Wo Unternehmen beim CRA ins Stocken geraten
Viele Unternehmen setzen zunächst am falschen Punkt an und prüfen vor allem, ob sie überhaupt vom CRA betroffen sind. Für Hersteller digitaler Produkte ist jedoch entscheidender, an welchen Stellen Transparenz fehlt, Nachweise unvollständig sind oder belastbare Sicherheitsprozesse fehlen. Genau daraus entsteht Risiko. Denn der CRA fordert nicht nur sichere Produkte, sondern auch ein geregeltes Schwachstellenmanagement, verlässliche Updates, eine technische Dokumentation sowie klare Informationen für Nutzer. Diese Anforderungen begleiten den gesamten Produktlebenszyklus.
Die grössten Hürden sind meist hausgemacht
In der Praxis scheitert CRA-Readiness selten an einem einzelnen Security-Problem. Häufiger fehlen ein vollständiger Überblick über Software-Komponenten, klare Zuständigkeiten zwischen Produktmanagement, Engineering und Security, sowie belastbare Abläufe für Tests, Meldungen und Korrekturen. Dazu kommt die Lieferkette: Die Gewährleistung der Einhaltung von Sicherheitsanforderungen durch Dritte ist die grösste Herausforderung bei der wirksamen Umsetzung von Cyber-Regulatorien. Laut World Economic Forum halten mehr als 69% der Organisationen die Vorschriften in diesem Bereich für zu komplex und sehen eine unzureichende Transparenz über Cyber-Schwachstellen in ihrer Supply Chain. ENISA ordnet Supply-Chain-Angriffe seit Jahren als zentrale Bedrohung ein.
Warum Abwarten teuer wird
Der CRA ist bereits in Kraft. Die Meldepflichten greifen ab 11. September 2026, die wesentlichen Pflichten ab 11. Dezember 2027. Wer zu spät beginnt, muss Security unter Zeitdruck nachrüsten – mit Reibung in Roadmaps, höherem Abstimmungsaufwand und Verzögerungen im Marktzugang. Gleichzeitig steigen die wirtschaftlichen Folgen realer Vorfälle: IBM beziffert die durchschnittlichen Kosten einer Datenpanne 2025 weltweit auf 4,44 Mio. US-Dollar, in Deutschland auf 3,48 Mio. Euro.
Was jetzt zählt: Strukturierte Umsetzung statt Aktionismus
CRA-Readiness beginnt pragmatisch: Betroffene Produkte und Komponenten identifizieren und mit SBOM Technologien inventarisieren, Risiken bewerten, Security Reviews und Tests etablieren und Security by Design im Entwicklungsprozess verankern. Entscheidend ist, daraus kein Parallelprojekt zu machen, sondern eine umsetzbare Linie für Produktentwicklung, Betrieb und Governance.
Vom regulatorischen Druck zum klaren Fahrplan
Noser Engineering verbindet CRA-Verständnis mit technischer Expertise. Nicht nur konzeptionell, sondern in allen relevanten Disziplinen der praktischen Umsetzung – von der Architektur über Embedded- und Softwareentwicklung bis hin zu Testing, DevSecOps, Schwachstellenmanagement und Dokumentation. Für Unternehmen ist das entscheidend: Ein Partner muss nicht nur erklären, was gefordert ist, sondern helfen, Prioritäten zu setzen, Lücken sauber zu schliessen und CRA-konforme Prozesse in den realen Entwicklungsalltag zu integrieren. So wird aus regulatorischem Druck eine belastbare Entscheidungsgrundlage und aus Unsicherheit ein konkreter Fahrplan.
Der Autor
Thomas Stadelmann ist CRA-Experte bei Noser Engineering. Die Noser Engineering AG ist ein Schweizer ICT-Dienstleister für massgeschneiderte Software- und Hardwarelösungen und begleitet Unternehmen bei der Umsetzung komplexer digitaler Vorhaben.
Quellen
• EU-Kommission / Digital Strategy zum CRA. (
Digital Strategy Europe)
• ENISA zu Vulnerability Disclosure und Threat Landscape 2025. (
ENISA)
• IBM Cost of a Data Breach Report 2025. (
IBM)
• World Economic Forum Global Cybersecurity Outlook 2025. (
WEF)
