Der neue Cyber Resilience Act (CRA) der Europäischen Union verlangt von Firmen, dass sie ihre vernetzten Produkte – also Geräte, Maschinen und Software – besser vor Hackerangriffen schützen. Doch in vielen Unternehmen ist nicht klar, wer dafür zuständig ist. Das zeigt der neue „IoT & OT Cybersecurity Report 2025“ des Düsseldorfer Unternehmens ONEKEY, wie aus einer Pressemitteilung vom 13. November hervorgeht. Dafür wurden 300 Firmen befragt, die mit vernetzten Geräten arbeiten – vom Smart Building bis zur Industrieanlage.
In fast der Hälfte der Firmen (46 %) liegt die Verantwortung bei der IT-Sicherheit. Andere nennen die Compliance-Abteilung (21 %), die Geschäftsleitung (18 %), die Rechtsabteilung (16 %) oder die Produktentwicklung (15 %). „Die Aufgaben sollten klarer verteilt werden“, sagt Jan Wendenburg, Chef von ONEKEY. Der Grund: Der CRA betrifft viele Bereiche im Unternehmen gleichzeitig.
Viele neue Pflichten für Firmen
Der CRA verlangt, dass Produkte von Anfang an sicher entwickelt werden („Security by Design“) und über den gesamten Lebenszyklus sicher bleiben. Hersteller müssen außerdem Sicherheitslücken und Hackerangriffe innerhalb von 24 Stunden melden, regelmäßig Updates anbieten, und eine genaue Software-Liste (SBOM) führen, die zeigt, welche Komponenten in einem Produkt stecken. Wer sich nicht an die Regeln hält, riskiert hohe Geldstrafen. Bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes könnten fällig werden.
Software oft Schwachpunkt
Auffällig ist: Nur 8 % der Firmen sehen die Softwareentwicklung als Hauptverantwortlichen für den CRA – obwohl gerade dort viele Sicherheitsprobleme entstehen können. „Die Software Bill of Materials (SBOM) ist oft das schwächste Glied in der Sicherheitskette“, warnt Wendenburg. Ohne genaue Auflistung aller Software-Bestandteile könne eine einzige Schwachstelle reichen, damit ein Produkt nicht mehr verkauft werden darf.
Über 40 % der Firmen haben bereits eigene Teams oder Arbeitsgruppen gebildet, um die neuen Regeln umzusetzen. Das zeigt laut ONEKEY, dass viele Unternehmen erkannt haben, wie wichtig Cybersicherheit geworden ist. Nicht nur wegen der EU-Vorschriften, sondern auch, um sich selbst vor Angriffen zu schützen.
ONEKEY bietet Firmen eine automatische Plattform an, die bei der Überprüfung von Software, der Erstellung der SBOM und der Einhaltung von Vorschriften hilft. Außerdem können Unternehmen in einem Workshop lernen, wie sie den CRA Schritt für Schritt umsetzen.
ck
Verwandte Themen
Frequentis: Vom Radar- zum Cybersecurityspezialisten
Cybersecurity-Trainings und -Zertifizierungen für die Bundeswehr
BBK und Bundeswehr kooperieren beim CBRN-Schutz
IT NEWS & TRENDS – Cybersecurity: ein Erfolgsfaktor für die Digitalisierung
Backbone-Tablet für Cybersecurity unter Extrembedingungen
IT NEWS & TRENDS – Digitale Innovationen verändern den Arbeitsalltag der Bundeswehr