Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

Cybersicherheitslücke Schweiz verhindern. Wann übernimmt die Schweiz den Cyber Resilience Act der EU?

ShortId

25.3352

Id

20253352

Updated

14.05.2025 16:47

Language

de

Title

Cybersicherheitslücke Schweiz verhindern. Wann übernimmt die Schweiz den Cyber Resilience Act der EU?

AdditionalIndexing

09;34;10

1

PriorityCouncil1

Nationalrat

Texts

• <p>1. Das wichtigste Ziel der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen («Cyber Resilience Act», CRA) ist die Verbesserung der Cybersicherheit von Produkten mit digitalen Elementen und damit eine Reduktion der Anzahl und der Kosten von Cybervorfällen, indem die Hersteller während der gesamten Lebensdauer ihrer Produkte, oder längstens während fünf Jahren, verpflichtet sind, Schwachstellen zu identifizieren, zu beheben und rechtzeitig Sicherheitsaktualisierungen bereitzustellen. Der CRA führt zu einer Harmonisierung der Sicherheitsvorschriften für Produkte mit digitalen Elementen und fördert die Transparenz für Konsumentinnen und Konsumenten. Zudem soll das Gesetz dazu beitragen, die Reputation der europäischen Hersteller von Produkten mit digitalen Elementen auf dem globalen Markt zu fördern, indem europäische Produkte als sicherer gelten als jene der Konkurrenz.</p><p>&nbsp;</p><p>2. Wenn die Schweiz den CRA nicht übernimmt, ist nicht unmittelbar mit einer Beeinträchtigung der Cybersicherheit zu rechnen. Ein Grossteil der in der Schweiz vertriebenen Produkte werden auch im europäischen Markt verkauft und müssen damit die Anforderungen des CRA erfüllen. Für die Cybersicherheit der Schweiz bleibt es aber mittel- bis langfristig wichtig, dass der Vertrieb von Produkten mit ungenügender Cybersicherheit unterbunden werden kann. Heute ist dies zum Beispiel bei drahtlosen Geräten mit Internetverbindung («Internet of Things») dank der Verordnung des Bundesamts für Kommunikation über Fernmeldeanlagen (VFAV; SR 784.101.21) möglich, welche über Artikel 7 der Verordnung über Fernmeldeanlagen (FAV; SR 784.101.2) auf die Anforderungen der Delegierten Verordnung (EU) 2022/30 zur Ergänzung der EU-Funkanlagenrichtlinie 2014/53/EU verweist. Die EU-Kommission beabsichtigt, diesen Rechtsakt bei der Umsetzung des CRA anzupassen oder aufzuheben. Wird dies so umgesetzt, wird die Schweiz sich entscheiden müssen, wie die VFAV angepasst werden soll, um sicherzustellen, dass die Cybersicherheit der Schweiz nicht durch den Vertrieb unsicherer Produkte gefährdet wird. &nbsp;</p><p>&nbsp;</p><p>3. Alle Schweizer Unternehmen, die Produkte mit digitalen Elementen in die EU exportieren wollen, werden verpflichtet sein, die Anforderungen des EU-Rechts zu erfüllen. Beim Import von Schweizer Produkten in die EU müssen Importeure ab Dezember 2027 ihre Kontaktdaten auf dem Produkt oder in den beigefügten Unterlagen angeben. In der Standardkategorie, d. h. bei ca. 90% der Produkte mit digitalen Elementen (Produkte des Privatkonsums, die mit Netzwerken oder anderen Geräten kommunizieren können), müssen die Hersteller die Cybersicherheit zusätzlich mittels Selbstbewertung beurteilen. Handelt es sich um die ca. 10% der Produkte, welche gemäss CRA als «wichtig» oder «kritisch» klassifiziert sind, müssen sie ihre Produkte von einer EU-Konformitätsbewertungsstelle nach EU-Recht prüfen lassen. Dies liegt in der Verantwortung der Unternehmen. Eine Unterstützung durch den Bund ist nicht geplant.</p><p>Im Falle einer gleichwertigen Gesetzgebung in der Schweiz könnten technische Handelshemmnisse wie die Pflicht zur Angabe von Kontaktdaten mittels einer Vereinbarung mit der EU vermieden werden (z. B. durch eine Aktualisierung des Abkommens zwischen der Schweiz und der EU über die gegenseitige Anerkennung von Konformitätsbewertungen, MRA).</p><p>&nbsp;</p><p>4. Das Parlament hat am 4. September 2024 die Motion 24.3810 «Durchführung dringender notwendiger Cybersicherheitsprüfungen» überwiesen. Diese beauftragt den Bundesrat, gesetzliche Grundlagen für Cybersicherheitsprüfungen zu schaffen. Der Bundesrat wird sich im Rahmen dieser Arbeiten auch der Frage zum Umgang der Schweiz mit dem CRA widmen.</p>
• <p>Mit dem&nbsp;Cyber Resilience Act (CRA) der EU wird die Cybersicherheit von Konsument/innen und Unternehmen verbessert, indem die Cybersicherheitsstandards für Produkte, die eine digitale Komponente enthalten, verbessert und Hersteller und Händler verpflichtet werden, die Cybersicherheit während des gesamten Lebenszyklus ihrer Produkte zu gewährleisten. Viele Produkte mit digitalen Komponenten sind heute nicht sicher genug und erhalten oft keine schnellen Sicherheitsupdates. Zudem haben es Käufer/innen derzeit schwer, herauszufinden, welche Produkte wirklich sicher sind und wie sie diese richtig einrichten. Der CRA hilft sicherzustellen, dass die Cybersicherheit bereits ab der Herstellung berücksichtigt werden muss.&nbsp;</p><p>In seiner Antwort auf die Interpellation 23.3719 erklärte der Bundesrat, dass er die Entwicklung des CRA in der EU verfolge, aber vor dessen Inkraftsetzung noch keine Erkenntnisse für die Schweiz abgeleitet werden könnten.&nbsp;Der CRA trat 10. Dezember 2024 trat in Kraft. Die wichtigsten durch das Gesetz eingeführten Verpflichtungen gelten ab dem 11. Dezember 2027.</p><p>In diesem Zusammenhang bitte ich den Bundesrat um die Beantwortung folgender Fragen:</p><ol><li>Welchen Nutzen bringt der CRA zur Verbesserung der Cybersicherheit in Europa?</li><li>Wie gross schätzt er das Risiko bezüglich Cybersicherheitsrisiken für Konsument/innen und Unternehmen in der Schweiz ein, sollte die Schweiz die Verpflichtungen des CRA nicht übernehmen? Welche Auswirkungen hätte dies auf die Cybersicherheit der Schweiz insgesamt?</li><li>Welche Auswirkungen haben die Verpflichtungen des CRA auf Schweizer Exporteure? Welche Unterstützungsmassnahmen plant er für diese? Teilt er die Auffassung, dass diesen Unternehmen eine Äquivalenzanerkennung der EU nützen würde?</li><li>Wann entscheidet er über das weitere Vorgehen bezüglich CRA?</li></ol>
• Cybersicherheitslücke Schweiz verhindern. Wann übernimmt die Schweiz den Cyber Resilience Act der EU?

State

Stellungnahme zum Vorstoss liegt vor

Related Affairs

Drafts

• Index

  0

  Texts

  • <p>1. Das wichtigste Ziel der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen («Cyber Resilience Act», CRA) ist die Verbesserung der Cybersicherheit von Produkten mit digitalen Elementen und damit eine Reduktion der Anzahl und der Kosten von Cybervorfällen, indem die Hersteller während der gesamten Lebensdauer ihrer Produkte, oder längstens während fünf Jahren, verpflichtet sind, Schwachstellen zu identifizieren, zu beheben und rechtzeitig Sicherheitsaktualisierungen bereitzustellen. Der CRA führt zu einer Harmonisierung der Sicherheitsvorschriften für Produkte mit digitalen Elementen und fördert die Transparenz für Konsumentinnen und Konsumenten. Zudem soll das Gesetz dazu beitragen, die Reputation der europäischen Hersteller von Produkten mit digitalen Elementen auf dem globalen Markt zu fördern, indem europäische Produkte als sicherer gelten als jene der Konkurrenz.</p><p>&nbsp;</p><p>2. Wenn die Schweiz den CRA nicht übernimmt, ist nicht unmittelbar mit einer Beeinträchtigung der Cybersicherheit zu rechnen. Ein Grossteil der in der Schweiz vertriebenen Produkte werden auch im europäischen Markt verkauft und müssen damit die Anforderungen des CRA erfüllen. Für die Cybersicherheit der Schweiz bleibt es aber mittel- bis langfristig wichtig, dass der Vertrieb von Produkten mit ungenügender Cybersicherheit unterbunden werden kann. Heute ist dies zum Beispiel bei drahtlosen Geräten mit Internetverbindung («Internet of Things») dank der Verordnung des Bundesamts für Kommunikation über Fernmeldeanlagen (VFAV; SR 784.101.21) möglich, welche über Artikel 7 der Verordnung über Fernmeldeanlagen (FAV; SR 784.101.2) auf die Anforderungen der Delegierten Verordnung (EU) 2022/30 zur Ergänzung der EU-Funkanlagenrichtlinie 2014/53/EU verweist. Die EU-Kommission beabsichtigt, diesen Rechtsakt bei der Umsetzung des CRA anzupassen oder aufzuheben. Wird dies so umgesetzt, wird die Schweiz sich entscheiden müssen, wie die VFAV angepasst werden soll, um sicherzustellen, dass die Cybersicherheit der Schweiz nicht durch den Vertrieb unsicherer Produkte gefährdet wird. &nbsp;</p><p>&nbsp;</p><p>3. Alle Schweizer Unternehmen, die Produkte mit digitalen Elementen in die EU exportieren wollen, werden verpflichtet sein, die Anforderungen des EU-Rechts zu erfüllen. Beim Import von Schweizer Produkten in die EU müssen Importeure ab Dezember 2027 ihre Kontaktdaten auf dem Produkt oder in den beigefügten Unterlagen angeben. In der Standardkategorie, d. h. bei ca. 90% der Produkte mit digitalen Elementen (Produkte des Privatkonsums, die mit Netzwerken oder anderen Geräten kommunizieren können), müssen die Hersteller die Cybersicherheit zusätzlich mittels Selbstbewertung beurteilen. Handelt es sich um die ca. 10% der Produkte, welche gemäss CRA als «wichtig» oder «kritisch» klassifiziert sind, müssen sie ihre Produkte von einer EU-Konformitätsbewertungsstelle nach EU-Recht prüfen lassen. Dies liegt in der Verantwortung der Unternehmen. Eine Unterstützung durch den Bund ist nicht geplant.</p><p>Im Falle einer gleichwertigen Gesetzgebung in der Schweiz könnten technische Handelshemmnisse wie die Pflicht zur Angabe von Kontaktdaten mittels einer Vereinbarung mit der EU vermieden werden (z. B. durch eine Aktualisierung des Abkommens zwischen der Schweiz und der EU über die gegenseitige Anerkennung von Konformitätsbewertungen, MRA).</p><p>&nbsp;</p><p>4. Das Parlament hat am 4. September 2024 die Motion 24.3810 «Durchführung dringender notwendiger Cybersicherheitsprüfungen» überwiesen. Diese beauftragt den Bundesrat, gesetzliche Grundlagen für Cybersicherheitsprüfungen zu schaffen. Der Bundesrat wird sich im Rahmen dieser Arbeiten auch der Frage zum Umgang der Schweiz mit dem CRA widmen.</p>
  • <p>Mit dem&nbsp;Cyber Resilience Act (CRA) der EU wird die Cybersicherheit von Konsument/innen und Unternehmen verbessert, indem die Cybersicherheitsstandards für Produkte, die eine digitale Komponente enthalten, verbessert und Hersteller und Händler verpflichtet werden, die Cybersicherheit während des gesamten Lebenszyklus ihrer Produkte zu gewährleisten. Viele Produkte mit digitalen Komponenten sind heute nicht sicher genug und erhalten oft keine schnellen Sicherheitsupdates. Zudem haben es Käufer/innen derzeit schwer, herauszufinden, welche Produkte wirklich sicher sind und wie sie diese richtig einrichten. Der CRA hilft sicherzustellen, dass die Cybersicherheit bereits ab der Herstellung berücksichtigt werden muss.&nbsp;</p><p>In seiner Antwort auf die Interpellation 23.3719 erklärte der Bundesrat, dass er die Entwicklung des CRA in der EU verfolge, aber vor dessen Inkraftsetzung noch keine Erkenntnisse für die Schweiz abgeleitet werden könnten.&nbsp;Der CRA trat 10. Dezember 2024 trat in Kraft. Die wichtigsten durch das Gesetz eingeführten Verpflichtungen gelten ab dem 11. Dezember 2027.</p><p>In diesem Zusammenhang bitte ich den Bundesrat um die Beantwortung folgender Fragen:</p><ol><li>Welchen Nutzen bringt der CRA zur Verbesserung der Cybersicherheit in Europa?</li><li>Wie gross schätzt er das Risiko bezüglich Cybersicherheitsrisiken für Konsument/innen und Unternehmen in der Schweiz ein, sollte die Schweiz die Verpflichtungen des CRA nicht übernehmen? Welche Auswirkungen hätte dies auf die Cybersicherheit der Schweiz insgesamt?</li><li>Welche Auswirkungen haben die Verpflichtungen des CRA auf Schweizer Exporteure? Welche Unterstützungsmassnahmen plant er für diese? Teilt er die Auffassung, dass diesen Unternehmen eine Äquivalenzanerkennung der EU nützen würde?</li><li>Wann entscheidet er über das weitere Vorgehen bezüglich CRA?</li></ol>
  • Cybersicherheitslücke Schweiz verhindern. Wann übernimmt die Schweiz den Cyber Resilience Act der EU?

Back to List