Cyber Resilience Act: Deutsche Industrie startet Umsetzung, aber Standards werden übersehen

von belmedia Redaktion

Eine ONEKEY-Umfrage zeigt: Über die Hälfte der deutschen Unternehmen bereitet sich auf den EU Cyber Resilience Act vor, doch viele Normen bleiben unberücksichtigt.

Bis zum Inkrafttreten des EU Cyber Resilience Act 2026/27 hat die Industrie noch Nachholbedarf bei wichtigen technischen Standards wie IEC 62443-4-2, ETSI EN 303 645 und RED.

Industrie reagiert auf neue EU-Vorgaben

Die Industrie bereitet sich auf das Ende der Übergangsfrist des EU Cyber Resilience Act (CRA) in den Jahren 2026/27 vor, sollte bei der Erfüllung der damit verbundenen technischen Standards jedoch noch an Fahrt gewinnen. Laut einer Industrieumfrage des Düsseldorfer Cybersicherheitsunternehmens ONEKEY haben bereits 38 Prozent der Unternehmen in Deutschland erste Schritte zur Erfüllung der EU-Verordnung eingeleitet, weitere 14 Prozent sogar schon umfangreiche Massnahmen auf den Weg gebracht.

„Es ist erfreulich, dass mehr als die Hälfte der Unternehmen bereits Schritte zur Einhaltung der neuen EU-Verordnung unternommen hat“, erklärt Jan Wendenburg, der CEO von ONEKEY. Das Unternehmen stellt die Ergebnisse der Umfrage im „IoT & OT Cybersecurity Report 2025“ kostenfrei auf seiner Webseite zur Verfügung. Für den Report waren 300 Unternehmen nach ihrem aktuellen Stand und ihrer Strategie bei „Operational Technology“ (OT), also beispielsweise industriellen Steuerungssystemen, und „Internet of Things“ (IoT), von Geräten für das Smart Home bis zu Industrierobotern, befragt worden.

Von Industrie 4.0 bis zur IoT-Branche

Die im Jahr 2024 verabschiedete EU-Verordnung zur Stärkung der Cybersicherheit in Europa tritt stufenweise in Kraft und verlangt von der Wirtschaft ab 2026 bzw. 2027 umfangreiche Massnahmen zur Abwehr von Hackerangriffen. Der Schwerpunkt liegt dabei über die zentralen Computer- und Netzwerksysteme der Unternehmen hinausgehend auf Geräten, Maschinen und Anlagen, die „eigentlich“ keine Computer sind, aber über digitale Komponenten und einen Internetzugang verfügen. „Das schliesst den gesamten Themenkomplex Industrie 4.0 und die komplette IoT-Branche ein“, umreisst Jan Wendenburg die Dimension der neuen EU-Cybersicherheitsvorschriften für die Wirtschaft.

Die Umfrage zeigt trotz der bereits eingeleiteten Massnahmen, dass ein Grossteil der deutschen Industrie bei der Erfüllung der mit dem Cyber Resilience Act verbundenen Standards noch Luft nach oben hat.

IEC 62443-4-2 wird wenig berücksichtigt

So berücksichtigen lediglich 27 Prozent der befragten Firmen die Norm IEC 62443-4-2, die technische Sicherheitsanforderungen für Komponenten industrieller Automatisierungs- und Steuerungssysteme (IACS) definiert. Der etablierte Standard IEC 62443-4-2 bietet etablierte Verfahren zur Erfüllung von technischen Cybersicherheitsanforderungen und hilft so wesentlich, eine zukünftige CRA-Compliance zu erreichen.

Die Norm spezifiziert Anforderungen für die Cybersicherheit von Komponenten wie Embedded Systems, Netzwerkkomponenten, Host-Geräte und Softwareanwendungen, basierend auf sieben grundlegenden Anforderungen (Foundational Requirements): Identifikation und Authentifizierung, Nutzungskontrolle, Systemintegrität, Datenvertraulichkeit, eingeschränkter Datenfluss, zeitnahe Reaktion auf Ereignisse und Ressourcenverfügbarkeit. Diese werden in vier Sicherheitsstufen (Security Levels, SL 0–4) eingeteilt, die den Schutzgrad gegen verschiedene Angreiferklassen angeben, von unbeabsichtigtem Missbrauch (SL 1) bis zu intensiven Angriffen (SL 4). Ziel ist es, die Sicherheitsfähigkeiten von Komponenten (SL-C) so festzulegen, dass diese in der Lage sind, Attacken ohne zusätzliche Gegenmassnahmen abzuwehren.

ETSI EN 303 645 findet wenig Beachtung

Ein zweiter für die CRA-Compliance wesentlicher Standard – ETSI EN 303 645 – findet laut ONEKEY-Report bei der Produktentwicklung ebenfalls wenig Beachtung. Nur ein Viertel der befragten Unternehmen berücksichtigen diese Norm ETSI EN 303 645, die Cybersicherheitsanforderungen für vernetzte Verbrauchergeräte festlegt, um grundlegenden Schutz vor Cyberangriffen zu gewährleisten.

Die Norm umfasst 13 Kernanforderungen, darunter sichere Standardkonfigurationen, Schutz personenbezogener Daten, Software-Updates und sichere Kommunikation. Sie ist eng mit dem EU Cyber Resilience Act verbunden, da sie als harmonisierte Norm dient, um CRA-Anforderungen für IoT-Geräte zu erfüllen – insbesondere für die sichere Entwicklung, das Schwachstellenmanagement und die Transparenz. Hersteller können durch Konformität mit ETSI EN 303 645 eine wesentliche Voraussetzung und Basis für die zukünftige CRA-Compliance schaffen, um damit auch die notwendige CE-Kennzeichnung für den EU-Markt zu erhalten.

Nachholbedarf bei Funknorm RED

Nachholbedarf hat die Industrie laut ONEKEY-Report auch beim Standard RED (EN18031). Diese Funkanlagenrichtlinie findet aktuell nur bei 16% der befragten Unternehmen Beachtung, ist jedoch von zentraler Bedeutung für vernetzte Geräte, Anlagen und Maschinen, da immer mehr industrielle Maschinen, Sensoren, Aktoren und andere Digitalprodukte über Funk vernetzt werden.

Die Richtlinie soll sicherstellen, dass diese Geräte eine elektromagnetische Verträglichkeit gewährleisten, um Störungen im Funkverkehr zu vermeiden. Sie fordert von den Herstellern, dass ihre Produkte, soweit sie Funktechnologien nutzen, den wesentlichen Anforderungen entsprechen, bevor sie auf den europäischen Markt gebracht werden. Die Erfüllung der Anforderungen des RED-Standards ist ebenfalls ein wichtiger Baustein für die zukünftige Compliance mit dem Cyber Resilience Act.

Jan Wendenburg kommentiert: „Die EU hat mit dem Cyber Resilience Act ein sehr umfangreiches Regelwerk geschaffen, von technischen Normen bis hin zu Meldepflichten. Dem entsprechend hoch sind die Herausforderungen für die Industrie, den CRA vollumfänglich umzusetzen. Genau dies ist jedoch bald die Voraussetzung, um vernetzte Geräte, Systeme und Anlagen in der EU zu verkaufen, in Verkehr zu bringen oder zu betreiben.“

Hilfestellung durch Assessment-Workshops

ONEKEY unterstützt Unternehmen mit praxisnahen Assessment-Workshops (RED-Readiness und CRA-Readiness). In einführenden Sessions erfahren Teilnehmende, welche konkreten Auswirkungen RED und CRA auf ihren Betrieb haben und erhalten darauf basierend einen individuellen Bewertungsplan.

Im Rahmen einer detaillierten Prozessüberprüfung werden zentrale Bereiche wie Softwareentwicklung und Schwachstellenmanagement analysiert. Darüber hinaus deckt eine GAP-Analyse bestehende Compliance-Lücken auf und zeigt Möglichkeiten zu deren Behebung.

Am Ende des Workshops erhält jedes Unternehmen eine massgeschneiderte Roadmap, die klar aufzeigt, wie sich die Anforderungen aus RED und CRA strukturiert und effizient umsetzen lassen.

 

Quelle: euromarcom public relations / ONEKEY
Bildquelle: izzuanroslan/shutterstock.com / ONEKEY

Publireportagen

Empfehlungen

MEHR LESEN