Düsseldorf (ots) - Neue EU-Richtlinie für Cybersecurity stellt die Unternehmen

vor viele Herausforderungen: Meldepflichten, Erstellung von

Software-Stücklisten, Produktumstellungen auf "Secure by Design"



ONEKEY IoT & OT Cybersecurity Report 2025: "Es wird Zeit für den Endspurt in

Richtung CRA."





Die deutsche Wirtschaft misst dem EU Cyber Resilience Act (CRA) nicht dieBedeutung bei, die angesichts der damit verbundenen Pflichten für Hersteller,Importeure und Distributoren vernetzter Geräte, Maschinen und Anlagen angemessenwäre. Zu diesem Ergebnis kommt der "IoT & OT Cybersecurity Report 2025" desDüsseldorfer Cybersicherheitsunternehmens ONEKEY (http://www.onekey.com/) ."Im Herbst 2026, also in rund einem Jahr, treten die im CRA festgelegtenMeldeplichten mit vollem Umfang in Kraft", erklärt ONEKEY-CEO Jan Wendenburg."Und ein Jahr weiter alle anderen Pflichten. Jetzt geht es folglich in denEndspurt. Der Report zeigt, dass in der Wirtschaft davon aktuell noch zu wenigzu spüren ist." Für den Report wurden 300 deutsche Industrieunternehmen nachihrem Stand und ihren Planungen bezüglich der Sicherheit von industriellenSteuerungen (Operational Technology, OT) und in Geräten für das Internet derDinge (Internet of Things, IoT) befragt, um die es im Kern bei derEU-Cybersicherheitsverordnung geht. Der Bericht steht auf der ONEKEY Website zumDownload zur Verfügung:https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025 .Demnach ist nur ein knappes Drittel (32 Prozent) der Unternehmen mit denAnforderungen des EU Cyber Resilience Act umfassend vertraut. Weitere 36 Prozenthaben sich zumindest schon damit befasst. Aber mehr als ein Viertel (27 Prozent)haben sich dem Thema noch gar nicht zugewendet. Entsprechend zögerlich ist dieUmsetzung. Lediglich 14 Prozent (!) der befragten Firmen haben bereitsumfangreiche Maßnahmen eingeleitet, um die Einhaltung der CRA-Vorschriften beiihren vernetzten Geräten, Maschinen und Anlagen zu gewährleisten. Immerhin: 38Prozent haben bereits erste Schritte dazu unternommen. Aber ebenso vieleUnternehmen haben laut "IoT & OT Cybersecurity Report 2025" bislang noch nichtsunternommen, um den neuen EU-Regularien zu genügen.CRA erlegt umfassende Pflichten aufDer ONEKEY-Report stuft die Zurückhaltung als "erstaunlich" ein, da die mit demEU Cyber Resilience Act auf die Unternehmen zukommenden Pflichten umfangreichsind. Hersteller müssen ihre Produkte so entwickeln, dass sie von Anfang ansicher sind (Security by Design) und während ihres gesamten Lebenszyklus denAnforderungen des CRA entsprechen. Dies beinhaltet den Schutz vor unbefugtemZugriff, den Schutz der Datenintegrität und -vertraulichkeit sowie die