Bundesrat will die Cyberresilienz von digitalen Produkten stärken

Er hat das VBS an seiner Sitzung vom 20. August 2025 beauftragt, in Zusammenarbeit mit dem UVEK und dem WBF eine Vernehmlassungsvorlage für eine Gesetzgebung zu erarbeiten. Die neuen gesetzlichen Grundlagen sollen die Sicherheitsanforderungen für Produkte mit digitalen Elementen erhöhen und damit den Forderungen der Motion «Durchführung dringend notwendiger Cybersicherheitsprüfungen» 24.3810 der Sicherheitspolitischen Kommission des Ständerats nachkommen.

Sicherheitslücken in Soft- oder Hardware sind ein Einfallstor für Cyberangriffe. Finden Angreifer eine solche Lücke, können sie in kurzer Zeit in zahlreiche Systeme eindringen. Da oftmals viele individuelle Produkte digital vernetzt sind, kann dadurch grosser physischer oder wirtschaftlicher Schaden entstehen. Bei Produkten, welche bei kritischen Infrastrukturen im Einsatz stehen, können Schwachstellen die nationale Sicherheit gefährden. Obwohl es für die Cybersicherheit von entscheidender Bedeutung ist, Sicherheitslücken zu vermeiden oder sie rasch zu schliessen, gibt es in der Schweiz kaum Vorgaben zur Cyberresilienz von digitalen Produkten.

Das Fehlen solcher Sicherheitsanforderungen wurde im Parlament bereits mehrfach thematisiert. Mit der Motion 24.3810 «Durchführung dringend notwendiger Cybersicherheitsprüfungen» der Sicherheitspolitischen Kommission des Ständerats hat das Parlament den Bundesrat beauftragt, diese Lücke zu schliessen.

Der Bundesrat hat eine Aussprache geführt und das Bundesamt für Cybersicherheit (BACS) beauftragt, in Zusammenarbeit mit dem Bundesamt für Kommunikation (BAKOM) und dem Staatsekretariat für Wirtschaft (SECO) bis Herbst 2026 eine Vernehmlassungsvorlage zur «Schaffung einer Gesetzgebung zur Cyberresilienz von digitalen Produkten» zu erarbeiten. Die neuen gesetzlichen Grundlagen sollen die Vorschriften zur Cybersicherheit bei der Entwicklung und dem Inverkehrbringen von Produkten mit digitalen Elementen festlegen, die Umsetzung der Marktüberwachung dieser Produkte definieren sowie Grundlagen für ein Verbot des Imports und Vertriebs unsicherer Geräte schaffen.

Bei der Erarbeitung der gesetzlichen Grundlagen soll der internationale Kontext beachtet werden – darunter das europäische Cyberresilienzgesetz («Cyber Resilience Act», CRA), das am 11. Dezember 2024 in Kraft getreten ist. Ziel ist es, eine auf den Wirtschaftsstandort Schweiz angepasste Gesetzgebung zu entwickeln. Dabei soll sichergestellt werden, dass die administrative Belastung der Unternehmen möglichst tief gehalten und dass international tätige Unternehmen aus der Schweiz nicht durch voneinander abweichende Vorgaben zusätzlich belastet werden.