Herausforderungen durch den Cyber Resilience Act
Am 13. November 2025 wurde der „IoT & OT Cybersecurity Report 2025“ veröffentlicht, der sich mit den Auswirkungen des Cyber Resilience Act (CRA) auf Unternehmen beschäftigt. Diese EU-Verordnung, die ab diesem Jahr in Kraft tritt, stellt besondere Anforderungen an die Entwicklung und Überwachung sicherer Produkte zur Abwehr von Cyberangriffen.
Unklare Zuständigkeiten in der Industrie
Laut dem Bericht von ONEKEY, einem Unternehmen aus Düsseldorf, sind die Verantwortlichkeiten für die Einhaltung des CRA in der Industrie noch nicht klar geregelt. Die Untersuchung befragte 300 Unternehmen zu ihrer Strategie in Bezug auf „Operational Technology“ (OT) und „Internet of Things“ (IoT).
Verantwortlichkeiten im Überblick
Die Ergebnisse zeigen, dass in 46 Prozent der Unternehmen die IT-Sicherheitsabteilung die Hauptverantwortung trägt. Bei 21 Prozent sind die Compliance-Abteilungen zuständig, während in 18 Prozent die Geschäftsleitung, in 16 Prozent die Rechtsabteilung und in 15 Prozent die Produktentwicklung verantwortlich ist. Jan Wendenburg, CEO von ONEKEY, betont die Notwendigkeit, diese Zuständigkeiten klarer zu definieren.
Erforderliche Maßnahmen für Hersteller
Der CRA verlangt von Herstellern vernetzter Produkte, dass diese von Anfang an sicher gestaltet werden (Security by Design) und während ihres gesamten Lebenszyklus den Anforderungen der Verordnung entsprechen. Wendenburg weist darauf hin, dass diese Anforderungen insbesondere die Bereiche Engineering und Produktentwicklung betreffen.
Pflichten bei Sicherheitsvorfällen
Zusätzlich sind Anbieter verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden der europäischen Cybersecurity-Behörde ENISA sowie dem zuständigen nationalen CSIRT zu melden. Diese Aufgabe fällt in der Regel in den Verantwortungsbereich der IT-Sicherheitsabteilung.
Regelmäßige Sicherheitsupdates und Dokumentation
Anbieter müssen zudem regelmäßig Sicherheitsupdates bereitstellen, um bekannte Schwachstellen zu schließen und die Sicherheit ihrer Produkte zu gewährleisten. Eine vollständige Dokumentation aller Produkte, einschließlich einer Software-Stückliste (Software Bill of Materials, SBOM), ist ebenfalls erforderlich, um Transparenz und Rückverfolgbarkeit der eingesetzten Komponenten zu gewährleisten. Diese Aufgaben liegen häufig in den Händen der Entwicklungs- und Produktionsabteilungen.
