Mehr Ergebnisse...

Generic filters
FS Logoi


Safety & Security

Unklare Zuständigkeiten bremsen CRA-Umsetzung

Der EU Cyber Resilience Act (CRA) verlangt von der Industrie ab diesem Jahr umfangreiche Maßnahmen bei der Entwicklung und Überwachung von sicheren Produkten zur Abwehr von Hackerangriffen. Doch die Frage der Zuständigkeit für die Einhaltung der EU-Verordnung zur Stärkung der Produkt-Cybersicherheit ist in der Industrie noch weitgehend ungeklärt. Dies geht aus dem aktuellen „IoT & OT Cybersecurity Report“ des Düsseldorfer Cybersicherheitsunternehmens ONEKEY hervor.

von | 05.12.25

Die Umsetzung des CRA erfordert interdisziplinäres Arbeiten.
Foto: Sashkin - stock-adobe.com
Wirtschaft & Unternehmen

Der EU Cyber Resilience Act (CRA) verlangt von der Industrie ab diesem Jahr umfangreiche Maßnahmen bei der Entwicklung und Überwachung von sicheren Produkten zur Abwehr von Hackerangriffen. Doch die Frage der Zuständigkeiten für die Einhaltung der EU-Verordnung zur Stärkung der Produkt-Cybersicherheit ist in der Industrie noch weitgehend ungeklärt. Dies geht aus dem aktuellen „IoT & OT Cybersecurity Report“ des  Cybersicherheitsunternehmens ONEKEY hervor. Für die Untersuchung waren 300 Unternehmen nach ihrer CRA-Strategie bei „Operational Technology“ (OT), also beispielsweise industriellen Steuerungssystemen, und „Internet of Things“ (IoT), vom Smart Building bis zu Industrierobotern, befragt worden. Der Report steht zum kostenfreien Download zur Verfügung.

CRA-Zuständigkeiten sind vielfältig

Demnach liegt die Hauptverantwortung für die Erfüllung des Cyber Resilience Act in 46 % der Unternehmen bei der IT-Sicherheit. Bei gut einem Fünftel (21 %) trägt in erster Linie die Compliance-Abteilung die Verantwortung. In 18 % aller Fälle ist die Geschäftsleitung zuständig, in 16 % die Rechtsabteilung und in 15 % der befragten Firmen die Produktentwicklung.

„Die Zuständigkeiten sollten noch klarer gebündelt und definiert werden“, analysiert Jan Wendenburg, CEO von ONEKEY, die Ergebnisse. Er erklärt: „Die große Bandbreite der CRA-Verantwortungsträger in der Industrie hängt damit zusammen, dass die Verordnung selbst ein breites Spektrum an Themen berührt.“

So müssen die Hersteller vernetzter Produkte ihre Geräte, Maschinen und Anlagen von Grund auf so entwickeln, dass sie von Anfang an sicher sind (Security by Design) und während ihres gesamten Lebenszyklus den Anforderungen des CRA entsprechen.

„Das ist zweifellos eine Anforderung, bei der Engineering und Produktentwicklung gefragt sind“, sagt Jan Wendenburg. Darüber hinaus sind die Anbieter verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, die die Sicherheit ihrer Produkte beeinträchtigen, innerhalb von 24 Stunden der europäischen Cybersecurity-Behörde ENISA und dem zuständigen nationalen CSIRT (Computer Security Incident Response Team) zu melden. „Das berührt in der Regel die IT-Sicherheitsabteilung“, ordnet Jan Wendenburg zu.

Was R&D und Produktmanagement beim CRA zu tun haben

Zudem sind die Anbieter verpflichtet, in regelmäßigen Abständen Sicherheitsupdates bereitzustellen, um bekannte Schwachstellen zu schließen und die Produktsicherheit zu gewährleisten. Ebenso erforderlich ist eine vollständige Dokumentation sämtlicher Produkte, einschließlich einer Software-Stückliste (Software Bill of Materials, SBOM), die Transparenz und Rückverfolgbarkeit der eingesetzten Komponenten ermöglicht. „Diese Aufgaben fallen in der Regel in die Verantwortung von Entwicklung und Produktion.“, sagt Jan Wendenburg.

Die dazugehörige Dokumentation als Nachweis der Konformität mit den CRA-Anforderungen stuft der ONEKEY-CEO hingegen primär als Verantwortungsbereich des Produkt Managements in Zusammenarbeit mit der Compliance-Abteilung ein. Bei Verstößen gegen die EU-Verordnung drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5  % des welt­weiten Jahresumsatzes, je nachdem, welcher Betrag höher ist – ein Fall für die Juristen im Unternehmen. Und schließlich ist auch das Risiko der persönlichen Haftung von Vorstand bzw. Geschäftsführung nicht zu übersehen – insofern ist es verständlich, wenn die oberste Führungsebene sich ebenfalls in die betriebliche Umsetzung des Cyber Resilience Act involviert.

Jan Wendenburg stellt klar: „Der Cyber Resilience Act ist tatsächlich so abteilungs- und funktionsübergreifend, dass die Zuständigkeit im Unternehmen nicht auf der Hand liegt. Was auf den ersten Blick wie Verantwortungs-Wirrwarr aussieht, ist bei genauerem Hinsehen also nachvollzieh­bar. Die Herausforderung für die Industrie besteht darin, der EU-Verordnung in ihrer gesamten Breite gerecht zu werden.“

Software-Fachleute sind kaum gefragt

Entsprechend breit ist auch das Spektrum der Positionen, die mit dem Thema CRA befasst sind, wie der Report zutage gefördert hat. In 18 % aller Unternehmen ist der Produktmanager zuständig, in 17 % der Compliance-Verantwortliche, in 15 % der Chief Information Security Officer (CISO) und in 11 % ein Cybersecurity-Analyst. Der Leiter Softwareentwicklung steht lediglich bei 8 % der Firmen in der Verantwortung für den Cyber Resilience Act, obgleich die Software-Stückliste, die Software Bill of Materials (SBOM), den wichtigsten Schlüssel zur Erfüllung der CRA-Verordnung darstellt. Der Cyber Resilience Act verpflichtet alle Hersteller, die vernetzte Produkte in die EU liefern, im Rahmen der technischen Dokumentation eine SBOM bereitzustellen. Diese hat ausführliche Angaben zu den einzelnen Softwarekomponenten zu enthalten.

„Die SBOM ist das schwächste Glied in der Compliance-Kette für den Cyber Resilience Act“, sagt Jan Wendenburg. Er erläutert: „Der CRA schreibt eine präzise Auflistung sämtlicher Komponenten, Bibliotheken, Frameworks und Abhängigkeiten vor – einschließlich exakter Versionsnummern, Informationen zu den jeweiligen Lizenzen, sowie einer Übersicht aller bekannten Schwachstellen und Sicherheitslücken. Wenn sich auch nur in einer dieser Komponenten ein Einfallstor für Hacker befindet, das nachweislich bereits irgendwo schon ausgenutzt wurde, darf das Produkt oder die Softwareversion nicht auf den Markt gebracht werden. Bei bestehenden Produkten müssen die Behörden innerhalb von 24 Stunden informiert werden. Angesicht von durchschnittlich über 2.000 neuen Schwachstellen in Softwareprodukten pro Monat ist das keine leichte Aufgabe und ohne eine automatisierte Prüfung im Grunde nicht zu erfüllen.“

Interdisziplinäre Teams und Arbeitsgruppen können helfen

Tragen die Unternehmen dem funktions- und abteilungsübergreifenden Handlungsbedarf zur Erfüllung des Cyber Resilience Act durch eine interdisziplinäre Zusammenarbeit im Betrieb Rechnung, wollte ONEKEY im Rahmen der Industrieumfrage wissen. Die Antwort: Bei 28 % der Firmen existiert eine Arbeitsgruppe aus verschiedenen Abteilungen, bei 13 % gibt es sogar ein dediziertes CRA-Team. Knapp ein Drittel (32 %) hat indes keine spezifische Teamstruktur für die EU-Verordnung aufgebaut.

Bei 18 % der Unternehmen sind vier bis zehn Personen in der Arbeitsgruppe oder im Team für den CRA engagiert; bei 15 % sind es bis zu drei Personen. Bei knapp einem Zehntel (8 %) der von ONEKEY befragten Firmen kümmern sich sogar mehr als zehn Beschäftigte um die Umsetzung des Cyber Resilience Act, von der Produktentwicklung über die Erstellung und Pflege einer Software Bill of Materials bis hin zu Compliance-Aspekten.

„Es ist gut, dass sich mehr als 40 % der Unternehmen der Umsetzung des CRA mit einer wie auch immer gearteten eigenen Organisationsstruktur widmen“, betont Jan Wendenburg. Er stellt klar: „Letztlich geht es beim Thema Cybersicherheit nicht primär um die Erfüllung lästiger regulatorischer Vorschriften, sondern um die Absicherung des Unternehmens vor immer ausgefeilteren Hackerangriffen mit potenziell dramatischen Folgen.“

Der gesamte Report steht zum kostenfreien Download zur Verfügung:

Zum Download

Weitere Informationen gibt es unter www.onekey.com.

Bildquelle, falls nicht im Bild oben angegeben:

Jetzt Newsletter abonnieren

Brennstoff für Ihr Wissen, jede Woche in Ihrem Postfach.

Hier anmelden

KI in der Datenanalyse: Worauf es 2026 ankommen wird
KI in der Datenanalyse: Worauf es 2026 ankommen wird

Um das volle Potenzial von KI in der Datenanalyse auszuschöpfen, müssen Unternehmen bestehende Hürden überwinden und ihre Strukturen neu denken. Die folgenden Trends zeigen, worauf es in den kommenden Jahren laut dem Datenintegrator und KI-Spezialisten Qlik ankommt:

mehr lesen
SECURITY UNTER KONTROLLE: Keynote-Speaker enthüllt
SECURITY UNTER KONTROLLE: Keynote-Speaker enthüllt

Das lange Warten hat ein Ende: Florian Roth von der Nextron Systems GmbH wird SECURITY UNTER KONTROLLE 2026 eröffnen. Sein Keynote-Vortrag „Jenseits des Sichtfelds – Blinde Flecken in Teilen der IT, die wir für vertraut hielten“ zeigt, wie blinde Flecken in der IT und der Security entstehen und warum wir sie oft übersehen. Der OT-Security-Kongress findet am 17. und 18. März im Landschaftspark Duisburg-Nord statt.

mehr lesen
Internationale Datentransfers: Unverzichtbar für die deutsche Wirtschaft
Internationale Datentransfers: Unverzichtbar für die deutsche Wirtschaft

Ob Cloud-Plattformen, Videokonferenzen und Kollaborationstools oder Rund-um-die-Uhr-Support: Die große Mehrheit der Unternehmen (62 %) in Deutschland überträgt personenbezogene Daten in Länder außerhalb der EU. Fast die Hälfte (45 %) transferiert die Daten an externe Dienstleister, 41 % an Geschäftspartner zu gemeinsamen Zwecken und 19 % an Konzerntöchter oder andere Konzerneinheiten. Zugleich fordern 78 % von der Politik Rechtssicherheit bei internationalen Datentransfers. Das sind Ergebnisse einer Befragung von 603 Unternehmen ab 20 Beschäftigten im Auftrag des Digitalverbands Bitkom.

mehr lesen
„Technik aufs Ohr“: Neuer Moderator beim VDI-Podcast
„Technik aufs Ohr“: Neuer Moderator beim VDI-Podcast

Der VDI-Podcast „Technik aufs Ohr“ startet mit einer neuen Stimme ins Jahr 2026. Christopher Baczyk, freiberuflicher Radiojournalist, steigt als Moderator beim erfolgreichen Audio-Format ein. Er ersetzt den in Pension gegangenen Marco Dadomo und wird den Podcast gemeinsam mit Sarah Janczura weiterführen.

mehr lesen
Industrial AI: Siemens und NVIDIA bauen Partnerschaft aus
Industrial AI: Siemens und NVIDIA bauen Partnerschaft aus

Siemens und NVIDIA haben eine Erweiterung ihrer strategischen Partnerschaft bekannt gegeben. Ziel der Zusammenarbeit ist es, Künstliche Intelligenz (KI) systematisch entlang der industriellen Wertschöpfungskette einzusetzen – von Design und Engineering über Fertigung, Betrieb und Instandhaltung bis hin zu Lieferketten. Die Kooperation umfasst die gemeinsame Entwicklung KI-gestützter industrieller Lösungen sowie die gegenseitige Nutzung technologischer Innovationen zur Optimierung der eigenen Betriebsabläufe.

mehr lesen

atp weekly

Der Newsletter der Branche

Ihr kostenfreier E-Mail-Newsletter für alle Belange der Automatiserung.
Jetzt anmelden

Sie möchten das atp magazin testen

Bestellen Sie Ihr kostenloses Probeheft

Überzeugen Sie sich selbst: Gerne senden wir Ihnen das atp magazin kostenlos und unverbindlich zur Probe!

Jetzt bestellen
Finance Illustration 03
Datenschutz
Impressum | Datenschutzhinweise
atpinfo.de, Inhaber: Vulkan-Verlag GmbH (Firmensitz: Deutschland), würde gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Datenschutz
Impressum | Datenschutzhinweise
atpinfo.de, Inhaber: Vulkan-Verlag GmbH (Firmensitz: Deutschland), würde gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Analyse / Statistik (1 Dienst)
Anonyme Auswertung zur Fehlerbehebung und Weiterentwicklung
Google Analytics
Google LLC, USA
ⓘ Alle Details
ⓘ Alle Details
Notwendige Dienste (1 Dienst)
Unbedingte technisch notwendige Dienste. Keine Einwilligung erforderlich.
WP Statistics
VeronaLabs, Neuseeland
ⓘ Alle Details
ⓘ Alle Details