DE | EN

Blogeintrag

26 Nov 2025

Cyber Resilience Act: Was jetzt auf deine OT-Umgebung zurollt

Der CRA (Cyber Resilience Act) verändert den Umgang mit vernetzten Produkten grundlegend. Seit dem 10. Dezember 2024 ist die Verordnung in Kraft, und ab 2026 greifen die ersten verpflichtenden Anforderungen. Betroffen sind praktisch alle Produkte mit digitalen Elementen – also auch OT-Sensoren, Gateways, Steuerungsmodule, Edge Devices, Firmware sowie Cloud-Backends. 

Damit definiert der CRA einen verbindlichen Standard für Security über den gesamten Produktlebenszyklus hinweg: von der Entwicklung über Updates bis zum Ende der Nutzungsdauer.

ALSEC gibt dir einen klaren Überblick, was der CRA für den Schweizer Markt bedeutet: Obwohl die Schweiz nicht EU-Mitglied ist, wirken die Anforderungen direkt in unsere Industrie hinein – über Lieferketten, Exportbeziehungen und die Beschaffung von OT-Equipment. Für Hersteller erhöht sich der Druck, CRA-konforme Produkte zu liefern, damit ihre Komponenten in der EU überhaupt zugelassen werden. Und Betreiber müssen künftig sicherstellen, dass ihre OT-Landschaften nur noch Produkte einsetzen, die den neuen Security- und Update-Pflichten entsprechen.

Für Hersteller 


Der CRA trifft Hersteller, egal ob sie innerhalb der EU sitzen oder nicht. Entscheidend ist nicht der Produktionsort, sondern ob dein Produkt auf den EU-Markt kommt oder ob du Komponenten baust, die wiederum in EU-Produkten verbaut werden.

Wenn du in der Schweiz produzierst und an die EU lieferst:

  • • Du unterliegst im CRA vollständig den Pflichten und Verantwortlichkeiten eines Herstellers
  • Im Speziellen Secure Development, Vulnerability Management, technische Dokumentation und CE-Konformität.
  • Deine Produkte dürfen ab Ende 2027 ohne CRA-konforme CE-Kennzeichnung nicht mehr in der EU in Verkehr gebracht werden.
  • Zudem musst du ein Incident- und Schwachstellenmeldeverfahren einrichten (inkl. 24h-Meldungen an EU-Stellen durch deinen EU-Bevollmächtigten).
 

Wenn du ausserhalb der EU für die Schweiz produzierst, wenn du Komponenten ausserhalb der EU kaufst und dein Produkt wird in die EU exportiert:

  • Auch dann betrifft dich der CRA, denn alle deine Komponenten müssen CRA-konform sein.
  • Du musst also dieselben Security-by-Design-, Dokumentations- und Update-Prozesse etablieren.
  • Praktisch bedeutet das: fordere eine CRA-Dokumentation und Nachweise.
 

Wenn du nur den Schweizer Markt beliefert:

  • Formal bist du nicht CRA-pflichtig.
  • Aber der Markt wird CRA-konforme Produkte verlangen, weil viele Schweizer Betreiber NIS2-relevant sind – und CRA-Konformität als Qualitäts- und Sicherheitsmerkmal einfordern werden.
  • Hersteller, die nicht nach CRA arbeiten, verlieren mittelfristig Wettbewerbsfähigkeit.
Kurz: Der CRA gilt für dich, sobald deine Produkte – direkt oder indirekt – in der EU landen oder in EU-Lieferketten integriert werden.

Pflicht zum Vulnerability- & Incident-Management – kurz & klar


Der CRA verpflichtet Hersteller zu einem nachvollziehbaren Prozess für Risiken, Schwachstellen und Incidents – vor und nach der Markteinführung. 


Vor Markteinführung

Hersteller müssen:

  • Risiken systematisch analysieren (Bedrohungen, Angriffspfade, Safety-Abhängigkeiten)
  • Security-Massnahmen definieren & dokumentieren (Hardening, Zugriffskontrolle, Logging)
  • Security-Tests durchführen (Code-Reviews, Pen-Tests, SBOM erstellen)
  • Nachweise für CE/CRA vorbereiten (Risikoanalyse, Testergebnisse)
 
Nach Markteinführung


Sie brauchen einen funktionierenden Prozess für:

  • Schwachstellenannahme (klarer Kontaktpunkt, Disclosure Policy)
  • Bewertung & Priorisierung (z.B. CVSS, Exploitability)
  • Bereitstellung von Updates (Patches, Firmware, Cloud-Fixes)
  • Transparente Kommunikation (Advisories, Workarounds)
 

Bei kritischen Vorfällen

Pflichten bei aktiv ausgenutzten Schwachstellen:

  • Meldung innerhalb von 24h an EU-Stellen
  • Erstinformation an Kunden (Impact, Sofortmassnahmen)
  • Schnelle Gegenmassnahmen (Hotfix, Workaround)
  • Nachlieferung finaler Patches
 

Aus Sicht eines Schweizer CISOs


Auch wenn der CRA in der Schweiz nicht gesetzlich gilt, betrifft er dich als CISO direkt über die Lieferkette: Die meisten deiner OT-Produkte stammen von Herstellern, die für den EU-Markt produzieren und deshalb CRA-konforme Security-, Update- und Dokumentationspflichten erfüllen müssen. 

Du kannst diese Anforderungen eins zu eins auch in der Schweiz einfordern – insbesondere technische Dokumentation, SBOMs, klare Vulnerability-Prozesse und CE-Konformität nach CRA. 

Dadurch profitierst du von höherer Produktqualität, besserer Transparenz, verlässlichen Updates und einer deutlich stärkeren Position gegenüber Lieferanten, ohne dass es eine eigene Schweizer CRA-Pflicht braucht.


Was du über den CRA wissen musst – die wichtigsten Punkte kompakt


1. Scope: Alles, was vernetzt ist, ist grundsätzlich drin

Aus OT-Sicht betroffen:

  • Industrial IoT Devices
  • Edge Gateways
  • Netzwerkfähige Steuerungen & Module
  • Firmware & Software
  • Cloud- und Remote-Services
Ausnahmen: Nur bereits stark regulierte Bereiche (z.B. Automotive, Medical).


2. Security by Design & Default wird Pflicht

Hersteller müssen:

  • sichere Standardkonfigurationen liefern
  • Angriffsflächen minimieren
  • unerlaubten Zugriff verhindern
  • sicherheitsrelevante Aktivitäten überwachen
  • Security-Updates liefern
  • einen dokumentierten Vulnerability-Handling-Prozess haben
 

Was du jetzt tun kannst – differenziert nach Zielgruppe


Für Hersteller (Schweiz & EU-Export)

  1. Portfolio-Analyse starten
    Welche deiner Produkte fallen unter den CRA? (Spoiler: fast alle digitalen.)
  2. Security-by-Design-Prozesse verbindlich machen
    Entwicklung, Anforderungen, Tests, Dokumentation – alles muss nachweisbar werden.
  3. CE-Konformitätsprozess für CRA vorbereiten
    Technische Dokumentation, Software Bill of Materials (SBOM), Risikoanalysen, Standards.
  4. Vulnerability-Management etablieren
    Intake, Bewertung, Behebung, Publishing, 24-Stunden-Meldungen – klar definiert.
  5. EU-Bevollmächtigten organisieren
    Pflicht für Hersteller ausserhalb der EU, die in die EU liefern.[MT1] 
 

Für CISOs, OT-Leiter und Einkäufer (Betreiber)

  1. OT-Produktlandschaft sichten und klassifizieren
    Welche Komponenten haben „digitale Elemente“? Welche Cloud-Abhängigkeiten gibt es?
  2. Lieferanten nach CRA-Fähigkeit prüfen
    Wer hat Prozesse? Wer hat Dokumentation? Wer liefert künftig CE konform?
  3. Beschaffungsrichtlinien aktualisieren
    CRA-Konformität als Pflichtkriterium für neue OT-Produkte und Services definieren.
  4. Test- & Update-Fähigkeit in OT-Umgebungen sicherstellen
    Netzwerkdesign, Wartungsfenster, sichere Update-Pipelines, Rollback-Szenarien.
  5. Vulnerability-Informationen in SOC/OT-Security integrieren
    CRA sorgt für mehr Transparenz – aber du musst sie operationalisieren.
 

CTA – Lass uns deine CRA-Fitness prüfen


Wir bei ALSEC unterstützen Hersteller und Betreiber dabei, OT-Security pragmatisch und regulatorisch robust aufzubauen.

CRA-Check für Hersteller

  • Deckt dein Entwicklungsprozess die CRA-Pflichten ab?
  • Wo brauchst du Dokumentation, Prozesse, Nachweise?
 

CRA-Check für Betreiber / CISOs

  • Wie CRA-konform ist deine Lieferkette?
  • Welche OT-Komponenten brauchen zusätzliche Controls?

Neuste Posts

Was wir vom SOTSS KickOff gelernt haben:

  • 15 May 2026

BLICK HINTER DIE ALSEC KULISSEN - HEUTE: TIMOTHEOS STAUFFIGER

  • 17 Oct 2025

BLICK HINTER DIE ALSEC KULISSEN - HEUTE: PERE DALIC

  • 26 Aug 2025

Auch 2025 unterstützt ALSEC den PluSport (Behindertensport Schweiz)

  • 17 Feb 2025

Cyber-Resilienz in der Schweizer Energiebranche: Warum klare Prozesse und Verantwortlichkeiten der Schlüssel zur IKT-Sicherheit sind

  • 05 Dec 2024

BLICK HINTER DIE ALSEC KULISSEN - HEUTE: TIBOR KÜLKEY

  • 27 Jun 2024

Holen Sie sich unser neuestes Whitepaper

Back to analog für Business Continuity

Gerade in industriellen Umgebungen von kritischen Infrastrukturen ist ein Betrieb mit hoher Verfügbarkeit, möglichst ohne jede Unterbrechung der Produktionsprozesse, absolut unabdingbar. Das Thema Business Continuity Management (BCM) spielt im Kontext der Security in diesem Bereich eine besonders grosse Rolle. Wenn ein Cyberangriff erfolgt und dadurch Infrastruktur lahmgelegt wird, müssen möglichst typengleiche Systeme (Hardware) als Ersatzsysteme mit kompatibler Software (Firmware, Betriebssystem) unmittelbar bereitstehen, damit Backups zurückgespielt und Systeme wiederhergestellt werden können. Bis dies erfolgt ist, müssen zudem Ersatzprozesse möglichst sofort in Kraft treten.

Jetzt herunterladen