Cyber Resilience Act (CRA) Audit & Umsetzung
Die EU Cyber Resilience Act (CRA) verpflichtet Hersteller digitaler Produkte zu Sicherheitsstandards. Auch Schweizer Unternehmen sind betroffen — wenn sie in die EU exportieren. Ab CHF 1'400 für erste Audits.
CRA Audit ab CHF 1'400Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die ab 2027/2029 in Kraft tritt. Sie verpflichtet Hersteller von Produkten mit digitalen Elementen (PDEs) zu:
- Sicherheits-by-Design: Sicherheitsanforderungen bereits in der Produktentwicklung
- Vulnerability Management: Systematische Schwachstellenverwaltung während der gesamten Lebensdauer
- Transparente Meldepflichten: Exploits und Vulnerabilities müssen gemeldet werden
- CE-Kennzeichnung: Nur mit Konformitätsnachweis darf das Produkt in der EU in Verkehr gebracht werden
Betroffen in der Schweiz? Ja!
Die Schweiz ist kein EU-Mitglied, aber der CRA gilt für alle Unternehmen, die Produkte mit digitalen Elementen in die EU importieren oder vertreiben:
- Schweizer IoT-Hersteller: Smart Home, Industrie 4.0, Medizintechnik
- Software-Hersteller: SaaS mit On-Premise-Komponenten, Embedded Software
- Distributoren & Händler: Auch reine Vermarkter müssen Herstellerverpflichtungen prüfen
- Open-Source: Stewards und kommerzielle Anbieter sind teilweise einbezogen
Achtung: Wer CRA-Anforderungen nicht erfüllt, darf seine Produkte nicht mehr in der EU in Verkehr bringen. Für Schweizer Exporteure bedeutet das einen massiven Marktzugang-Verlust. Fristen: 2027 (grundlegende Anforderungen), 2029 (vollständige CE-Kennzeichnung).
CRA-Kategorien & Anforderungen
| Kategorie | Beispiele | Anforderungen |
|---|---|---|
| Default | Software, Consumer IoT | Sicherheits-by-Design, Vuln-Mgmt, Meldepflichten |
| Kritisch Klasse I | Browser, VPN, OS, Smartcards | Plus: Unabhängige Konformitätsbewertung |
| Kritisch Klasse II | IDS, Industrial Software, PKI | Plus: Drittpartei-Zertifizierung (Notified Body) |
CRA Audit: Was prüfe ich?
- Produktanalyse: Ist Ihr Produkt eine "Produkt mit digitalen Elementen"? Welche CRA-Kategorie gilt?
- Sicherheits-by-Design Review: Wie sind Security-Anforderungen in der Entwicklung verankert? Threat Modeling? Secure Coding?
- Vulnerability Management: Gibt es einen Prozess zur Schwachstellen-Erfassung, -Behebung und -Kommunikation?
- Incident Reporting: Ist ein Meldeprozess für aktive Exploits etabliert (24h an ENISA)?
- CE-Kennzeichnungs-Readiness: Welche technische Dokumentation fehlt für die Konformitätserklärung?
Cyber Resilience Act & Wettbewerbsfähigkeit
Der CRA ist kein reines Compliance-Thema — er ist ein Wettbewerbsvorteil:
- Frühzeitige Umsetzung: Schweizer Hersteller, die bereits CRA-konform sind, gewinnen EU-Kunden vor der Deadline.
- Differentiierung: CE-Kennzeichnung signalisiert professionelle Sicherheit — ein Marketing-Argument.
- Lieferkette: EU-Einkäufer werden nur noch CRA-konforme Lieferanten akzeptieren. Wer nicht dabei ist, fliegt raus.
Swiss-Tipp: Kombinieren Sie den CRA-Audit mit einem ISO 27001 Gap-Analyse. Die Anforderungen überschneiden sich massiv (Vulnerability Management, Incident Response, Secure Development). Ein kombiniertes Audit ist effizienter und kostengünstiger.
CRA Audit Preise
| Leistung | Scope | Preis |
|---|---|---|
| CRA Gap-Analyse | Produktklassifizierung, Pflichten-Analyse | ab CHF 1'400 |
| CRA Gap-Analyse | Vollständige Prüfung gegen CRA-Anforderungen | CHF 3'500 – 7'000 |
| Umsetzungsbegleitung | 3-6 Monate, Prozesse, Dokumentation | CHF 8'000 – 18'000 |
Weiterführende Links
- ISO 27001 Audit — ISO 27001 deckt viele CRA-Anforderungen ab
- NIS2 & KRITIS Audit — ergänzende regulatorische Pflichten
- ISMS-Audit — der systematische Ansatz für Produkt-Sicherheit
Cyber Resilience Act prüfen?
Ich analysiere, ob Ihre Produkte unter den CRA fallen, welche Kategorie gilt und welche Massnahmen Sie jetzt brauchen.
CRA-Audit anfragen