Düsseldorf (ots) - ONEKEY IoT & OT Cybersecurity Report 2025: Der Cyber

Resilience Act (CRA) stellt Unternehmen mit seiner abteilungs- und

funktionsübergreifenden Wirkung vor Herausforderungen, wenn es um die

Verantwortlichkeiten geht.



Der EU Cyber Resilience Act (CRA) verlangt von der Industrie ab diesem Jahr

umfangreiche Maßnahmen bei der Entwicklung und Überwachung von sicheren

Produkten zur Abwehr von Hackerangriffen. Doch die Frage der Zuständigkeit für

die Einhaltung der EU-Verordnung zur Stärkung der Produkt-Cybersicherheit ist in

der Industrie noch weitgehend ungeklärt. Dies geht aus dem aktuellen " IoT & OT

Cybersecurity Report

(https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025) " des

Düsseldorfer Cybersicherheitsunternehmens ONEKEY hervor. Für die Untersuchung

waren 300 Unternehmen nach ihrer CRA-Strategie bei "Operational Technology"

(OT), also beispielsweise industriellen Steuerungssystemen, und "Internet of

Things" (IoT), vom Smart Building bis zu Industrierobotern, befragt worden.









Demnach liegt die Hauptverantwortung für die Erfüllung des Cyber Resilience Act

in 46 Prozent der Unternehmen bei der IT-Sicherheit. Bei gut einem Fünftel (21

Prozent) trägt in erster Linie die Compliance-Abteilung die Verantwortung. In 18

Prozent aller Fälle ist die Geschäftsleitung zuständig, in 16 Prozent die

Rechtsabteilung und in 15 Prozent der befragten Firmen die Produktentwicklung.

"Die Zuständigkeiten sollten noch klarer gebündelt und definiert werden",

analysiert Jan Wendenburg, CEO von ONEKEY, die Ergebnisse. Er erklärt: "Die

große Bandbreite der CRA-Verantwortungsträger in der Industrie hängt damit

zusammen, dass die Verordnung selbst ein breites Spektrum an Themen berührt."



So müssen die Hersteller vernetzter Produkte ihre Geräte, Maschinen und Anlagen

von Grund auf so entwickeln, dass sie von Anfang an sicher sind (Security by

Design) und während ihres gesamten Lebenszyklus den Anforderungen des CRA

entsprechen. "Das ist zweifellos eine Anforderung, bei der Engineering und

Produktentwicklung gefragt sind", sagt Jan Wendenburg. Darüber hinaus sind die

Anbieter verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende

Vorfälle, die die Sicherheit ihrer Produkte beeinträchtigen, innerhalb von 24

Stunden der europäischen Cybersecurity-Behörde ENISA und dem zuständigen

nationalen CSIRT (Computer Security Incident Response Team) zu melden. "Das

berührt in der Regel die IT-Sicherheitsabteilung", ordnet Jan Wendenburg zu.



Zudem sind die Anbieter verpflichtet, in regelmäßigen Abständen

