InfoGuard Cyber Security & Cyber Defence Blog

CRA & NIS2: Chance oder Umbruch für den Schweizer Exportmarkt?

Geschrieben von Markus Limacher | 05. Mär 2025

Wir beleuchten die Exporte der Schweiz, die betroffenen Produkte und Dienstleistungen sowie die erforderlichen Massnahmen zur Anpassung an die neuen Vorschriften. Ausserdem finden Sie eine Übersicht der relevanten Güterkategorien und konkreter Handlungsempfehlungen.

Cyber Resilience Act (CRA) behind the scene

Der CRA ist eine EU-Verordnung, welche erstmals allgemeine Cybersicherheitsstandards für alle Produkte mit digitalen Elementen festlegt. Darunter fallen auch Software-Produkte, IoT-Geräte und digitale Industriegüter. Ziel ist es, den europäischen Markt sicherer zu gestalten und Produkte gegen Cyberbedrohungen zu wappnen.

Die wichtigsten Aspekte der CRA-Richtlinie sind:

  • Unternehmen müssen nachweisen, dass ihre Produkte sicher sind, bevor sie in der EU vertrieben werden. Dies umfasst Sicherheitsbewertungen, Tests und die Bereitstellung von Updates über den gesamten Produktlebenszyklus.
  • Verstösse können mit bis zu 15 Millionen Euro oder 2,5 % des globalen Umsatzes geahndet werden.
  • Schweizer Unternehmen, die in die EU exportieren, müssen diese Anforderungen erfüllen, um den Marktzugang zu behalten.

Erfahren Sie jetzt, ob Ihr Unternehmen CRA-konform im Markt unterwegs ist. Decken Sie Abweichungen jetzt mit einer CRA-Gap-Analyse auf. In vier Schritten ebnen Sie Ihrem Unternehmen den Weg zur EU-Compliance und sichern ihm den europäischen Marktzugang für Ihre cybersicheren Produkte.  

CRA-Berichtspflichten: Zeitplan und Vorgaben

Der Cyber Resilience Act (CRA) wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht und ist seit dem 10. Dezember 2024 offiziell in Kraft. Die vollständige Anwendung der Verordnung erfolgt nach einer Übergangsfrist ab dem 11. Dezember 2027, wobei spezifische Berichtspflichten für Hersteller bereits ab dem 11. September 2026 gelten.

Nachfolgend die spezifischen Berichtspflichten nach ihrer Meldefrist:

  • Frühe Warnmeldungen: Hersteller müssen innerhalb von 24 Stunden nach Bekanntwerden einer aktiv ausgenutzten Schwachstelle oder eines schwerwiegenden Sicherheitsvorfalls eine erste Meldung an die zuständigen Stellen senden.
  • Detaillierte Berichte: Innerhalb von 72 Stunden muss ein detaillierter Bericht über die Schwachstelle eingereicht werden, der Informationen über die Art der Schwachstelle, betroffene Produkte, Gegenmassnahmen und Empfehlungen für Nutzer enthält.
  • Abschlussberichte: Spätestens 14 Tage nach Verfügbarkeit von Gegenmassnahmen muss ein Abschlussbericht mit einer vollständigen Beschreibung der ergriffenen Massnahmen übermittelt werden.

NIS2 in der Praxis: Anforderungen, Fristen und nationale Unterschiede

Die verschärfte NIS2-Richtlinie erweitert die ursprüngliche NIS-Richtlinie und erhöht die Anforderungen an die Cybersicherheit in wichtigen und kritischen Sektoren.

Die wichtigsten Aspekte der verschärften NIS2-Anforderungen sind:

  • Erweiterter Anwendungsbereich, d.h. neben Energie und Verkehr betrifft NIS2 nun auch digitale Dienstleistungen wie Softwareentwicklung und digitalisierte Gesundheitsprodukte.
  • Unternehmen müssen ein robustes Risikomanagement umsetzen, Sicherheitsvorfälle innerhalb von 24 Stunden melden und regelmässige Prüfungen durchführen.
  • Die Geschäftsführung ist direkt für die Einhaltung verantwortlich.

Die NIS2-Richtline wurde im Dezember 2022 verabschiedet und sollte bis zum 18. Oktober 2024 in nationales Recht umgesetzt worden sein. Einige Mitgliedstaaten haben diese Frist eingehalten, während andere noch daran arbeiten.

Es ist wichtig zu beachten, dass die Umsetzung der NIS2-Richtlinie in den einzelnen EU-Mitgliedstaaten unterschiedlich verläuft und sich die Gesetzgebungsprozesse in verschiedenen Stadien befinden. Unabhängig davon sollten Unternehmen, soweit noch nicht erfolgt, Konformität zu den NIS2-Anforderungen erlangen. 

NIS2-Konformität – einfacher geht’s nicht mehr

Finden Sie mit der NIS2-Gap-Analyse heraus, ob Ihr Unternehmen die Mindestanforderungen erfüllt. Sie erhalten einen transparenten Bericht, der noch ausstehende Massnahmen aufzeigt. Wie Sie diese umsetzen? Auch dazu gibt Ihnen die NIS2-Gap-Analyse klare Handlungsempfehlungen.

Swiss made und EU-konform: Diese Güter betrifft’s!

Die Schweiz zählt weltweit zu den führenden Exporteuren von Hightech-Produkten und -Dienstleistungen.

Laut Exportstatistik vom Bundesamt für Statistik (BFS) umfassen die Exporte wesentliche Technologien, die durch CRA und NIS2 besonders reguliert werden:

  • Maschinen, Apparate und Elektronik: Intelligente Steuerungssysteme für Produktionsanlagen; Sensoren und IoT-fähige Bauteile für industrielle Anwendungen; Elektronische Steuergeräte für Energie- und Gebäudetechnik.
  • Medizintechnologie: Vernetzte medizinische Geräte wie Herzmonitore und Insulinpumpen; Laborausrüstungen mit digitaler Steuerung.
  • Präzisionsinstrumente: Digitale Kontrollsysteme für optische Instrumente; Automatisierte Produktionsinstrumente; Chemisch-pharmazeutische Produkte; Biotechnologische Produktionssysteme mit digitalen Überwachungskomponenten.
  • IT- und Softwarelösungen: Export von Plattformen zur Datenanalyse, Cyber Security-Software und Cloud-Diensten; SaaS-Lösungen für Produktionsoptimierung und -überwachung.
  • Gebäudedigitalisierung und Infrastruktur: Dienstleistungen zur Implementierung von Smart-Building-Systemen; Automatisierte Energiemanagement-Tools.
  • Industrienahe Dienstleistungen: Unterstützung in der Wartung und Sicherung von Produktionsanlagen; Beratung zu Cybersicherheitsanforderungen entlang der Lieferkette.

Diese Produkte und Dienstleistungen spiegeln die bedeutendsten Schweizer Exportsegmente wider, wie in den Exportstatistiken des BFS (Bundesamt für Statistik) für das Jahr 2023 detailliert dargestellt wurde.

Übersicht über die relevanten Massnahmen für Schweizer Unternehmen

  • Analyse der Konformität, d.h. Unternehmen sollten alle Produkte und Dienstleistungen auf die regulatorischen Anforderungen prüfen. Diese Analyse umfasst: Überprüfung der Cybersicherheitsstandards für IoT- und IT-Produkte. Sicherstellung, dass Sicherheitslücken in digitalisierten Industriegütern behoben werden.
  • Security by Design und Zertifizierungen. Integrieren Sie Sicherheitsstandards direkt in den Entwicklungsprozess neuer Produkte. Nutzen Sie etablierte Zertifizierungen wie ISO/IEC 27001, um die Einhaltung von CRA und NIS2 nachzuweisen.
  • Risikomanagement etablieren. Identifizieren Sie regelmässig Schwachstellen in Ihren Produkten und Systemen. Entwickeln Sie klare Protokolle zur Bewältigung von Cybervorfällen. Nutzen Sie Tools, die kontinuierlich Bedrohungen und Schwachstellen erkennen.
  • Sicherheitsupdates und Patch-Management. Etablieren Sie einen Prozess für regelmässige Updates, um Sicherheitslücken schnell zu schliessen. Nutzen Sie Tools zur Verwaltung von Software-Patches.
  • Anpassung der Lieferketten. Aufbau sicherer Lieferketten, in denen Cybersicherheitsanforderungen für alle Akteure klar definiert sind. Überwachung von Drittanbietern, insbesondere in der Softwareentwicklung.
  • Awareness und Weiterbildung. Organisation regelmässiger Schulungen zu Cyberrisiken für Mitarbeitende. Aufbau interner Kompetenzzentren für Cybersicherheit.
  • Proaktive Zusammenarbeit, Analysen und Austausch. Nutzen Sie branchenspezifische Netzwerke, um Informationen zu regulatorischen Updates zu erhalten. Zusammenarbeit mit EU-Partnern, um Compliance-Anforderungen frühzeitig zu erfüllen.
  • Berichtspflichten. Betreiben eines Systems zur Meldung von Schwachstellen, um Berichte innerhalb der geforderten Fristen an die zuständigen Behörden zu senden.

Handlungsempfehlungen von A-Z: Von Audits bis zu Zertifikaten

  1. Produktaudits durchführen: Überprüfen Sie bestehende Produkte und Komponenten auf Cybersicherheitsanforderungen.
  2. Sicherheitsfeatures integrieren: Implementieren Sie „Security by Design“ in neue Produkte.
  3. Dienstleistungen zertifizieren: Erwerben Sie Zertifikate wie ISO/IEC 27001, um die Einhaltung der Vorgaben nachzuweisen.
  4. Partnerschaften stärken: Arbeiten Sie eng mit Lieferanten und Kunden zusammen, um Cybersicherheitsanforderungen entlang der Lieferkette zu erfüllen.

Mit einem proaktiven Ansatz können Schweizer Unternehmen nicht nur regulatorische Hürden überwinden, sondern auch die Nachfrage nach sicheren Produkten und Dienstleistungen steigern.

Fazit: CRA und NIS2 als Chance nutzen

Die umfassenden Anforderungen des CRA und der NIS2-Richtlinie betreffen eine Vielzahl exportierter Schweizer Produkte und Dienstleistungen, insbesondere in den Bereichen digitaler Industrie und Medizintechnik. Schweizer Unternehmen sollten auf die Einhaltung dieser Richtlinien hinarbeiten, um ihre Marktposition in der EU zu sichern.

Die Anforderungen durch den Cyber Resilience Act und die NIS2-Richtlinie sind komplex, bieten aber auch grosse Chancen. Unternehmen, die frühzeitig in Cybersicherheit investieren und ihre Prozesse anpassen, sichern nicht nur ihre Marktposition, sondern schaffen auch Vertrauen bei Kunden und Partnern. Eine CRA-Gap-Analyse identifiziert Abweichungen Ihrer Organisation vom neuen EU-Standard und führt Sie in 4 Schritten zur CRA-Konformität.  

Unterstützung bei der Umsetzung konkreter Massnahmen

Wenn wir Sie bei der Erfüllung der CRA-Vorgaben unterstützen können, dann stehen Ihnen bei InfoGuard über 200 Expert*innen zur Verfügung, sei es mit unseren Risk Management & Compliance Services oder 24/7 Cyber Defence & Incident Response Services aus unserem ISO 27001-zertifizierten Cyber Defence Center in der Schweiz. Nehmen Sie Kontakt mit uns auf – unsere Cyber-Sicherheitsexpert*innen helfen Ihnen gerne.

Bildlegende: mit KI generiertes Bild
Vollständigen Beitrag anzeigen