Bis Ende 2027 soll der EU Cyber Resilience Act (CRA) umgesetzt sein. Durch die neue EU-Verordnung soll erstmals ein Mindestmaß an Cybersicherheit für alle vernetzten Hard- und Softwareprodukte auf dem EU-Markt gewährleistet werden. Zahlreiche Unternehmen haben sich bereits mit den dafür notwendigen Maßnahmen auseinandergesetzt, wie eine aktuelle Umfrage belegt. Jedoch gibt es bei vielen Marktteilnehmern noch erheblichen Aufholbedarf, um den Regelungen der neuen Vorschriften, die in allen EU-Mitgliedstaaten gelten, gerecht zu werden.
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act ist eine im Oktober 2024 vom Europäischen Parlament beschlossene Verordnung, welche die Cybersicherheit von „Produkten mit digitalen Elementen verbessern“ soll. Damit gemeint sind also nicht nur klassische Computer oder Netzwerksysteme, sondern auch Geräte, Maschinen und Anlagen, die über digitale Komponenten und einen Internetzugang verfügen. Somit sind vor allem Marktteilnehmer im Bereich Industrie 4.0 sowie die IoT-Branche angesprochen. Die mit der neuen EU-Cybersicherheitsvorschrift verbundenden Maßnahmen, etwa zur Abwehr von Hackerangriffen, müssen bis Ende 2027 schrittweise umgesetzt werden.
Großteil der deutschen Industrie hat nachholbedarf in Sachen Cybersecurity
Laut einer aktuellen Industrieumfrage des Düsseldorfer Cybersicherheitsunternehmens Onekey sind derzeit noch rund 68 Prozent der Unternehmen nicht mit dem Cyber Resilience Act vertraut. Lediglich 14 Prozent der Unternehmen in Deutschland haben bereits umfangreiche Maßnahmen auf den Weg gebracht. 38 Prozent haben nach eigenen Angaben bislang erst einleitende Schritte zur Erfüllung der neuen EU-Verordnung unternommen. Somit besteht bei einem Großteil der Unternehmen noch viel Nachholbedarf bei der Umsetzung des CRA.
Wichtige Normen finden bislang wenig Beachtung
Wengier als 30 Prozent der befragten Unternehmen berücksichtigen bislang etwa die Norm IEC 62443-4-2, durch die die Cybersicherheit bei industriellen Automatisierungs- und Steuerungssystemen festgelegt ist. Auch die europäische Norm „Cyber Security for Consumer Internet of Things: Baseline Requirements“ (ETSI EN 303 645), die die Basissicherheitsanforderungen an IoT-Geräte für Verbraucher definiert, findet bislang wenig Beachtung. Außerdem gibt es ehrbelichen Nachholbedarf bei der Funkanlagenrichtlinie RED (EN18031). Lediglich 16 Prozent der Unternehmen haben die Norm, die eine elektromagnetische Verträglichkeit bei Geräten gewährleistet um Störungen im Funkverkehr zu vermeiden, bislang berücksichtigt. Diese und weitere Normen sind laut Onekey jedoch wesentliche Standards, um eine zukünftige CRA-Compliance zu erreichen.
Jan Wendenburg, CEO der Onekey GmbH, betont trotzdem vor allem die positiven Aspekete des Reports. Demanch sei es erfreulich, dass mehr als die Hälfte der befragten Unternehmen Schritte zur Einhaltung der neuen EU-Verordnung unternommen hätten. Jedoch sollten die Maßnahmen der Industrie zur Erfüllung der notwendigen technischen Standards noch an Fahrt gewinnen. Dabei helfen können praxisnahen Assessment-Workshops, die Mitarbeitende speziell für die jeweiligen Bedarf schulen. Im Rahmen des IoT & OT Cybersecurity Report 2025 wurden 300 Unternehmen nach dem aktuellen Stand und ihrer Strategie bei „Operational Technology“ (OT) befragt.