Swiss Room · Leitfaden 4 von 15
Praxisleitfaden für Schweizer KMU
Was dieser Leitfaden Ihnen gibt
Produktklassen · Secure by Design · SBOM · CVD · CE-Kennzeichnung · Lieferkette
Diese Leitfadenreihe ist aus einer spezifischen Perspektive heraus geschrieben: der einer General Counsel / Senior Vice President, die über viele Jahre in leitender Inhouse-Funktion in regulierten Unternehmen gearbeitet hat – in der Schweiz und in der EU. Die Autorin verfügt über eine juristische und betriebswirtschaftliche Ausbildung in der Schweiz und in Deutschland sowie über langjährige operative Erfahrung als interne Rechts- und Compliance-Verantwortliche in internationalen Konzernen und KMU-Umfeldern.
Diese Kombination – juristische Tiefe, operatives Management-Know-how und direkte Erfahrung mit den Realitäten von Lieferketten, Vertragsverhandlungen und Aufsichtsbehörden – ist der Grund, warum die Texte so geschrieben sind, wie sie sind: nicht als formale Gesetzeskommentare, sondern als Arbeitsinstrumente. Sie richten sich gleichzeitig an Führungskräfte, die schnell einordnen müssen, was eine Regulierung für ihr Unternehmen bedeutet, und an Fachabteilungen, die wissen müssen, was operativ zu tun ist.
Der interdisziplinäre Ansatz ist bewusst: Digitale Regulierung berührt gleichzeitig IT, Recht, Procurement, Geschäftsführung, HR und Lieferkette. Eine Perspektive, die nur eine dieser Dimensionen kennt, liefert unvollständige Antworten. Die Leitfäden versuchen, alle relevanten Dimensionen gleichzeitig zu adressieren – mit dem Bewusstsein, dass in der Praxis selten ein Team allein zuständig ist und die wirklichen Herausforderungen meistens an den Schnittstellen entstehen.
Die Perspektive «Schweizer KMU im EU-Kontext» ist nicht zufällig. Sie spiegelt langjährige Arbeit an der Schnittstelle zwischen Schweizer Geschäftspraxis und europäischem Regulierungsrahmen: die Erfahrung, was es konkret bedeutet, wenn ein EU-Kundenvertrag plötzlich DORA-Klauseln enthält, wenn ein Procurement-Fragebogen AI-Act-Anforderungen stellt oder wenn ein Lieferant keine NIS2-konformen Sicherheitsnachweise liefern kann. Diese Leitfäden sind aus genau diesen Situationen heraus entstanden – nicht aus dem Lesen von Gesetzestexten, sondern aus der Erfahrung ihrer Auswirkungen.
Der Cyber Resilience Act (CRA, verabschiedet 2024, verpflichtend ab Dezember 2027) ist das erste umfassende EU-Gesetz, das Sicherheitsanforderungen direkt an digitale Produkte knüpft – nicht an deren Betreiber. Das ist ein Paradigmenwechsel.
Bisher galt: Wer unsichere Software einsetzt, trägt die Konsequenzen. Ab 2027 gilt: Wer unsichere Software in Verkehr bringt, haftet dafür. Für Schweizer Softwareunternehmen, IoT-Hersteller und alle, die digitale Produkte in der EU verkaufen, ist das eine fundamentale Verschiebung.
Der CRA teilt Produkte in drei Klassen ein. Die Klasse bestimmt den Aufwand für Konformitätsbewertung und CE-Kennzeichnung. Das Erste, was Sie tun müssen: Jedes Ihrer digitalen Produkte klassifizieren.
| Klasse | Beschreibung | Typische Beispiele | Konformitätsbewertung |
|---|---|---|---|
| Standard | Alle digitalen Produkte, die nicht in Klasse I oder II fallen | Business-Software, Apps, einfache IoT-Geräte, Wearables, smarte Haushaltsgeräte | Selbstbewertung (Hersteller erklärt Konformität) |
| Klasse I | Produkte mit höherem Sicherheitsrisiko; explizit in CRA-Annex III gelistet | Passwortmanager, Entwicklerwerkzeuge, Netzwerkkonfigurations-Tools, Firewalls für Privatanwender, SOHO-Router, Betriebssysteme | Selbstbewertung ODER harmonisierter Standard ODER Drittpartei-Prüfung |
| Klasse II | Kritische Produkte in sensitiven Bereichen; in CRA-Annex IV gelistet | Firewalls für Unternehmen, Intrusion Detection, PKI/Zertifikatsstellen, Hardware-Sicherheitsmodule (HSM), industrielle Steuerungssysteme | Zwingend Drittpartei-Zertifizierung durch akkreditierte Stelle |
Der CRA-Anwendungsbereich ist weit gefasst. Folgendes fällt unter den CRA:
Software als eigenständiges Produkt: SaaS (wenn auf Kundeninfrastruktur installiert), Desktop-Apps, Mobile Apps, Firmware.
Hardware mit Software: IoT-Geräte, Netzwerkausrüstung, Industriemaschinen mit Steuerungssoftware, Wearables.
Software in anderen Produkten: Betriebssysteme, Middleware, Bibliotheken, die in Endprodukte integriert werden.
Folgendes fällt nicht unter den CRA:
Software as a Service (SaaS), die vollständig remote betrieben wird und nicht auf Kundensystemen installiert wird
Open-Source-Software, die nicht kommerziell vertrieben wird
Produkte, die ausschließlich für nationale Sicherheit oder Militär entwickelt werden
Als Hersteller tragen Sie die vollständige Verantwortung für die CRA-Konformität Ihres Produkts – unabhängig davon, wo es hergestellt wurde.
| Pflicht | Was das konkret bedeutet |
|---|---|
| Secure by Design | Sicherheit muss von Anfang an im Entwicklungsprozess verankert sein – nicht nachgerüstet |
| Vulnerability Management | CVD-Prozess, Patch-Pflicht für gesamte erwartete Produktlebensdauer |
| Sicherheitsupdates | Kostenlose Sicherheitsupdates für mind. 5 Jahre (oder Produktlebensdauer falls kürzer) |
| SBOM | Software Bill of Materials: vollständige Liste aller Komponenten und Abhängigkeiten |
| Technische Dokumentation | Bedrohungsmodell, Sicherheitskontrollen, Testberichte, Schnittstellen |
| ENISA-Meldung | Aktiv ausgenutzte Schwachstellen innerhalb 24h an ENISA und nationale CSIRT melden |
| CE-Kennzeichnung | Konformitätserklärung und CE vor Markteintritt |
| Koordination mit Importeuren | Informationspflichten gegenüber Importeuren und Händlern |
Ein Schweizer Unternehmen, das digitale Produkte aus einem Drittstaat in die EU einführt, gilt als Importeur und trägt eigene CRA-Pflichten:
Sicherstellen, dass der Hersteller die CRA-Anforderungen erfüllt hat
Keine Produkte in Verkehr bringen, die den CRA-Anforderungen offensichtlich nicht entsprechen
Kontaktdaten auf dem Produkt oder in der Dokumentation angeben
Konformitätsdokumentation für 10 Jahre aufbewahren
Das klassische Integratoren-Problem: Ein Schweizer IT-Unternehmen integriert mehrere digitale Komponenten verschiedener Hersteller zu einer Gesamtlösung und verkauft diese unter eigenem Namen. Wer ist dann Hersteller im Sinne des CRA?
| Sie gelten als Hersteller wenn... | Sie gelten NICHT als Hersteller wenn... |
|---|---|
| Sie das Produkt unter eigenem Namen verkaufen | Sie das Produkt unverändert als Reseller weiterverkaufen |
| Sie wesentliche Sicherheitsentscheidungen treffen (z.B. Konfiguration, Authentifizierung) | Sie nur Dokumentations- und Vertriebsaufgaben übernehmen |
| Sie Open-Source-Komponenten in ein Eigenprodukt integrieren | Sie Open-Source-Software ohne Modifikation weitervertreiben |
| Sie fremde Komponenten wesentlich modifizieren | Sie Standard-Konfigurationen für Kunden einrichten |
'Secure by Design' ist der zentrale Begriff des CRA. Er bedeutet nicht, dass Ihr Produkt unhackbar ist – das ist unmöglich. Er bedeutet, dass Sicherheit systematisch und nachweisbar in den Entwicklungsprozess integriert ist.
| SDLC-Phase | CRA-Anforderung | Nachweis |
|---|---|---|
| Requirements | Sicherheitsanforderungen explizit definieren | Security Requirements Document |
| Design | Bedrohungsmodell (Threat Model) erstellen | Threat Model Document (z.B. STRIDE-basiert) |
| Development | Secure Coding Practices; Code Reviews | Code Review Protokolle; Static Analysis Berichte |
| Testing | Sicherheitstests, Penetrationstests | Penetrationstest-Berichte; SAST/DAST-Ergebnisse |
| Deployment | Sichere Standardkonfigurationen; keine unnötigen Dienste aktiv | Konfigurationsstandards |
| Maintenance | Vulnerability Monitoring; Patch-Prozess; EOL-Planung | Patch-Policy; CVE-Monitoring-Protokolle |
Ein Bedrohungsmodell ist das Dokument, das beweist, dass Sie die Sicherheitsrisiken Ihres Produkts systematisch analysiert haben. Es ist die Grundlage für alle anderen Sicherheitsmaßnahmen – und das Erste, was ein Auditor sehen will.
Was es enthält: Beschreibung des Systems, identifizierte Angreifer und ihre Ziele, mögliche Angriffsvektoren, bewertete Risiken, implementierte Gegenmaßnahmen.
Methodik: STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) ist der Standard – einfach, dokumentierbar, anerkannt.
Aktualität: Bei jeder wesentlichen Produktänderung aktualisieren. Ein veraltetes Bedrohungsmodell ist schlimmer als keines.
Die Software Bill of Materials (SBOM) ist eine vollständige, maschinenlesbare Liste aller Komponenten, Bibliotheken und Abhängigkeiten Ihres Produkts. Sie ist unter dem CRA Pflicht für alle Hersteller.
Jede Komponente: Name, Version, Lizenz, Herkunft
Abhängigkeiten: Direkte und transitive Abhängigkeiten (Bibliotheken, die Ihre Bibliotheken verwenden)
Bekannte Schwachstellen: Mapping zu CVEs für jede Komponente
Herkunft: Woher kommt die Komponente? (SCM, Package Registry, Direct Download)
| Tool | Was es kann | Wann einsetzen |
|---|---|---|
| Syft (Anchore) | SBOM-Generierung aus Container-Images und Dateisystemen; alle Formate | CI/CD-Integration; Container-basierte Produkte |
| SBOM Tool (Microsoft) | SBOM-Generierung; gut für .NET und Windows-Ökosystem | Windows-Software, .NET-Produkte |
| CycloneDX (OWASP) | Standard-Format; umfangreiches Ökosystem | Wenn Kunden/Regulatoren ein spezifisches Format verlangen |
| SPDX | SBOM-Standard der Linux Foundation; ISO-zertifiziert | Enterprise-Umgebungen; wenn ISO-Konformität wichtig |
| Trivy | Vulnerability Scanner + SBOM; kombiniertes Tool | Vulnerability-Scanning und SBOM in einem Schritt |
Der CRA verlangt, dass Hersteller einen koordinierten Schwachstellen-Offenlegungsprozess (Coordinated Vulnerability Disclosure, CVD) etablieren. Das bedeutet: Security-Forscher und Kunden müssen Schwachstellen einfach und sicher melden können.
Öffentlicher Meldekanal: Eine E-Mail-Adresse (security@ihredomain.ch), ein Webformular oder ein Bug-Bounty-Programm.
Reaktionsfrist: Eingangsbestätigung innerhalb 24h; erste Bewertung innerhalb 72h.
Koordination: Abstimmung mit Melder über Offenlegungszeitpunkt – typischerweise 90 Tage nach Meldung.
ENISA-Meldung: Aktiv ausgenutzte Schwachstellen müssen innerhalb 24h an ENISA und das nationale CSIRT gemeldet werden.
CVE-Beantragung: Für bestätigte Schwachstellen eine CVE-Nummer beantragen.
Update-Deployment: Sicherheitspatches innerhalb der definierten Fristen bereitstellen.
Der CRA wirkt nicht nur auf Endprodukte – er wirkt durch die gesamte Software-Lieferkette. Das hat Konsequenzen in beide Richtungen: als Lieferant und als Abnehmer.
Wenn Ihre Software oder Ihre Komponenten in die Produkte anderer Hersteller einfließen, werden diese Hersteller CRA-Konformitätsnachweise von Ihnen verlangen:
SBOM: Vollständige Komponentenliste Ihrer Lieferung.
Vulnerability-Disclosure-Prozess: Nachweis, dass Sie bekannte Schwachstellen kommunizieren.
Patch-Verfügbarkeit: Sicherheitspatches müssen verfügbar und bereitgestellt werden.
Dokumentation: Bedrohungsmodell und Sicherheitskontrollen für Ihre Komponente.
Sie sind als Hersteller verantwortlich für alle Komponenten in Ihrem Produkt – auch für zugekaufte oder Open-Source-Komponenten:
Komponentenbewertung: Vor Integration prüfen, ob die Komponente bekannte Schwachstellen hat.
Herkunftsprüfung: Woher stammt die Komponente? Gibt es einen aktiven Maintainer? Wird sie gepatcht?
Abhängigkeits-Monitoring: Laufendes CVE-Monitoring für alle integrierten Komponenten.
Open Source: Open-Source-Komponenten ohne aktiven Maintainer sind ein erhöhtes Risiko. Alternativen evaluieren oder selbst maintainen.
'Wir fangen 2026 an.' Zu spät. Secure by Design bedeutet, dass Sicherheit im nächsten Release-Zyklus bereits eingebaut sein muss. Ein bestehendes Produkt auf CRA-Konformität nachzurüsten dauert 12–24 Monate – besonders das Bedrohungsmodell, die SBOM-Infrastruktur und der CVD-Prozess.
'Wir verwenden Open-Source-Bibliotheken – die sind nicht unser Problem.' Das stimmt nicht. Als Hersteller tragen Sie die Verantwortung für alle Komponenten in Ihrem Produkt, egal ob selbst entwickelt oder zugekauft. Wenn eine Open-Source-Bibliothek eine kritische CVE enthält und Sie keinen Patch bereitstellen, verstoßen Sie gegen den CRA.
Der CRA verpflichtet Hersteller zu Sicherheitsupdates für die gesamte erwartete Produktlebensdauer, mindestens aber 5 Jahre. Für IoT-Produkte, die 10 oder 15 Jahre im Einsatz sind, bedeutet das erheblichen langfristigen Aufwand – und muss bei der Produktkalkulation berücksichtigt werden.
Viele KMU planen ihre CRA-Umsetzung auf den vollständigen Anwendungstermin (Dezember 2027). Aber die ENISA-Meldepflicht für aktiv ausgenutzte Schwachstellen gilt bereits ab September 2026. Wer dann keinen Meldeprozess hat, verletzt bereits eine CRA-Pflicht.
| Prio | Maßnahme | Warum jetzt |
|---|---|---|
| 1 | Produktinventar: Welche Produkte fallen unter den CRA? Welche Klasse? | Grundlage für alle weiteren Maßnahmen. Klassenbestimmung entscheidet über Konformitätsaufwand. |
| 2 | SBOM-Generierung automatisieren | Kunden verlangen SBOMs bereits jetzt. Tool-Integration in CI/CD ist der richtige Zeitpunkt. |
| 3 | CVD-Policy veröffentlichen und ENISA-Meldeprozess vorbereiten | ENISA-Meldepflicht gilt ab September 2026. Frühzeitig bereit sein. |
| 4 | Bedrohungsmodell für Top-3-Produkte erstellen | Fundament für Secure by Design. Aufwand: 4–8h pro Produkt mit erfahrenem Security-Architekten. |
| 5 | Dependency-Scanning in Entwicklungspipeline integrieren | Automatische CVE-Erkennung in verwendeten Komponenten. Verhindert 'Open-Source-Falle'. |
| 6 | Produktlebensdauer und Update-Verpflichtungen kalkulieren | 5-Jahres-Update-Pflicht beeinflusst Produktkalkulation und Support-Modell. |
| NBK Legal Rechts- und Compliance-Beratung EU-Digitalregulierung · Datenschutz · Cybersicherheit Schweiz · EU | Website www.nbklegal.online Alle Leitfäden der Serie www.nbklegal.online/leitfäden |
|---|