Herausforderungen der Cyber Resilience Act für deutsche Unternehmen
Inhaltsverzeichnis
Optimieren Sie Prozesse, automatisieren Sie Workflows und fördern Sie Zusammenarbeit – alles an einem Ort.
Das Wichtigste in Kürze
- Die EU-Cyber Resilience Act (CRA) trifft auf mangelnde Kenntnis in deutschen Unternehmen: Nur ein Drittel ist vollständig informiert.
- Besonders herausfordernd sind Meldepflichten bei Sicherheitsvorfällen, „Secure-by-Design“-Prinzipien und die Erstellung von Software Bills of Materials (SBOM).
- Die Nichtbeachtung der CRA kann zu erheblichen Geldstrafen und rechtlichen Konsequenzen führen.
- Der zunehmende Fokus auf IT-Sicherheit vernachlässigt oft die Sicherheit von industriellen Steuerungssystemen (OT).
- Unternehmen müssen ihre Strategien zur Cybersicherheit überdenken und die CRA-Anforderungen in ihre Prozesse integrieren.
Die Cyber Resilience Act: Ein Wissensdefizit in der deutschen Wirtschaft
Die im September 2025 in Kraft tretende EU-Cyber Resilience Act (CRA) stellt deutsche Unternehmen vor erhebliche Herausforderungen. Eine aktuelle Studie von ONEKEY unter 300 Industrieunternehmen zeigt ein besorgniserregendes Bild: Ein Großteil der befragten Unternehmen ist mit den Anforderungen der Verordnung nicht ausreichend vertraut. Nur etwa 32% der Teilnehmer gaben an, die Vorgaben der CRA vollständig zu kennen, während weitere 36% zumindest mit deren Prüfung begonnen haben. Über ein Viertel (27%) hat sich jedoch bisher überhaupt nicht mit dem Thema auseinandergesetzt.
Umfangreiche Anforderungen und deren Umsetzung
Die CRA umfasst weitreichende Verpflichtungen für Hersteller, Importeure und Händler vernetzter Geräte, Maschinen und Systeme. Zu den zentralen Aspekten gehören die Entwicklung sicherer Produkte nach dem Prinzip „Security by Design“, die Gewährleistung der Sicherheit über den gesamten Produktlebenszyklus hinweg sowie die aktive Meldung von Sicherheitslücken und schwerwiegenden Vorfällen an die Europäische Agentur für Cybersicherheit (ENISA) und die nationalen CSIRT innerhalb von 24 Stunden. Weitere Anforderungen betreffen regelmäßige Sicherheitsupdates, die Bereitstellung umfassender Produktdokumentationen inklusive Software Bills of Materials (SBOM) und die nachweisliche Erfüllung der Compliance-Anforderungen.
Herausforderungen in der praktischen Umsetzung
Die Studie von ONEKEY beleuchtet die größten Herausforderungen bei der Umsetzung der CRA. Die verpflichtende 24-Stunden-Meldung von Sicherheitsvorfällen wird von 37% der Unternehmen als größte Hürde angesehen. Die Einhaltung der „Secure-by-Design“- und „Secure-by-Default“-Kriterien wird von 35% als besonders schwierig bewertet. Die Erstellung von SBOMs und das Management von Software-Sicherheitslücken stellen für jeweils rund 29% der Befragten eine bedeutende Schwierigkeit dar. Diese Ergebnisse verdeutlichen die Notwendigkeit einer intensiven Auseinandersetzung mit den technischen und organisatorischen Implikationen der CRA.
Veränderte Denkweise in den Führungsetagen
Die Studie unterstreicht die Notwendigkeit eines Umdenkens in den Unternehmen. Bisher lag der Fokus vieler Hersteller primär auf der Funktionalität ihrer Produkte, während die Sicherheitsaspekte oft vernachlässigt wurden. Die CRA erfordert nun eine gleichwertige Berücksichtigung beider Aspekte. Dieser Wandel in der Denkweise braucht Zeit, doch die Konsequenzen einer unzureichenden Umsetzung sind erheblich. Produkte, die die CRA-Anforderungen nicht erfüllen, dürfen in der EU nicht mehr verkauft oder betrieben werden. Die drohenden Bußgelder von bis zu 15 Millionen Euro oder 2,5% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, stellen einen weiteren wichtigen Anreiz für eine zeitnahe Umsetzung dar.
Vernachlässigung der OT-Sicherheit
Ein weiterer wichtiger Punkt ist die oft unzureichende Berücksichtigung der Sicherheit von industriellen Steuerungssystemen (OT). Während IT-Systeme im Fokus stehen, werden OT-Systeme in Maschinen und Anlagen häufig vernachlässigt. Die zunehmende Vernetzung industrieller Prozesse erhöht jedoch das Risiko von Cyberangriffen auf diese Systeme. Die Studie betont die Notwendigkeit, in Produktionsstätten und Logistikzentren die gleichen hohen Sicherheitsstandards wie in Rechenzentren anzuwenden.
Fazit und Ausblick
Die Ergebnisse der ONEKEY-Studie zeigen deutlich, dass die deutsche Wirtschaft die Herausforderungen der Cyber Resilience Act noch nicht ausreichend ernst nimmt. Die mangelnde Kenntnis der Anforderungen und die Schwierigkeiten bei deren Umsetzung unterstreichen die Notwendigkeit für Unternehmen, sich intensiv mit den Vorgaben auseinanderzusetzen und entsprechende Maßnahmen zur Compliance zu ergreifen. Die drohenden finanziellen und rechtlichen Konsequenzen, sowie die steigende Bedrohungslage, machen eine unverzügliche Anpassung der Sicherheitsstrategien unerlässlich. Eine umfassende Risikoanalyse und die Implementierung geeigneter Sicherheitslösungen sind entscheidend, um die Anforderungen der CRA zu erfüllen und die eigene Widerstandsfähigkeit gegen Cyberangriffe zu stärken.
Bibliography - IoT Tech News: Cyber Resilience Act – nearly two-thirds of companies still unaware - ONEKEY Press Release: Study: Final push for the Cyber Resilience Act – nearly two-thirds of companies still unaware - Presseportal: Pressemitteilungen zum Thema Cyber Resilience Act - ONEKEY Press Releases: Weitere Pressemitteilungen von ONEKEY - Presseportal: Suchfunktion für "Cyber Resilience Act" - IoT Tech News: FCC investigation threatens launch of IoT security program - ScienceDirect: Fachartikel zum Thema IoT-Sicherheit (Beispielartikel) - Cyber Resilience Act Website: Informationen zum aktuellen Stand der Umsetzung - TechHQ News: Nachrichten und Artikel zum Thema Cybersicherheit - MuckRack: Medienkontakte für IoT Tech NewsArtikel jetzt als Podcast anhören
.svg){kind=logo}
.png){kind=logo}
