Bun­des­rat: Cyber­re­si­li­enz von digi­ta­len Pro­duk­ten stärken

DE
DE EN FR

von

am

Branchen

Behörde

Gesetze

Themen

Take-Aways (AI)
  • Der Bun­des­rat erkennt eine erheb­li­che Lücke in der Cyber­re­si­li­enz-Regu­lie­rung digi­ta­ler Pro­duk­te in der Schweiz gegen­über dem EU-Cyber Resi­li­ence Act.
  • Das BACS, BAKOM und SECO sol­len bis Herbst 2026 eine Ver­nehm­las­sungs­vor­la­ge für eine Gesetz­ge­bung zur Cyber­re­si­li­enz erarbeiten.
  • Neue Regeln sol­len Sicher­heits­an­for­de­run­gen, Markt­über­wa­chung und Ver­bo­te unsi­che­rer Impor­te regeln, mit Anpas­sung an den Wirt­schafts­stand­ort Schweiz.

Der Bun­des­rat stellt fest, dass in der Schweiz Vor­ga­ben zur Cyber­re­si­li­enz von digi­ta­len Pro­duk­ten weit­ge­hend feh­len – anders als in der EU mit dem Cyber Resi­li­ence Act (CRA; sie­he hier unse­re auf­be­rei­te­te Ver­si­on), und obwohl

Sicher­heits­lücken in Soft- oder Hard­ware […] ein Ein­falls­tor für Cyber­an­grif­fe [sind]. Fin­den Angrei­fer eine sol­che Lücke, kön­nen sie in kur­zer Zeit in zahl­rei­che Syste­me ein­drin­gen. Da oft­mals vie­le indi­vi­du­el­le Pro­duk­te digi­tal ver­netzt sind, kann dadurch gro­sser phy­si­scher oder wirt­schaft­li­cher Scha­den ent­ste­hen. Bei Pro­duk­ten, wel­che bei kri­ti­schen Infra­struk­tu­ren im Ein­satz ste­hen, kön­nen Schwach­stel­len die natio­na­le Sicher­heit gefähr­den. Obwohl es für die Cyber­si­cher­heit von ent­schei­den­der Bedeu­tung ist, Sicher­heits­lücken zu ver­mei­den oder sie rasch zu schlie­ssen, gibt es in der Schweiz kaum Vor­ga­ben zur Cyber­re­si­li­enz von digi­ta­len Produkten.

Das möch­te der Bun­des­rat ändern. Am 20. August 2025 hat er das Bun­des­amt für Cyber­si­cher­heit (BACS) beauf­tragt, in Zusam­men­ar­beit mit dem Bun­des­amt für Kom­mu­ni­ka­ti­on (BAKOM) und dem Staat­s­e­kre­ta­ri­at für Wirt­schaft (SECO) bis Herbst 2026 eine Ver­nehm­las­sungs­vor­la­ge zur «Schaf­fung einer Gesetz­ge­bung zur Cyber­re­si­li­enz von digi­ta­len Pro­duk­ten» zu erar­bei­ten (Medi­en­mit­tei­lung):

Die neu­en gesetz­li­chen Grund­la­gen sol­len die Vor­schrif­ten zur Cyber­si­cher­heit bei der Ent­wick­lung und dem Inver­kehr­brin­gen von Pro­duk­ten mit digi­ta­len Ele­men­ten fest­le­gen, die Umset­zung der Markt­über­wa­chung die­ser Pro­duk­te defi­nie­ren sowie Grund­la­gen für ein Ver­bot des Imports und Ver­triebs unsi­che­rer Gerä­te schaffen.

und:

Die neu­en gesetz­li­chen Grund­la­gen sol­len die Sicher­heits­an­for­de­run­gen für Pro­duk­te mit digi­ta­len Ele­men­ten erhö­hen und damit den For­de­run­gen der Moti­on «Durch­füh­rung drin­gend not­wen­di­ger Cyber­si­cher­heits­prü­fun­gen» 24.3810 der Sicher­heits­po­li­ti­schen Kom­mis­si­on des Stän­de­rats nachkommen.

Der CRA soll dabei “beach­tet” wer­den, aber die Gesetz­ge­bung soll “auf den Wirt­schafts­stand­ort Schweiz ange­passt” sein, und es soll sicher­ge­stellt wer­den, “dass die admi­ni­stra­ti­ve Bela­stung der Unter­neh­men mög­lichst tief gehal­ten und dass inter­na­tio­nal täti­ge Unter­neh­men aus der Schweiz nicht durch von­ein­an­der abwei­chen­de Vor­ga­ben zusätz­lich bela­stet werden”.