8. September 2025

Endspurt Cyber Resilience Act: zwei Drittel der Unternehmen sind noch nicht damit vertraut

Die neue EU-Richtlinie für Cybersecurity stellt Unternehmen vor viele Herausforderungen wie Meldepflichten, Erstellung von Software-Stücklisten oder Produktumstellungen auf „Secure by Design“. [...]

Laut „IoT & OT Cybersecurity Report 2025“ ist nur ein knappes Drittel (32 Prozent) der Unternehmen mit den Anforderungen des EU Cyber Resilience Act umfassend vertraut. Weitere 36 Prozent haben sich zumindest schon damit befasst. Aber mehr als ein Viertel (27 Prozent) haben sich dem Thema noch gar nicht gewidmet. (c) stock.adobe.com/Cre-AI-Tor

Die europäische Wirtschaft misst dem EU Cyber Resilience Act (CRA) nicht die Bedeutung bei, die angesichts der damit verbundenen Pflichten für Hersteller, Importeure und Distributoren vernetzter Geräte, Maschinen und Anlagen angemessen wäre. Zu diesem Ergebnis kommt der „IoT & OT Cybersecurity Report 2025“ des Düsseldorfer Cybersicherheits­unternehmens ONEKEY.

Für den Report wurden 300 Industrie­unternehmen nach ihrem Stand und ihren Planungen bezüglich der Sicherheit von industriellen Steuerungen (Operational Technology, OT) und in Geräten für das Internet der Dinge (Internet of Things, IoT) befragt, um die es im Kern bei der EU-Cybersicherheitsverordnung geht.

„Im Herbst 2026, also in rund einem Jahr, treten die im CRA festgelegten Meldeplichten mit vollem Umfang in Kraft“, erklärt ONEKEY-CEO Jan Wendenburg. „Und ein Jahr weiter alle anderen Pflichten. Jetzt geht es folglich in den Endspurt. Der Report zeigt, dass in der Wirtschaft davon aktuell noch zu wenig zu spüren ist.“

Demnach ist nur ein knappes Drittel (32 Prozent) der Unternehmen mit den Anforderungen des EU Cyber Resilience Act umfassend vertraut. Weitere 36 Prozent haben sich zumindest schon damit befasst. Aber mehr als ein Viertel (27 Prozent) haben sich dem Thema noch gar nicht zugewendet. Entsprechend zögerlich ist die Umsetzung: Lediglich 14 Prozent (!) der befragten Firmen haben bereits umfangreiche Maßnahmen eingeleitet, um die Einhaltung der CRA-Vorschriften bei ihren vernetzten Geräten, Maschinen und Anlagen zu gewährleisten. Immerhin: 38 Prozent haben bereits erste Schritte dazu unternommen. Aber ebenso viele Unternehmen haben laut „IoT & OT Cybersecurity Report 2025“ bislang noch nichts unternommen, um den neuen EU-Regularien zu genügen.

CRA erlegt umfassende Pflichten auf

Der ONEKEY-Report stuft die Zurückhaltung als „erstaunlich“ ein, da die mit dem EU Cyber Resilience Act auf die Unternehmen zukommenden Pflichten umfangreich sind. Hersteller müssen ihre Produkte so entwickeln, dass sie von Anfang an sicher sind (Security by Design) und während ihres gesamten Lebenszyklus den Anforderungen des CRA entsprechen. Dies beinhaltet den Schutz vor unbefugtem Zugriff, den Schutz der Datenintegrität und -vertraulichkeit sowie die Gewährleistung der Verfügbar­keit der Funktionen. Zudem sind sie verpflichtet, aktiv ausgenutzte Schwachstellen und schwer­wiegende Vorfälle, welche die Sicherheit ihrer Produkte beeinträchtigen, innerhalb von 24 Stunden der europäischen Cybersecurity-Behörde ENISA und dem zuständigen nationalen CSIRT (Computer Security Incident Response Team) zu melden.

Die Anbieter müssen darüber hinaus regelmäßig Sicherheitsupdates bereitstellen, um bekannte Schwachstellen zu beheben und die Sicherheit ihrer Produkte zu gewährleisten. Dazu gehört auch eine umfassende Dokumentation aller Produkte, einschließlich einer Software-Stückliste (Software Bill of Materials, SBOM), um die Transparenz und Rückverfolgbarkeit von Komponenten zu gewährleisten. Jan Wendenburg stellt klar: „Es genügt nicht, alle diese Anforderungen zu erfüllen. Vielmehr muss die Konformität mit den CRA-Anforderungen auch dokumentiert und nachgewiesen werden.“

Herausforderungen in der Betriebspraxis

Mit welchen Herausforderungen in Bezug auf den Cyber Resilience Act die Unternehmen in der Praxis zu kämpfen haben, wollte ONEKEY im Rahmen der Umfrage herausfinden. Die Firmen durften dabei mehrere Aspekte nennen. An erster Stelle steht demnach für 37 Prozent der Unternehmen die Meldepflicht bei sicherheitskritischen Vorfällen innerhalb von 24 Stunden. Gleich darauf folgt mit 35 Prozent die Einhaltung der Kriterien „Secure by Design“ und „Secure by Default“. 29 Prozent der Befragten stufen die Erstellung einer Software Bill of Materials (SBOM) – also einer Software-Stückliste – als größte Herausforderung ein. Beinahe genauso viele Firmen sehen ein Hauptproblem darin, den Überblick über die Verwaltung von Software-Schwachstellen zu behalten.

Jan Wendenburg erläutert die Hintergründe: „Viele Hersteller digitaler Geräte, Maschinen und Anlagen haben bislang vor allem die Funktionalität ihrer Produkte in den Fokus gestellt, und die Angreifbarkeit durch Cyberattacken weniger stark berücksichtigt. Mit dem Cyber Resilience Act ist es nun zwingend erforderlich, beide Aspekte als gleichwertig einzustufen. Dem einen oder anderen Unternehmen fällt diese Doppelfokussierung noch schwer.“ Er verweist auf die „äußerst umfangreiche Palette von Produkten, die unter die neue EU-Verordnung fallen“. Das Spektrum erstreckt sich von digitalem Spielzeug und Geräten für das Smart Home inklusive vernetzter weißer Ware über Bezahlterminals, Ladestationen, IP-Kameras, medizinischen Geräten oder Gebäudeautomatisierungssystemen bis hin zu industriellen Steuerungen, CNC-Maschinen, Industrierobotern oder Produktionsanlagen mit Fernwartung, um nur einige Beispiele aufzuzählen.

Umstellung in den Köpfen der Führungskräfte

„In vielen dieser Marktsegmente war Cybersicherheit bislang vor allem ein Thema der Absicherung des eigenen Unternehmens gegen Angriffe, aber nicht des Schutzes der Produkte vor Cyberattacken“, sagt Jan Wendenburg. Er räumt ein: „Diese Umstellung in den Köpfen der Führungskräfte hat begonnen, braucht naturgemäß aber ihre Zeit.“ Zugleich weist er auf die weitreichenden Folgen hin, wenn die Unternehmen dem Cyber Resilience Act nicht die gebotene Aufmerksamkeit widmen: „Vernetzte Geräte, Maschinen und Anlagen, die nicht den Anforderungen des CRA entsprechen, dürfen künftig in der EU nicht mehr verkauft oder betrieben werden. Angesichts von Entwicklungszeiten von zwei bis drei Jahren ist daher höchste Eile geboten.“

Bei Verstößen gegen die EU-Verordnung drohen empfindliche Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des welt­weiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Hinzu kommt das Risiko der persönlichen Haftung von Vorstand bzw. Geschäftsführung und/oder den Verantwortlichen.

Besorgniserregende Sicherheitslage: OT wird vernachlässigt

Die CRA-Konformität ist für die Unternehmen indes nicht nur wichtig, um den Regulierungsvorschriften zu entsprechen, sondern auch, um sich und ihre Kunden tatsächlich vor zunehmender Cyberkriminalität zu schützen. Behörden wie das Bundesamt für Sicherheit in der Informations­technik (BSI) gehen davon aus, dass sich die Bedrohungslage in den nächsten Jahren weiter zuspitzen wird.

Jan Wendenburg sagt: „In vielen Unternehmen steht der Schutz der Computersysteme und Netzwerke im Vordergrund, während industrielle Steuerungen in Maschinen und Anlagen bei Sicherheitsfragen häufig zu wenig Beachtung finden. Doch angesichts der um sich greifenden digitalen Transformation industrieller Prozesse wächst die Angriffsfläche für Cyberbedrohungen auf dem Shop Floor immer stärker. Daher müssen in Werkshallen und Logistikzentren mindestens die gleichen hohen Sicherheitsmaßstäbe angesetzt werden wie im Rechenzentrum.“


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*