Es ist offiziell: Die EU-Cyberresilienz-Verordnung wurde als Verordnung (EU) 2024/2847 im Amtsblatt veröffentlicht. Da wir uns mitten im Jahr 2026 befinden, ist aus der fernen EU-Regulierung ein konkreter, strikter Zeitplan geworden. Die Fristen sind gestaffelt, und die allerersten Meilensteine betreffen Schweizer Unternehmen bereits in wenigen Monaten. Wer digitale Produkte – von Software über IoT-Geräte bis hin zu eingebetteten Systemen – in die EU exportiert oder dort vertreibt, sollte jetzt handeln. Cybersicherheit wird mit dem CE-Kennzeichen zur einklagbaren Bedingung für den Marktzugang.

Der verbindliche Zeitplan: Die zweistufige Umsetzung

Die Verordnung wird nicht an einem einzigen Tag schlagartig gültig, sondern kommt in zwei Schritten. Das bedeutet akuten Handlungsbedarf:

• Stufe 1: Ab 11. September 2026 (Schwachstellen & Meldepflichten): Bereits in wenigen Monaten tritt Artikel 14 in Kraft. Ab diesem Zeitpunkt müssen das systematische Schwachstellenmanagement und die harten Meldepflichten bei Sicherheitsvorfällen lückenlos laufen.
• Stufe 2: Ab 11. Dezember 2027 (Vollanwendung): Erst ab diesem Stichtag greifen die Pflichten zu Security by Design, die Software-Stückliste (SBOM) und die offizielle CE-Kennzeichnungspflicht.

Was wird bereits ab September 2026 zur Pflicht?

Die erste Phase im Herbst 2026 konzentriert sich voll und ganz auf Prozesse, Transparenz und die berüchtigte 24-Stunden-Regel:

• Meldepflicht längs der Lieferkette: Hersteller, aber ausdrücklich auch Importeure und Händler, müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden nach Bekanntwerden via Frühwarnung an die ENISA melden. Ein detaillierter Folgebericht muss nach spätestens 72 Stunden vorliegen.
• Sofortige Behörden-Dokumentation: Die technischen Dokumente über Ihre Prozesse zur Entdeckung, Bewertung und Behebung von Schwachstellen müssen so organisiert sein, dass sie den EU-Marktüberwachungsbehörden auf Anfrage sofort vorgelegt werden können.
• Transparenz für den Kunden: Im Zusammenhang mit aktiv ausgenutzten Schwachstellen und schwerwiegenden Sicherheitsvorfällen haben Kunden und Nutzer ein Recht auf transparenten Zugang zu Sicherheitsdokumentationen. Sie müssen klare Anweisungen zu Sicherheitsupdates und Risiko-Minderungsmassnahmen erhalten – und das in einem strukturierten, maschinenlesbaren Format. Ab Dezember gilt dies auch unabhängig von einer akuten Gefahr.
• Legacy Produkte inbegriffen: Diese Meldepflicht stellt eine explizite Ausnahme von der generellen CRA-Übergangsfrist (die bis 2027 läuft) dar. Sie gilt für alle betroffenen Produkte, auch wenn diese bereits vor dem 11. Dezember 2027 in Verkehr gebracht wurden. Das Reporting muss also ab September 2026 auch für die bereits am Markt befindlichen Altprodukte gewährleistet werden.

Risikoklassen ab 2027: Wer muss zum externen Auditor?

Während das Schwachstellenmanagement ab 2026 alle betrifft, entscheidet Anhang III der Verordnung ab Ende 2027 über die Art der Produktprüfung:

• Klasse I (Wichtige Produkte): Passwort-Manager, Browser, Betriebssysteme, Router, Smart-Home-Sicherheitssysteme oder am Körper tragbare Gesundheitsmonitore. Hier reicht eine interne Kontrolle (Modul A) nur dann, wenn harmonisierte Normen strikt angewendet werden.
• Klasse II (Kritische Produkte): Firewalls, Intrusion-Detection- und Prevention-Systeme oder manipulationssichere Mikroprozessoren. Diese Produkte müssen zwingend durch eine unabhängige, notifizierte Stelle (z. B. via Modul B/C oder Modul H) zertifiziert werden (Artikel 32 Absatz 3).

Umsatzstrafen drohen: Wer die grundlegenden Sicherheitsanforderungen oder Meldepflichten verletzt, riskiert Bussgelder von bis zu 15 Millionen Euro oder 2.5 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (Artikel 64).

Compliance als Wettbewerbsvorteil nutzen

Auch wenn der Druck hoch ist: Unternehmen, die den CRA nicht nur als lästige Pflicht, sondern als strategische Chance verstehen, sichern sich einen echten Vorsprung. Wer seine Hausaufgaben frühzeitig erledigt, schützt sich nicht nur vor Reputationsschäden und Systemausfällen, sondern hält das «Ticket» für den europäischen Binnenmarkt in den Händen – ein unschätzbarer Vertrauensbeweis für Ihre Kunden.

Was Sie jetzt tun sollten, um für September 2026 bereit zu sein

1. Produkt-Screening: Identifizieren Sie, welche Produkte unter den CRA fallen und in welche Klasse sie ab 2027 eingestuft werden.
2. Meldewege aufbauen: Richten Sie die internen Prozesse so ein, dass Ihr Team ab September 2026 innerhalb von 24 Stunden rechtssicher reporten kann.
3. Schwachstellenmanagement etablieren: Nur wer Kenntnisse über bekannte Schwachstellen und Exploits hat, ist in der Lage, zu erkennen, ob sein Produkt betroffen ist oder nicht.
4. Dokumentation vorbereiten: Stellen Sie sicher, dass Sicherheitsanleitungen für Kunden und Behörden maschinenlesbar und abrufbereit sind.

Was Sie ein Jahr später im Dezember 2027 bereit haben sollten

Cyberresilienz-Verordnung Teil 2:

1. Erstellung einer Software-Stückliste in einem gängigen maschinenlesbaren Format, aus der zumindest die obersten Abhängigkeiten der Produkte hervorgehen.
2. Die Sicherheit Ihrer betroffenen Produkte mit digitalen Elementen muss regelmässig und wirksam getestet und überprüft werden.
3. Die Installation eines Schwachstellenmanagements zur systematischen Überprüfung, Bewertung und wirksamen Behandlung von Schwachstellen, unter anderem durch Bereitstellung von Sicherheitsaktualisierungen.
4. Erstellung und Umsetzung einer Strategie für die koordinierte Offenlegung von Schwachstellen (responsible disclosure).

Die Uhr tickt. Ob mit Penetration Tests oder der Entwicklung relevanter interner Vorgaben und Prozesse: Wir unterstützen Sie dabei, Ihre Prozesse und Produkte rechtzeitig CRA-konform aufzustellen – pragmatisch, sicher und zukunftsorientiert.

Nehmen Sie mit uns Kontakt auf. Weitere Informationen zu unseren Services im Bereich der OT-Security finden Sie hier.

---

Quellen:

• https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:L_202402847
• https://en.bbv.ch/insights/blog/cyber-resilience-act-what-manufacturers-need-to-bear-in-mind-from-september-2026/
• https://www.teichmann-law.ch/publikationen/2025-Cybersicherheit-als-Produkteigentschaft.html