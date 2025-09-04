Studie
Endspurt Cyber Resilience Act - fast 2/3 der Unternehmen sind noch nicht damit vertraut
Düsseldorf (ots) - Neue EU-Richtlinie für Cybersecurity stellt die Unternehmen
vor viele Herausforderungen: Meldepflichten, Erstellung von
Software-Stücklisten, Produktumstellungen auf "Secure by Design"
ONEKEY IoT & OT Cybersecurity Report 2025: "Es wird Zeit für den Endspurt in
Richtung CRA."
Die deutsche Wirtschaft misst dem EU Cyber Resilience Act (CRA) nicht die
Bedeutung bei, die angesichts der damit verbundenen Pflichten für Hersteller,
Importeure und Distributoren vernetzter Geräte, Maschinen und Anlagen angemessen
wäre. Zu diesem Ergebnis kommt der "IoT & OT Cybersecurity Report 2025" des
Düsseldorfer Cybersicherheitsunternehmens ONEKEY (http://www.onekey.com/) .
"Im Herbst 2026, also in rund einem Jahr, treten die im CRA festgelegten
Meldeplichten mit vollem Umfang in Kraft", erklärt ONEKEY-CEO Jan Wendenburg.
"Und ein Jahr weiter alle anderen Pflichten. Jetzt geht es folglich in den
Endspurt. Der Report zeigt, dass in der Wirtschaft davon aktuell noch zu wenig
zu spüren ist." Für den Report wurden 300 deutsche Industrieunternehmen nach
ihrem Stand und ihren Planungen bezüglich der Sicherheit von industriellen
Steuerungen (Operational Technology, OT) und in Geräten für das Internet der
Dinge (Internet of Things, IoT) befragt, um die es im Kern bei der
EU-Cybersicherheitsverordnung geht. Der Bericht steht auf der ONEKEY Website zum
Download zur Verfügung:
https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025 .
Demnach ist nur ein knappes Drittel (32 Prozent) der Unternehmen mit den
Anforderungen des EU Cyber Resilience Act umfassend vertraut. Weitere 36 Prozent
haben sich zumindest schon damit befasst. Aber mehr als ein Viertel (27 Prozent)
haben sich dem Thema noch gar nicht zugewendet. Entsprechend zögerlich ist die
Umsetzung. Lediglich 14 Prozent (!) der befragten Firmen haben bereits
umfangreiche Maßnahmen eingeleitet, um die Einhaltung der CRA-Vorschriften bei
ihren vernetzten Geräten, Maschinen und Anlagen zu gewährleisten. Immerhin: 38
Prozent haben bereits erste Schritte dazu unternommen. Aber ebenso viele
Unternehmen haben laut "IoT & OT Cybersecurity Report 2025" bislang noch nichts
unternommen, um den neuen EU-Regularien zu genügen.
CRA erlegt umfassende Pflichten auf
Der ONEKEY-Report stuft die Zurückhaltung als "erstaunlich" ein, da die mit dem
EU Cyber Resilience Act auf die Unternehmen zukommenden Pflichten umfangreich
sind. Hersteller müssen ihre Produkte so entwickeln, dass sie von Anfang an
sicher sind (Security by Design) und während ihres gesamten Lebenszyklus den
Anforderungen des CRA entsprechen. Dies beinhaltet den Schutz vor unbefugtem
Zugriff, den Schutz der Datenintegrität und -vertraulichkeit sowie die
