Aktualisiert am 2. Juni 2026. Ergänzungen seit Erstveröffentlichung: Stand der Schweizer Gesetzgebung (Motion 24.3810, BACS-Vernehmlassung Herbst 2026), Meilenstein 11. Juni 2026 für notifizierte Konformitätsbewertungsstellen sowie vertiefende Verweise auf die Übersichtsseite zum CRA in der Schweiz.
Die Schweiz ist kein EU-Mitglied – der Cyber Resilience Act (CRA) wirkt auf Schweizer Hersteller dennoch unmittelbar, sobald Produkte in der EU bereitgestellt werden. Parallel arbeitet der Bundesrat über die Motion 24.3810 an einer eigenen Schweizer Regelung für die Cybersicherheit digitaler Produkte. Aus Sicht der MEM-Industrie und der digitalen Zulieferer ist die Lage nüchtern zu betrachten: Wer in die EU liefert, setzt heute den EU CRA um – und ist damit für die spätere Schweizer Regelung im Wesentlichen vorbereitet. Eine kompakte Zusammenstellung inklusive Plattform-Antwort finden Sie auf unserer Schweizer CRA-Übersichtsseite.
Doppelte Regulierung: EU CRA und Motion 24.3810
Schweizer Hersteller müssen zwei parallele Stränge im Blick behalten. Beide zielen auf das Sicherheitsniveau digitaler Produkte, sind aber unterschiedlich weit fortgeschritten.
EU Cyber Resilience Act. In Kraft seit 10. Dezember 2024. Meldepflichten ab 11. September 2026, volle Anwendung ab 11. Dezember 2027. Ab 11. Juni 2026 dürfen notifizierte Konformitätsbewertungsstellen Produkte gegen die CRA-Anforderungen prüfen – Schweizer Hersteller können also frühzeitig formale Konformität nachweisen lassen, bevor die Hauptpflichten greifen.
Motion 24.3810 – die Schweizer Antwort. Die Sicherheitspolitische Kommission des Ständerats hat den Bundesrat beauftragt, eine eigene Cybersicherheits-Regulierung für digitale Produkte vorzulegen. Federführend erarbeitet das Bundesamt für Cybersicherheit (BACS) gemeinsam mit BAKOM und SECO bis Herbst 2026 eine Vernehmlassungsvorlage. Im Sinne des autonomen Nachvollzugs wird sich die Schweizer Regelung am EU CRA orientieren, eigenständige Marktüberwachungsregeln definieren und die Grundlage für ein Importverbot unsicherer Geräte schaffen.
Pragmatische Schlussfolgerung. Eine Doppel-Compliance ist nicht zu erwarten. Der Bundesrat hat erkennen lassen, dass die Schweizer Regelung so ausgestaltet wird, dass EU-CRA-konforme Produkte das inländische Niveau weitgehend erfüllen. Wer den EU CRA jetzt sauber umsetzt, deckt damit die voraussichtlichen Schweizer Pflichten zum grossen Teil ab – und kann sich später aktiv in die Vernehmlassung einbringen. Eine kompakte Übersicht zu beiden Regelungen liegt unter CRA-Compliance für die Schweiz bereit.
Marktortprinzip statt Bilaterale
Bei vielen EU-Regulierungen regeln die Bilateralen Verträge eine gegenseitige Anerkennung – beim CRA nicht. Es gibt kein Mutual Recognition Agreement (MRA) wie bei der Maschinenrichtlinie. Massgeblich ist das Marktortprinzip (Art. 2 Abs. 1 CRA): Jedes Produkt, das auf dem EU-Binnenmarkt bereitgestellt wird, muss konform sein – unabhängig vom Sitz des Herstellers.
Für eine exportorientierte Volkswirtschaft ist das relevant: Über die Hälfte aller Schweizer Warenexporte geht in die EU; in der MEM-Industrie, der Embedded- und IoT-Zuliefererbranche sowie der Medizintechnik liegt die EU-Quote spürbar darüber. Schweizer Hersteller werden rechtlich als Drittlandshersteller behandelt, mit allen daraus folgenden Pflichten. Das ist keine politische Aussage, sondern operative Realität – und entsprechend handzuhaben.
Pflichten als Drittlandshersteller
Schweizer Unternehmen, die Produkte mit digitalen Elementen in der EU vertreiben, übernehmen Pflichten, die für EU-ansässige Hersteller nicht in derselben Form gelten.
Bevollmächtigter Vertreter in der EU (Art. 26 CRA). Hersteller mit Sitz ausserhalb der EU benennen schriftlich einen bevollmächtigten Vertreter («Authorized Representative») in einem EU-Mitgliedstaat. Dieser ist Ansprechpartner der Marktüberwachungsbehörden, hält die technische Dokumentation 10 Jahre verfügbar und ist auf Konformitätserklärung und Produktinformationen genannt. In der Praxis übernimmt diese Rolle entweder ein eigenes EU-Tochterunternehmen, ein spezialisierter Dienstleister oder ein langjähriger Geschäftspartner – wichtig ist eine vertraglich saubere Regelung der Zuständigkeiten und Haftungsfragen.
Importeur-Pflichten (Art. 19 CRA). Verkauft ein Schweizer Hersteller nicht direkt, sondern über einen EU-Importeur, übernimmt dieser zusätzliche Verantwortung. Der Importeur prüft vor dem Inverkehrbringen die CRA-Konformität, die Verfügbarkeit der Dokumentation und die korrekte Benennung des Bevollmächtigten. In Beschaffungsgesprächen mit EU-Importeuren ist daher mit konkreten Nachweisforderungen zu rechnen – inklusive SBOM, Konformitätserklärung und Patch-Politik.
CE-Kennzeichnung. Wie alle Hersteller bringen Schweizer Unternehmen die CE-Kennzeichnung an, bevor das Produkt auf den EU-Markt kommt. Der Bewertungsprozess ist identisch mit dem für EU-Hersteller; die Dokumentation nennt zusätzlich den EU-Bevollmächtigten.
Was jetzt auf der Geschäftsleitungs-Agenda steht
Der Weg zur CRA-Compliance lässt sich in fünf parallel zu bearbeitende Handlungsfelder gliedern. Die Reihenfolge folgt der operativen Logik, nicht der formaljuristischen.
1. Produktportfolio analysieren. Welche Produkte fallen in den CRA-Anwendungsbereich? Jedes Produkt mit digitalen Elementen, das eine direkte oder indirekte Datenverbindung zu einem Netzwerk herstellen kann. Klären Sie die Klassifizierung (Standard, wichtig Klasse I/II nach Annex III, kritisch nach Annex IV) – davon hängt das anwendbare Bewertungsverfahren ab. Erfahrungswert aus Schweizer Maschinen- und Elektrobetrieben: Steuerungen mit Embedded-Security-Funktionen landen häufiger in Klasse I als zunächst angenommen.
2. Bevollmächtigten benennen. Wenn noch nicht erfolgt, jetzt einsetzen – ein eigenes Tochterunternehmen, ein spezialisierter Dienstleister oder ein bestehender Vertriebspartner. Worauf zu achten ist: Kapazität, fachliche Tiefe und vertraglich saubere Haftungsregelungen. In Familienunternehmen mit gewachsenen Strukturen lohnt der Blick auf Wirtschaftsprüfer oder Anwaltskanzleien, die bereits Drittlands-Mandate führen.
3. Technische Anforderungen umsetzen. Die Sicherheitsanforderungen aus Annex I gelten identisch: Security by Design, keine Standardpasswörter, verschlüsselte Kommunikation, sichere Update-Mechanismen, SBOM-Erstellung und Schwachstellenmanagement. Systematische Gap-Analyse statt Ad-hoc-Massnahmen – das senkt den Aufwand und liefert eine dokumentierte Entscheidungsgrundlage.
4. Meldeprozesse einrichten. Ab 11. September 2026 müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an die ENISA gemeldet werden (dreistufig: 24h Early Warning, 72h Full Notification, 14d Final Report). Das gilt auch für Schweizer Hersteller, deren Produkte auf dem EU-Markt sind. Eine vertiefte Erklärung der Meldepflichten ist in einem separaten Beitrag verfügbar.
5. Dokumentation vorbereiten. Technische Dokumentation, EU-Konformitätserklärung und SBOM müssen den Marktüberwachungsbehörden auf Anfrage vorgelegt werden können – in einer Amtssprache des betreffenden EU-Mitgliedstaats. Für Schweizer Hersteller in der Praxis meist Deutsch, Französisch oder Englisch; die Mehrsprachigkeit liegt einem in der Regel ohnehin im Geschäft. Die Erleichterungen für KMU (Art. 33 Abs. 5) erlauben eine vereinfachte Form, ohne die Sicherheitsanforderungen selbst zu reduzieren – relevant für viele Familien- und Mittelstandsbetriebe.
Fristen für Schweizer Hersteller
Die CRA-Fristen gelten für alle Hersteller gleich. Für die Planung in der Schweiz hilft die Synopse mit dem Schweizer Gesetzgebungspfad:
| Datum | Ereignis |
|---|---|
| 10. Dezember 2024 | EU CRA in Kraft |
| 11. Juni 2026 | Notifizierte Konformitätsbewertungsstellen aktiv |
| 11. September 2026 | 24-Stunden-Meldepflicht an ENISA startet |
| Herbst 2026 | BACS-Vernehmlassung zum Schweizer Cybersicherheitsgesetz erwartet |
| 11. Dezember 2027 | Vollständige CRA-Anwendung – alle neu in Verkehr gebrachten Produkte müssen konform sein |
Typische Entwicklungszyklen in der Schweizer Industrie – 12 bis 24 Monate plus Lagerhaltung – machen die verbleibende Zeit knapp. Produkte, die Ende 2027 in der EU starten sollen, brauchen die CRA-Anforderungen bereits jetzt im Lastenheft. Für bestehende Produkte gilt das Einzelstück-Prinzip: Solange kein wesentliches Update erfolgt, besteht kein Nachholbedarf. Jedes Major-Update an der Sicherheitsarchitektur löst hingegen eine Neubewertung aus.
Verbandsarbeit und Normen: was im Hintergrund läuft
Wer bereits nach IEC 62443, ISO 27001 oder ETSI EN 303 645 arbeitet, hat einen operativen Vorsprung. Diese Standards bilden voraussichtlich die Basis der harmonisierten CRA-Normen. Eine vollständige Deckungsgleichheit existiert nicht – CRA-spezifische Anforderungen wie die SBOM-Pflicht (Annex I §2), die 24h-Meldepflicht (Art. 14) und die EU-Konformitätserklärung nach Annex V kommen zusätzlich hinzu.
Im Schweizer Verbandsumfeld verfolgen Swissmem, Swico, asut und die Schweizerische Normen-Vereinigung (SNV) die Entwicklung aktiv über die europäischen Normungsorganisationen mit. Wer im Verband aktiv ist, hat hier kurze Wege zu Vernehmlassungspositionen und kann eigene Erfahrungen aus der Praxis einbringen. Sobald das BACS die Vernehmlassung zur Schweizer Regelung eröffnet, ist eine eigene Stellungnahme – allein oder über den Verband – das einfachste Mittel, branchenspezifische Realitäten in die Gesetzgebung zu tragen.
Konformität als Voraussetzung, nicht als Marketing-Versprechen
Der CRA legt ein einheitliches Sicherheitsniveau für den EU-Markt fest. Für Schweizer Hersteller ist Konformität primär eine Voraussetzung für den Marktzugang, kein Unterscheidungsmerkmal. Wer den Nachweis früh und sauber dokumentiert erbringt, reduziert Reibung im Vertrieb: weniger Rückfragen von EU-Importeuren, kürzere Audits, weniger Risiko von Marktrücknahmen – und in der Folge bessere Lieferfähigkeit, die in vielen Industrieaufträgen wichtiger ist als jede Werbeaussage.
Operativ entscheidend sind drei Punkte: ein belastbarer Bevollmächtigter in der EU, eine pflegbare SBOM- und Schwachstellen-Pipeline und eine Dokumentation, die einer Marktüberwachungsprüfung standhält. Alles andere – Klassifizierung, harmonisierte Normen, KMU-Erleichterungen – sind Detailfragen, die sich entlang dieser drei Achsen klären lassen. Das ist die ehrliche Antwort: kein Quantensprung, sondern saubere Hausaufgaben mit klarem Nutzen.
Wie Kunnus unterstützt
Kunnus begleitet Schweizer Hersteller systematisch beim Aufbau der CRA-Compliance – von der Gap-Analyse über SBOM- und Vulnerability-Management bis zur audit-fertigen Dokumentation. Die Plattform ist EU-gehostet, deckt die Drittlandshersteller-Pflichten ab und wird die kommende Schweizer Regulierung mit derselben Datenbasis adressieren, sobald die Vernehmlassung ihre Konturen kennt. Wir arbeiten mit Familienbetrieben, börsennotierten MEM-Konzernen und KMU mit klar fokussiertem Portfolio – die Logik bleibt dieselbe, der Umfang nicht.
Konkrete nächste Schritte:
- Übersicht über Plattform, Branchen und Fristen: CRA-Compliance für Schweizer Hersteller
- Eigenen Reifegrad in wenigen Minuten ermitteln: kostenlose CRA-Reifegradanalyse
- Vertiefung zu spezifischen Pflichten: CE-Kennzeichnung, Meldepflichten ab September 2026, KMU-Erleichterungen.