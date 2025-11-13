    StartseitevorwärtsNachrichtenvorwärtsPressemitteilungenvorwärtsNachricht

    Cybersecurity

    Klare Verantwortlichkeiten gefordert

    Düsseldorf (ots) - ONEKEY IoT & OT Cybersecurity Report 2025: Der Cyber
    Resilience Act (CRA) stellt Unternehmen mit seiner abteilungs- und
    funktionsübergreifenden Wirkung vor Herausforderungen, wenn es um die
    Verantwortlichkeiten geht.

    Der EU Cyber Resilience Act (CRA) verlangt von der Industrie ab diesem Jahr
    umfangreiche Maßnahmen bei der Entwicklung und Überwachung von sicheren
    Produkten zur Abwehr von Hackerangriffen. Doch die Frage der Zuständigkeit für
    die Einhaltung der EU-Verordnung zur Stärkung der Produkt-Cybersicherheit ist in
    der Industrie noch weitgehend ungeklärt. Dies geht aus dem aktuellen " IoT & OT
    Cybersecurity Report
    (https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025) " des
    Düsseldorfer Cybersicherheitsunternehmens ONEKEY hervor. Für die Untersuchung
    waren 300 Unternehmen nach ihrer CRA-Strategie bei "Operational Technology"
    (OT), also beispielsweise industriellen Steuerungssystemen, und "Internet of
    Things" (IoT), vom Smart Building bis zu Industrierobotern, befragt worden.

    CRA deckt breites Themenspektrum ab

    Demnach liegt die Hauptverantwortung für die Erfüllung des Cyber Resilience Act
    in 46 Prozent der Unternehmen bei der IT-Sicherheit. Bei gut einem Fünftel (21
    Prozent) trägt in erster Linie die Compliance-Abteilung die Verantwortung. In 18
    Prozent aller Fälle ist die Geschäftsleitung zuständig, in 16 Prozent die
    Rechtsabteilung und in 15 Prozent der befragten Firmen die Produktentwicklung.
    "Die Zuständigkeiten sollten noch klarer gebündelt und definiert werden",
    analysiert Jan Wendenburg, CEO von ONEKEY, die Ergebnisse. Er erklärt: "Die
    große Bandbreite der CRA-Verantwortungsträger in der Industrie hängt damit
    zusammen, dass die Verordnung selbst ein breites Spektrum an Themen berührt."

    So müssen die Hersteller vernetzter Produkte ihre Geräte, Maschinen und Anlagen
    von Grund auf so entwickeln, dass sie von Anfang an sicher sind (Security by
    Design) und während ihres gesamten Lebenszyklus den Anforderungen des CRA
    entsprechen. "Das ist zweifellos eine Anforderung, bei der Engineering und
    Produktentwicklung gefragt sind", sagt Jan Wendenburg. Darüber hinaus sind die
    Anbieter verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende
    Vorfälle, die die Sicherheit ihrer Produkte beeinträchtigen, innerhalb von 24
    Stunden der europäischen Cybersecurity-Behörde ENISA und dem zuständigen
    nationalen CSIRT (Computer Security Incident Response Team) zu melden. "Das
    berührt in der Regel die IT-Sicherheitsabteilung", ordnet Jan Wendenburg zu.

    Zudem sind die Anbieter verpflichtet, in regelmäßigen Abständen
    Sicherheitsupdates bereitzustellen, um bekannte Schwachstellen zu schließen und
