «Cyber Resilience Act CRA» auferlegt den Herstellern der «Produkte mit digitalen Elementen» viele Anforderungen, die einzuhalten sind:

• Sicherheit im gesamten Lebenszyklus des Produkts: Die Sicherheit muss von der Produktentwicklung bis zum Ende der Produktenutzung gewährleistet werden, etwa durch eine sichere Softwarearchitektur und regelmässige Sicherheitsupdates.

• Schwachstellenmanagement: Sicherheitslücken des Produkts müssen innerhalb von 24 Stunden der zuständigen nationalen Stelle gemeldet werden. Dazu werden weiterführende Informationen und die Bereitstellung von Abwehrmassnahmen verlangt.

• Konformitätsbewertung und CE-Kennzeichnung: Alle Produkte müssen eine Konformitätsbewertung durchlaufen und dann mit dem CE("Conformité Européenne")-Zeichen versehen werden.

• Integration sicherer Komponenten: Drittanbieterkomponenten, einschliesslich Open-Source-Software, müssen vor ihrer Integration in das Produkt überprüft werden.

• Sicherheitsupdates: Sicherheitsupdates müssen für das Produkt über einen Zeitraum von in der Regel fünf Jahren und grundsätzlich kostenfrei angeboten werden.

• Transparenz und Dokumentation: Hersteller sind verpflichtet, umfassende technische Dokumentationen des Produktes zu erstellen, welche die Einhaltung der Sicherheitsanforderungen belegen. Diese Dokumente müssen für Aufsichtsbehörden verfügbar sein und während des gesamten Lebenszyklus des Produkts aktuell gehalten werden.

Pflichten der Importeure und Händler

Importeure und Händler müssen sicherstellen, dass die von ihnen in der EU angebotenen «Produkte mit digitalen Elementen» allen Anforderungen des «Cyber Resilience Act CRA» genügen.

Zeitplan für die Einführung der Anforderungen des «Cyber Resilience Act CRA»

11. Juni 2026: Die Institutionen, welche die Einhaltung der Sicherheitsstandards gemäss dem CRA prüfen, treten in Aktion.

11. September 2026: Die Meldepflichten für Schwachstellen der «Produkte mit digitalen Elementen» werden verbindlich.

11. Dezember 2027: Alle Regelungen des «Cyber Resilience Act CRA» treten vollständig in Kraft.

Happige Bussen und Sanktionen

Die Marktaufsicht über die vom «Cyber Resilience Act CRA» betroffenen «Produkte mit digitalen Elementen» wird von nationalen Behörden der EU-Mitgliedstaaten in Zusammenarbeit mit der Europäische Agentur für Cybersicherheit ENISA durchgeführt. Dies geschieht durch gemeinsame Überprüfungen oder Leitlinien zur Umsetzung der CRA-Vorgaben.

Der «Cyber Resilience Act CRA» sieht happige Bussen für Verstösse vor:

• Verstösse gegen die CRA-Cybersicherheitsanforderungen: Busse von 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes

• Fehlende Sicherheitsprüfungen: Busse von 10 Millionen Euro oder zwei Prozent des Umsatzes

• Falsche Angaben oder unzureichende Dokumentation: Busse von 5 Millionen Euro oder ein Prozent des Umsatzes.

Zusätzlich können die Behörden Produkte vom Markt nehmen oder Unternehmen verpflichten, Sicherheitslücken zu schliessen.

Auswirkungen des «Cyber Resilience Act CRA» auf die Schweiz

Schweizer Unternehmen, die in der EU tätig sind oder «Produkte mit digitalen Elementen» in die EU exportieren, müssen die Bestimmungen des «Cyber Resilience Act CRA» voll einhalten.