border border active
border border active
border border active

Cyber Resilience Act (CRA)

Was ist der Cyber Resilience Act?

Mit dem Cyber Resilience Act (Verordnung EU 2024/2847) führt die Europäische Union verpflichtende Vorgaben zur Cyber-Sicherheit in Produkten mit digitalen Elementen ein. Als Produkte mit digitalen Elementen gelten alle Produkte, welche vernetzt werden können oder digitale Kommunikationsschnittstellen besitzen.

Ab dem 11.September 2026 gilt bereits die Meldepflicht für Schwachstellen an die Europäische Behörde ENISA. Ab Dezember 2027 müssen neue Produkte alle CRA-Anforderungen erfüllen. Hersteller welche sich nicht an die Vorgaben der CRA halten riskieren den Marktausschluss und hohe Geldstrafen (bis zu 15Mio Euro oder 2.5% des Umsatzes).

Was verlangt der CRA konkret?

Anforderung

Was das bedeutet

Security by Design

Sicherheitsrisiken müssen bereits in der Konzeptphase/Entwicklung identifiziert und berücksichtigt werden.

Schwachstellen-
Management

Systematische Erkennung, Bewertung und Behebung von Sicherheitslücken - auch in verwendeten Open-Source oder Drittkomponenten

SBOM

Eine vollständige Liste aller Softwarebestandteile, die in einem Produkt enthalten sind – einschließlich der jeweiligen Versionsnummern muss erstellt werden.

Secure Update

Sicherheitsrelevante Updates müssen über die gesamte Produktlebensdauer (min. 5 Jahre) bereitgestellt werden.

Meldepflicht

Wenn eine Sicherheitslücke im Produkt aktiv ausgenutzt wird und erkannt wurde, muss sie innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden (gültig ab September 2026).

Technische Dokumentation

Nachweis der Konformität gegenüber Behörden und Marktüberwachung - Grundlage für CE Kennzeichnung

 

Welche Produkte sind betroffen?

Die CRA gilt für “Produkte mit digitalen Elementen”, darunter fallen:

  • IoT Geräte
  • Industrielle Steuerungen
  • Netzwerkgeräte
  • Software und Betriebssysteme
  • Anwendungen und Produkte mit Netzwerkverbindung oder Kommunikationsschnittstellen

Nicht betroffen sind:

  • Open Source Software, welche nicht kommerziell vertrieben wird.
  • Spezifische Produktkategorien wie Medizinprodukte, Defense, Aerospace
  • Legacy Produkte welche vor 2027 in Verkehr gebracht wurden*, und an denen keine substantiellen Änderungen vorgenommen werden

*Inverkehrbringen: Erstmalige entgeltliche oder unentgeltliche Abgabe des einzelnen Produktes zum Vertrieb, Verbrauch oder Verwendung.

Die betroffenen Produkte werden in folgende Kategorien unterteilt:

Betrifft der CRA auch Schweizer Unternehmen?

Ja — der Marktort entscheidet, nicht der Firmensitz. Jedes Unternehmen, das Produkte mit digitalen Elementen in den EU-Binnenmarkt bringt oder dort vertreibt, muss die CRA-Anforderungen erfüllen. Für viele Schweizer KMUs im Maschinen- und Anlagenbau, die Kunden in der EU haben, ist der CRA damit direkt relevant.
Zudem plant die Schweiz eine eigene, am CRA orientierte Gesetzgebung — ein frühzeitiger Aufbau von Compliance-Strukturen zahlt sich also doppelt aus.
Häufige Herausforderungen für Unternehmen
•    Unklare Regulatorische Anforderungen
•    Fehlende Kompetenzen im Team
•    Zeitdruck bei der Umsetzung
•    «Angst» vor teuren Auditkosten und Haftungsrisiken

Wir unterstützen sie dabei, das Thema greifbar zu machen und helfen ihnen bei der CRA-konformen Überarbeitung Ihrer Produkte und Applikationen.

Wie Sotronik unterstützen kann

Wir sind ein Ingenieurbüro mit über 25 Jahren Erfahrung in Embedded Systemen, Firmware und industrieller Kommunikation — genau den Bereichen, in denen CRA-Anforderungen wie Security by Design, SBOM und Schwachstellenmanagement am konkretesten werden.
Cybersecurity in embedded Produkten ist für uns kein isoliertes Compliance-Thema, sondern eine Erweiterung unserer bestehenden Engineering-Kompetenz. Wir bauen dieses Wissen gezielt aus und unterstützen unsere Kunden pragmatisch: Wir analysieren gemeinsam, wo Ihr Produkt heute steht, zeigen auf, was der CRA konkret von Ihnen verlangt — und helfen dort weiter, wo wir den grössten Mehrwert bringen können.

Unsicher, ob Ihr Produkt betroffen ist?

Sprechen Sie uns an. In einem kurzen Erstgespräch klären wir gemeinsam, ob und in welchem Umfang der CRA für Ihre Produkte relevant ist — kostenlos und unverbindlich