Mit dem EU Cyber Resilience Act (CRA) zieht die Europäische Union die Sicherheitszügel drastisch an. Ab Herbst 2026 gelten erste verbindliche Anforderungen, ab 2027 dürfen vernetzte Geräte, Maschinen und Anlagen nur noch betrieben oder in Verkehr gebracht werden, wenn sie den CRA-Vorgaben entsprechen. Keine Ausreden, keine Fristverlängerung.
Die Zeit drängt – und das Risiko ist real. Wer die Anforderungen ignoriert, muss mit drastischen Konsequenzen rechnen: bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes. Auch persönliche Haftung von Geschäftsführern ist vorgesehen. Der „IoT & OT Cybersecurity Report 2025“ des Sicherheitsunternehmens Onekey zeigt: Viele Unternehmen haben erste Maßnahmen gestartet, doch vollständige CRA-Compliance ist noch weit entfernt. Für den Report wurden 300 deutsche Industrieunternehmen zu OT- und IoT-Sicherheit befragt.
Endspurt in Richtung CRA-Compliance
Nur 32 Prozent der Unternehmen sind mit den CRA-Anforderungen umfassend vertraut, 36 Prozent haben sich zumindest damit befasst, 27 Prozent noch gar nicht. Erst 14 Prozent haben umfangreiche Maßnahmen eingeleitet, 38 Prozent erste Schritte, während ebenso viele noch gar nichts getan haben.
Umfangreiche Pflichten
Hersteller müssen Produkte von Anfang an sicher entwickeln („Security by Design/Default“) und den gesamten Lebenszyklus über absichern. Dazu zählen Schutz vor unbefugtem Zugriff, Datenintegrität und Verfügbarkeit. Exploitierte Schwachstellen und Vorfälle müssen binnen 24 Stunden an ENISA und nationale CSIRTs gemeldet werden. Zudem sind Sicherheitsupdates, umfassende Dokumentation und eine Software Bill of Materials (SBOM) Pflicht – und die Konformität muss nachweisbar sein.
Zentrale Herausforderungen
Im Rahmen der Umfrage wollte Onekey wissen, mit welchen Herausforderungen die Unternehmen in Bezug auf den CRA in der Praxis zu kämpfen haben. 37 Prozent der Unternehmen sehen die 24h-Meldepflicht als größte Hürde, 35 Prozent „Secure by Design/Default“, 29 Prozent die SBOM-Erstellung. Die Bandbreite betroffener Produkte reicht von Smart-Home-Geräten bis zu Industrierobotern und Produktionsanlagen.
Ein Umdenken ist gefragt
In vielen Marktsegmenten galt Cybersicherheit bisher vor allem dem Schutz des eigenen Unternehmens, weniger den Produkten selbst. Der CRA verlangt nun diese Perspektivverschiebung – und das unter hohem Zeitdruck: Ab 2027 dürfen nicht konforme Geräte, Maschinen und Anlagen in der EU weder verkauft noch betrieben werden. Angesichts Entwicklungszyklen von zwei bis drei Jahren ist schnelles Handeln unerlässlich.
CRA-Konformität bedeutet dabei nicht nur regulatorische Pflichterfüllung, sondern auch wirksamen Schutz der Kunden vor wachsender Cyberkriminalität. Allein 2024 verursachten Cyberangriffe in Deutschland Schäden von rund 178,6 Milliarden Euro – 30,4 Milliarden mehr als im Vorjahr.
Die Bedeutung des Schlüsselfaktor SBOM
Eine aktuelle SBOM ist ein Schlüsselfaktor für Sicherheit und Compliance. Doch nur 12 Prozent der Unternehmen haben vollständige Transparenz über die eingesetzte Software. Zwar beschäftigen sich 44 Prozent mit dem Thema, aber lediglich 12 Prozent haben eine SBOM für alle Produkte erstellt, während ein Viertel bislang überhaupt keine vorweisen kann.
Die Umsetzung ist komplex: Viele Systeme basieren auf veralteten oder proprietären Komponenten, dazu kommen unvollständige Lieferketten. Hinzu kommt, dass eine SBOM keine einmalige Aufgabe ist, sondern dauerhaft gepflegt werden muss. Allein 2024 wurden mehr als 40.000 neue Schwachstellen gemeldet – Hersteller müssen kontinuierlich prüfen, ob ihre Produkte betroffen sind.
Industrie hinkt bei technischen Standards hinterher
Bei der Umsetzung der technischen Anforderungen des CRA zeigt sich in der Industrie Nachholbedarf. Nur 27 Prozent der befragten Unternehmen berücksichtigen die Norm IEC 62443-4-2, obwohl sie eine zentrale Grundlage für die CRA-Compliance darstellt.
Die Norm definiert technische Sicherheitsanforderungen für Komponenten industrieller Automatisierungs- und Steuerungssysteme (IACS). Sie hat sieben zentrale Anforderungen: Identifikation und Authentifizierung, Zugriffskontrolle, Systemintegrität, Datenvertraulichkeit, eingeschränkter Datenfluss, Ereignisreaktion in Echtzeit sowie die Verfügbarkeit von Ressourcen. Ziel ist es, die Komponenten so abzusichern, dass sie gängigen Cyberangriffen eigenständig standhalten können.
ETSI EN 303 645 findet wenig Beachtung
Ein zweiter für die CRA-Compliance wesentlicher Standard – ETSI EN 303 645 – findet bei der Produktentwicklung ebenfalls wenig Beachtung. Nur ein Viertel der befragten Unternehmen berücksichtigen diese Norm, die Cybersicherheitsanforderungen für vernetzte Verbrauchergeräte festlegt, um grundlegenden Schutz vor Cyberangriffen zu gewährleisten.
Die Norm umfasst 13 Kernanforderungen, darunter sichere Standardkonfigurationen, Schutz personenbezogener Daten, Software-Updates und sichere Kommunikation. Sie dient als harmonisierte Norm, um die Anforderungen des EU CRA für IoT-Geräte zu erfüllen. Hersteller können die CRA-Compliance und die CE-Kennzeichnung für den EU-Markt nur durch Konformität mit der ETSI EN 303 645 nachweisen.
„Bislang haben viele Hersteller digitaler Geräte, Maschinen und Anlagen vor allem die Funktionalität ihrer Produkte in den Fokus gestellt und die Angreifbarkeit durch Cyberattacken weniger stark im Auge gehabt. Mit dem Cyber Resilience Act ist es nun zwingend erforderlich, beide Aspekte als gleichwertig einzustufen.“
Jan Wendenburg, CEO ONEKEY
Nachholbedarf bei Funknorm RED
Auch beim Standard RED (EN 18031) hat die Industrie Nachholbedarf. Diese Funkanlagenrichtlinie ist wichtig für vernetzte Geräte, da immer mehr Maschinen, Sensoren, Aktoren und andere Digitalprodukte über Funk vernetzt werden. Die Richtlinie soll Störungen im Funkverkehr vermeiden. Sie fordert von den Herstellern, dass ihre Produkte den Anforderungen entsprechen, bevor sie auf den Markt gebracht werden. Dennoch findet RED lediglich bei 16 Prozent der befragten Unternehmen Beachtung im Zusammenhang mit dem CRA.
Verantwortlichkeiten sind sehr unterschiedlich
Im Report geht es auch um Verantwortlichkeiten. 46 Prozent der Unternehmen sagen, die IT-Sicherheit sei für die Erfüllung des CRA verantwortlich. 21 Prozent sagen, die Compliance-Abteilung, 18 Prozent die Geschäftsleitung, 16 Prozent die Rechtsabteilung und 15 Prozent die Produktentwicklung. Die große Bandbreite hängt damit zusammen, dass die Verordnung ein breites Spektrum an Themen berührt.
Hersteller vernetzter Produkte müssen ihre Geräte, Maschinen und Anlagen so entwickeln, dass sie von Anfang an sicher sind und während ihres gesamten Lebenszyklus den Anforderungen des CRA entsprechen. Dies ist eine Herausforderung für Engineering und Produktentwicklung. Außerdem müssen Schwachstellen und schwerwiegende Vorfälle, die die Sicherheit beeinträchtigen, innerhalb von 24 Stunden der europäischen Cybersecurity-Behörde ENISA und dem nationalen CSIRT gemeldet werden.
Zudem sind die Anbieter verpflichtet, in regelmäßigen Abständen Sicherheitsupdates bereitzustellen, um bekannte Schwachstellen zu schließen und die Produktsicherheit zu gewährleisten. Ebenso erforderlich ist eine vollständige Dokumentation sämtlicher Produkte, einschließlich der SBOM, die Transparenz und Rückverfolgbarkeit der eingesetzten Komponenten ermöglicht.
Die dazugehörige Dokumentation liegt im Verantwortungsbereich der Compliance-Abteilung. Bei Verstößen drohen hohe Bußgelder. Das Risiko der persönlichen Haftung von Vorstand bzw. Geschäftsführung ist nicht zu übersehen. Insofern ist es verständlich, wenn die oberste Führungsebene sich ebenfalls in die betriebliche Umsetzung des CRA involviert. Eine Herausforderung für die Industrie besteht darin, der EU-Verordnung in ihrer gesamten Breite gerecht zu werden.
Der Report zeigt: Es gibt viele Positionen zum Thema CRA. In 18 Prozent der Unternehmen ist der Produktmanager zuständig, in 17 Prozent der Compliance-Verantwortliche, in 15 Prozent der Chief Information Security Officer (CISO) und in 11 Prozent ein Cybersecurity-Analyst. Nur 8 Prozent der Firmen sehen den Leiter Softwareentwicklung als zuständig für den CRA an, obwohl die Software-Stückliste wichtig für die Erfüllung der CRA-Verordnung ist.
CRA-spezifische Organisation bei über 40 Prozent der Firmen
Wie gut Unternehmen dem abteilungsübergreifenden Handlungsbedarf im Zuge des CRA gerecht werden, hat Onekey im Rahmen seiner Industrieumfrage untersucht. Das Ergebnis: 28 Prozent der befragten Firmen haben eine bereichsübergreifende Arbeitsgruppe eingerichtet, weitere 13 Prozent verfügen sogar über ein dediziertes CRA-Team. Rund ein Drittel (32 Prozent) hingegen hat bislang keine spezifische Teamstruktur zur Umsetzung der EU-Verordnung aufgebaut.
Bei 18 Prozent der Unternehmen arbeiten vier bis zehn Personen an der Umsetzung des CRA, bei 15 Prozent sind es bis zu drei. In 8 Prozent der Fälle engagieren sich sogar mehr als zehn Mitarbeitende – etwa in der Produktentwicklung, der Erstellung und Pflege einer Software Bill of Materials oder im Bereich Compliance.
Erfreulich ist: Mehr als 40 Prozent der Unternehmen widmen sich der CRA-Umsetzung mit einer eigens dafür geschaffenen Organisationsstruktur. Denn beim Thema Cybersicherheit geht es längst nicht mehr nur um die Erfüllung regulatorischer Vorgaben – sondern um den Schutz des eigenen Unternehmens vor immer raffinierteren Angriffen mit potenziell gravierenden Folgen.
Training sollte ernster genommen werden
Eine weitere Erkenntnis aus dem „IoT & OT Cybersecurity Report“: Die Unternehmen sollten mehr in die Weiterbildung ihrer Beschäftigten in Bezug auf Cybersecurity und insbesondere den CRA investieren. Bislang führt nicht einmal ein Drittel (30 Prozent) der befragten 300 Unternehmen mindestens einmal jährlich eine Weiterbildungsmaßnahme in Sachen CRA für seine Beschäftigten durch. Weitere 28 Prozent halten eine diesbezügliche Schulung alle ein bis zwei Jahre für ausreichend.
Auf dem richtigen Weg – doch die Zeit drängt
Die Industrie befindet sich auf gutem Weg, den Anforderungen des Cyber Resilience Act nachzukommen. Aber sie sollte kräftig an Tempo zulegen, um dieses Ziel rechtzeitig zu erreichen. Denn beim CRA handelt es sich um eine EU-Verordnung, nicht bloß um eine Richtlinie. Das bedeutet, dass diese Cybersicherheitsnorm keine nationale Umsetzung benötigt, sondern entlang der EU-Zeitvorgaben unmittelbar rechtswirksam wird. Es wird also keine Zeitverzögerung durch eine deutsche Umsetzung des CRA geben, wie es beispielsweise bei der Cybersicherheitsnorm NIS2 der Fall ist. „Tempo, tempo, tempo!“ möchte man der Industrie angesichts dieser Situation zurufen.
Die Zeit drängt: 68% der Unternehmen sind mit dem neuen Cyber Resilience Act noch nicht vertraut
Text-/Bildquelle: Aufmacher Oleksandr Moroz – stock.adobe.com, sonstige Onekey