EN
Der Bundesrat hat angekündigt, ein neues Gesetz zur Cyberresilienz digitaler Produkte zu erarbeiten. Damit reagiert die Schweiz auf die zunehmende Bedrohungslage im Cyberraum und die Notwendigkeit, Sicherheitsanforderungen verbindlich zu regeln.
Ziel ist es, ein Rahmenwerk zu schaffen, das nicht nur Konsumentinnen und Konsumenten schützt, sondern auch Unternehmen mehr Orientierung und Sicherheit gibt. Mit diesem Schritt unterstreicht die Politik, dass Cyberresilienz nicht länger ein reines Technologiethema ist, sondern zu einer zentralen Voraussetzung für wirtschaftliche Stabilität und Vertrauen in den digitalen Markt wird.
Hintergrund und politische Ausgangslage
Auslöser ist ein parlamentarischer Auftrag der Sicherheitspolitischen Kommission des Ständerats mit dem Titel „Durchführung dringend notwendiger Cybersicherheitsprüfungen“. Das Parlament hat den Bundesrat damit verpflichtet, ein entsprechendes Gesetz vorzubereiten (Inside-IT). Zuständig für die Erarbeitung sind das VBS, das UVEK und das WBF, die gemeinsam bis Herbst 2026 einen Entwurf für die Vernehmlassung vorlegen sollen.
Wichtige Eckpunkte des geplanten Gesetzes
Die geplante Gesetzesvorlage sieht vor:
- Sicherheitsanforderungen bereits bei Entwicklung und Markteinführung digitaler Produkte,
- eine Marktüberwachung, um unsichere Produkte zu identifizieren,
- die Möglichkeit, unsichere Geräte vom Markt auszuschliessen (Swiss Cybersecurity.net).
Damit orientiert sich die Schweiz stark am Cyber Resilience Act (CRA) der Europäischen Union, der am 11. Dezember 2024 in Kraft getreten ist (EU-Kommission). Ziel ist es, die internationalen Standards aufzunehmen und gleichzeitig den administrativen Aufwand für Unternehmen so gering wie möglich zu halten.
Bedeutung für Governance, Risk und Compliance (GRC)
Für Unternehmen bedeutet dieser Schritt, dass Cyberresilienz künftig integraler Bestandteil ihrer Governance-, Risk- und Compliance-Strategien sein muss.
- Governance: Verantwortlichkeiten und Prozesse für Cybersecurity-Themen müssen klar geregelt werden.
- Risk Management: Risiken in digitalen Produkten und Lieferketten müssen frühzeitig erkannt, bewertet und gesteuert werden.
- Compliance: Neue regulatorische Anforderungen machen eine lückenlose Dokumentation und Nachweisführung erforderlich.
Wie Branchenbeobachter betonen, steigt damit nicht nur der Druck auf Unternehmen, sondern auch die Chance, Vertrauen bei Kunden und Partnern zu gewinnen, wenn sie Cyberresilienz systematisch umsetzen (Inside-IT).
Chancen für Unternehmen
Auch wenn neue Vorgaben zunächst mit zusätzlichem Aufwand verbunden sind, schaffen sie langfristige Vorteile. Wer Cyberresilienz nicht nur als regulatorische Pflicht, sondern als strategische Chance versteht, profitiert auf mehreren Ebenen:
- Vertrauensaufbau bei Kunden und Geschäftspartnern,
- Risikominimierung durch systematische Prozesse,
- Wettbewerbsvorteile durch erhöhte Resilienz und Compliance.
Dashboard des ISMS Moduls der GRC Toolbox von Swiss GRC
Vorbereitung durch integrierte Ansätze
Ein strukturierter Ansatz ist entscheidend:
- Zentrale Register und strukturierte Risikoanalysen schaffen Transparenz,
- integrierte Plattformen ermöglichen die ganzheitliche Steuerung von Cyber-, Risiko- und Compliance-Themen,
- automatisierte Monitoring- und Reporting-Funktionen erleichtern den Nachweis gegenüber Behörden.
Besonders im Bereich Informationssicherheit kann ein Information Security Management System (ISMS) den Unterschied machen. Dieses unterstützt Unternehmen dabei, Sicherheitsanforderungen systematisch umzusetzen, Risiken gezielt zu adressieren und den Nachweis der Konformität effizient zu erbringen. Damit lassen sich die im Gesetz geforderten Sicherheitsstandards nicht nur erfüllen, sondern auch nachhaltig in die Organisation integrieren.
Vorbereitung durch integrierte Ansätze
Mit dem geplanten Gesetz zur Cyberresilienz geht die Schweiz einen wichtigen Schritt, um die digitale Sicherheit zu stärken und sich international zu positionieren. Für Unternehmen bietet dies die Möglichkeit, sich frühzeitig vorzubereiten, Strukturen anzupassen und Cyberresilienz als festen Bestandteil ihrer GRC-Strategie zu etablieren. Damit wird aus einer regulatorischen Pflicht eine Chance für nachhaltige Sicherheit und Vertrauen.
Möchten Sie erfahren, wie Ihr Unternehmen sich optimal auf die neuen Anforderungen vorbereiten kann? Buchen Sie einen Discovery Call mit unserem Expertenteam und erhalten Sie individuelle Einblicke.
