Cyber Resilience Act: Was Schweizer Unternehmen jetzt wissen müssen

Müssen sich Schweizer Unternehmen um den neuen Cyber Resilience Act (CRA) kümmern? Kurz gesagt: Ja! Wer digitale Produkte in der EU verkauft oder Teil einer Lieferkette ist, muss die neuen Sicherheitsvorgaben erfüllen – sonst drohen hohe Strafen und Marktverlust. Der CRA verlangt unter anderem ein koordiniertes Offenlegen von Softwareschwachstellen, die durch eine strukturierte Vulnerability Disclosure Policy (VDP) umgesetzt werden kann. Proaktive Unternehmen gehen noch weiter: Mit Bug-Bounty-Programmen lassen sich Sicherheitslücken frühzeitig erkennen, bevor sie ausgenutzt werden können.

gbf-blog-cra.png

Cybersecurity als regulatorische Pflicht

Produkte, die digitale “Elemente” enthalten, umgeben uns heute überall - vom Lift, der vernetzten Kamera bis hin zu Webseiten und Apps – doch sie sind auch ein Einfallstor für Cyberangriffe. Der Cyber Resilience Act (CRA) soll dem entgegenwirken: Die EU verpflichtet Hersteller und Anbieter, sicherzustellen, dass Schwachstellen entlang des Produkt-Lebenszyklus früh gefunden, gefixt und gesetzliche Meldepflichten eingehalten werden.

Für Schweizer Unternehmen, ausserhalb der Europäischen Union, stellt sich die Frage: Müssen wir uns damit befassen? Die Antwort ist eindeutig ja – denn wer Produkte mit digitalen Elementen oder Software in der EU vertreibt, muss den CRA einhalten. Zudem könnte sich der CRA, ähnlich wie die DSGVO, als internationaler Standard etablieren.

Warum der CRA notwendig ist

Unzureichend gesicherte Produkte sind eines der grössten Einfallstore für Cyberangriffe von Ransomware bis hin zu Supply-Chain-Angriffen. Die Folge: Sicherheitslücken, die Unternehmen Millionen kosten. Der CRA setzt hier an:

  • Cybersecurity-by-Design: Sicherheitslücken sollen bereits in der Entwicklungsphase vermieden werden.
  • Mindestanforderungen: Einheitliche Standards für IoT-Geräte, Software und vernetzte Systeme.
  • Klare Verantwortlichkeiten: Hersteller bleiben während des gesamten Produktlebenszyklus für Sicherheit verantwortlich.
  • Schnellere Reaktion: Unternehmen müssen Sicherheitsupdates bereitstellen und Schwachstellen an eine zentrale EU-Stelle melden.
GBF-Blog-CRA-reqts-DE.png

Was verlangt der CRA konkret?

Der CRA stellt vier zentrale Anforderungen an Unternehmen:

  1. Cybersecurity-by-Design: Unternehmen müssen schon in der Entwicklungsphase Sicherheitsrisiken minimieren. Dazu gehören eine Risikobewertung, die Implementierung sicherer Software-Architekturen und Schutzmechanismen gegen Angriffe.

  2. Pflicht zur Schwachstellenbehebung: Sicherheitslücken müssen umgehend behoben werden. Hersteller müssen für die gesamte Produktlebensdauer – mindestens aber fünf Jahre nach Verkaufsende – regelmässige Sicherheitsupdates bereitstellen.

  3. Koordinierte Schwachstellenoffenlegung: Unternehmen müssen eine koordinierte Schwachstellenoffenlegung (auf Englisch Coordinated Vulnerability Disclosure Policy (CDP) einrichten. Dies umfasst eine strukturierte Vulnerability Disclosure Policy (VDP), die sicherstellt, dass gemeldete Schwachstellen effizient und transparent bearbeitet werden.

  4. Meldepflicht für ausgenutzte Schwachstellen: Wird eine Sicherheitslücke von Angreifern aktiv ausgenutzt, muss sie innerhalb von 24 Stunden an die EU-Agentur für Cybersicherheit (ENISA) gemeldet werden.

Wer digitale Produkte in der EU verkauft oder Teil einer Lieferkette ist, muss die neuen Sicherheitsvorgaben erfüllen – sonst drohen hohe Strafen und Marktverlust.

Warum betrifft der CRA auch Schweizer Unternehmen?

Obwohl die Schweiz nicht zur EU gehört, gilt der CRA auch für Schweizer Unternehmen, die in irgendeiner Weise mit dem EU-Markt interagieren. Doch was bedeutet das konkret für Schweizer Unternehmen? Hier sind die drei wichtigsten Szenarien:

  1. Direkter Vertrieb in die EU: Hersteller von Produkten mit digitalen Elementen müssen CRA-konform sein, um weiter in der EU verkaufen zu dürfen.

  2. Teil der Lieferkette: Zulieferer und Softwareanbieter müssen unter Umständen Sicherheitsnachweise erbringen.

  3. Indirekte Markteinflüsse: EU-Kunden könnten CRA-konforme Sicherheitsmassnahmen auch von nicht betroffenen Partnern erwarten.

GBF-CRA-Blog-3-steps-DE.png

Welche Massnahmen sollten Schweizer Unternehmen jetzt ergreifen?

Der CRA setzt neue Standards für Cybersicherheit – auch für Schweizer Unternehmen. Die Umsetzung des CRA erfordert Anpassungen, birgt aber auch Chancen für eine nachhaltige Sicherheitsstrategie. Schweizer Unternehmen, die jetzt handeln, vermeiden nicht nur regulatorische Risiken, sondern stärken auch ihre eigene Resilienz. Doch was heisst das konkret?

Risikobewertung durchführen

Unternehmen sollten analysieren, welche ihrer Produkte oder Prozesse vom CRA betroffen sind. Eine detaillierte Bestandsaufnahme hilft, Sicherheitsrisiken frühzeitig zu erkennen. Dabei sind zwei Punkte entscheidend:

Produktsicherheit prüfen: Bestehende und geplante digitale Produkte auf CRA-Relevanz analysieren.

Regelmässige Security-Assessments etablieren: Wo bestehen Schwachstellen? Wie wird mit gemeldeten Sicherheitslücken umgegangen?

VDP und Bug-Bounty-Programme etablieren

Eine klare Schwachstellenstrategie ist essenziell, um auf Sicherheitslücken effizient zu reagieren. Unternehmen sollten proaktiv Sicherheitsforscher einbinden und eine strukturierte Anlaufstelle für Meldungen schaffen. Dabei sind zwei Massnahmen besonders wichtig:

Vulnerability Disclosure Program (VDP) einrichten: Ein VDP stellt sicher, dass gemeldete Sicherheitslücken systematisch bearbeitet werden – eine zentrale Anforderung des CRA. Unternehmen, die dies professionell umsetzen, vermeiden Sicherheitsrisiken und rechtliche Unsicherheiten.

Bug-Bounty-Programme nutzen: Bug-Bounty-Programme ergänzen ein VDP ideal: Sie aktivieren eine globale Community ethischer Hacker, die gezielt nach Schwachstellen suchen – bevor Cyberkriminelle es tun. So lassen sich Sicherheitslücken entdecken, bevor sie von Cyberkriminellen ausgenutzt werden – und Unternehmen gehen über die Minimalanforderungen des CRA hinaus.

Langfristige Compliance-Strategie entwickeln

Der CRA erfordert nicht nur einzelne Massnahmen, sondern eine nachhaltige Sicherheitsstrategie. Unternehmen sollten frühzeitig sicherstellen, dass ihre IT- und Compliance-Strukturen den Anforderungen gerecht werden. Dabei sind folgende Punkte zentral:

Verantwortlichkeiten klar definieren: Wer ist innerhalb des Unternehmens für die Umsetzung der CRA-Anforderungen zuständig? Eine klare Zuordnung von Verantwortlichkeiten ist essenziell.

Security-Prozesse und Richtlinien überarbeiten: Bestehende Sicherheitsrichtlinien sollten geprüft und an die neuen gesetzlichen Vorgaben angepasst werden. Gibt es bereits Policies, die CRA-konform sind? Wo besteht noch Handlungsbedarf?

In der Schweiz tritt zudem ab dem 1. April 2025 die Meldepflicht für kritische Infrastrukturen in Kraft. VDP und Bug-Bounty-Programme können hier bei der Früherkennung und Prävention helfen und Sicherheitslücken identifizieren, bevor sie ausgenutzt werden. Ebenfalls bieten sie eine Compliance-Unterstützung, da strukturierte Schwachstellenmeldungen die Einhaltung der Meldepflicht erleichtern.

Vom Muss zur Chance: CRA als strategischer Vorteil

Der CRA ist nicht nur eine regulatorische Herausforderung – er ist eine Chance, Cybersicherheit strategisch neu zu denken. Unternehmen, die jetzt handeln, setzen auf zukunftssichere Sicherheitsstrategien, schützen ihre Systeme und gewinnen das Vertrauen ihrer Kunden. Die Umsetzung des CRA erfordert strategisches Vorgehen und Weitblick. Unternehmen, die Cybersicherheit in ihre Prozesse integrieren, profitieren langfristig durch höhere Resilienz und Vertrauen ihrer Kunden.

VDP Whitepaper jetzt runterladen

Sind Ihre digitalen Services auf Sicherheitslücken geprüft?

Der Cyber Resilience Act (CRA) verlangt mehr Cybersicherheit – doch wo stehen Ihre Systeme? Lassen Sie Ihre digitalen Services von Experten testen, um Schwachstellen frühzeitig zu erkennen und Ihre Sicherheitsstrategie gezielt zu verbessern.

Kontaktieren Sie uns für weitere Informationen zu VDP oder Bug Bounty Programmen.

Jetzt beraten lassen!