Dokument

Der EU Cyber Resilience Act (CRA) verlangt von der Industrie ab diesem Jahr umfangreiche Maßnahmen bei der Entwicklung und Überwachung von sicheren Produkten zur Abwehr von Hackerangriffen. Doch die Frage der Zuständigkeit für die Einhaltung der EU-Verordnung zur Stärkung der Produkt-Cybersicherheit ist in der Industrie noch weitgehend ungeklärt. Dies geht aus dem aktuellen „IoT & OT Cybersecurity Report“ des Düsseldorfer Cybersicherheitsunternehmens ONEKEY hervor.

Für die Untersuchung waren 300 Unternehmen nach ihrer CRA-Strategie bei „Operational Technology“ (OT), also beispielsweise industriellen Steuerungssystemen, und „Internet of Things“ (IoT), vom Smart Building bis zu Industrierobotern, befragt worden.
Demnach liegt die Hauptverantwortung für die Erfüllung des Cyber Resilience Act in 46 Prozent der Unternehmen bei der IT-Sicherheit. Bei gut einem Fünftel (21 Prozent) trägt in erster Linie die Compliance-Abteilung die Verantwortung. In 18 Prozent aller Fälle ist die Geschäftsleitung zuständig, in 16 Prozent die Rechtsabteilung und in 15 Prozent der befragten Firmen die Produktentwicklung. „Die Zuständigkeiten sollten noch klarer gebündelt und definiert werden“, analysiert Jan Wendenburg, CEO von ONEKEY, die Ergebnisse. Er erklärt: „Die große Bandbreite der CRA-Verantwortungsträger in der Industrie hängt damit zusammen, dass die Verordnung selbst ein breites Spektrum an Themen berührt.“

So müssen die Hersteller vernetzter Produkte ihre Geräte, Maschinen und Anlagen von Grund auf so entwickeln, dass sie von Anfang an sicher sind (Security by Design) und während ihres gesamten Lebenszyklus den Anforderungen des CRA entsprechen. „Das ist zweifellos eine Anforderung, bei der Engineering und Produktentwicklung gefragt sind“, sagt Jan Wendenburg. Darüber hinaus sind die Anbieter verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, die die Sicherheit ihrer Produkte beeinträchtigen, innerhalb von 24 Stunden der europäischen Cybersecurity-Behörde ENISA und dem zuständigen nationalen CSIRT (Computer Security Incident Response Team) zu melden. „Das berührt in der Regel die IT-Sicherheitsabteilung“, ordnet Jan Wendenburg zu.

Zudem sind die Anbieter verpflichtet, in regelmäßigen Abständen Sicherheitsupdates bereitzustellen, um bekannte Schwachstellen zu schließen und die Produktsicherheit zu gewährleisten. Ebenso erforderlich ist eine vollständige Dokumentation sämtlicher Produkte, einschließlich einer Software-Stückliste (Software Bill of Materials, SBOM), die Transparenz und Rückverfolgbarkeit der eingesetzten Komponenten ermöglicht. „Diese Aufgaben fallen in der Regel in die Verantwortung von Entwicklung und Produktion.“, sagt Jan Wendenburg.

Die dazugehörige Dokumentation als Nachweis der Konformität mit den CRA-Anforderungen stuft der ONEKEY-CEO hingegen primär als Verantwortungsbereich des Produkt Managements in Zusammenarbeit mit der Compliance-Abteilung ein. Bei Verstößen gegen die EU-Verordnung drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist - ein Fall für die Juristen im Unternehmen. Und schließlich ist auch das Risiko der persönlichen Haftung von Vorstand bzw. Geschäftsführung nicht zu übersehen - insofern ist es verständlich, wenn die oberste Führungsebene sich ebenfalls in die betriebliche Umsetzung des Cyber Resilience Act involviert.

Jan Wendenburg stellt klar: „Der Cyber Resilience Act ist tatsächlich so abteilungs- und funktionsübergreifend, dass die Zuständigkeit im Unternehmen nicht auf der Hand liegt. Was auf den ersten Blick wie Verantwortungs-Wirrwarr aussieht, ist bei genauerem Hinsehen also nachvollziehbar. Die Herausforderung für die Industrie besteht darin, der EU-Verordnung in ihrer gesamten Breite gerecht zu werden.“

www.onekey.com/de

News vom: 13.11.2025

Bildunterschrift: Für die Einhaltung der CRA-Anforderungen verantwortliche Abteilungen oder Funktionen laut ONEKEY IoT & OT Cybersecurity Report 2025

Grafik: ONEKEY GmbH