Düsseldorf (ots) -
ONEKEY IoT & OT Cybersecurity Report 2025: Über die Hälfte der Unternehmen hat Maßnahmen zur Erfüllung des EU Cyber Resilience Act eingeleitet, aber bei der Umsetzung besteht Nachholbedarf
Die Industrie bereitet sich auf das Ende der Übergangsfrist des EU Cyber Resilience Act (CRA) in den Jahren 2026/27 vor, sollte bei der Erfüllung der damit verbundenen technischen Standards jedoch noch an Fahrt gewinnen. Laut einer Industrieumfrage des Düsseldorfer Cybersicherheitsunternehmens ONEKEY (http://www.onekey.com/) haben bereits 38 Prozent der Unternehmen in Deutschland erste Schritte zur Erfüllung der EU-Verordnung eingeleitet, weitere 14 Prozent sogar schon umfangreiche Maßnahmen auf den Weg gebracht.
"Es ist erfreulich, dass mehr als die Hälfte der Unternehmen bereits Schritte zur Einhaltung der neuen EU-Verordnung unternommen hat", erklärt Jan Wendenburg, der CEO von ONEKEY. Das Unternehmen stellt die Ergebnisse der Umfrage im "IoT & OT Cybersecurity Report 2025" kostenfrei auf seiner Webseite zur Verfügung: https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025. Für den Report waren 300 Unternehmen nach ihrem aktuellen Stand und ihrer Strategie bei "Operational Technology" (OT), also beispielsweise industriellen Steuerungssystemen, und "Internet of Things" (IoT), von Geräten für das Smart Home bis zu Industrierobotern, befragt worden.
Von Industrie 4.0 bis zur IoT-Branche
Die im Jahr 2024 verabschiedete EU-Verordnung zur Stärkung der Cybersicherheit in Europa tritt stufenweise in Kraft und verlangt von der Wirtschaft ab 2026 bzw. 2027 umfangreiche Maßnahmen zur Abwehr von Hackerangriffen. Der Schwerpunkt liegt dabei über die zentralen Computer- und Netzwerksysteme der Unternehmen hinausgehend auf Geräten, Maschinen und Anlagen, die "eigentlich" keine Computer sind, aber über digitale Komponenten und einen Internetzugang verfügen. "Das schließt den gesamten Themenkomplex Industrie 4.0 und die komplette IoT-Branche ein", umreißt Jan Wendenburg die Dimension der neuen EU-Cybersicherheitsvorschriften für die Wirtschaft.
Die Umfrage zeigt trotz der bereits eingeleiteten Maßnahmen, dass ein Großteil der deutschen Industrie bei der Erfüllung der mit dem Cyber Resilience Act verbundenen Standards noch Luft nach oben hat.
IEC 62443-4-2 wird wenig berücksichtigt
So berücksichtigen lediglich 27 Prozent der befragten Firmen die Norm IEC 62443-4-2, die technische Sicherheitsanforderungen für Komponenten industrieller Automatisierungs- und Steuerungssysteme (IACS) definiert. Der etablierte Standard IEC 62443-4-2 bietet etablierte Verfahren zur Erfüllung von technischen Cybersicherheitsanforderungen und hilft so wesentlich eine zukünftige CRA-Compliance zu erreichen.
Die Norm spezifiziert Anforderungen für die Cybersicherheit von Komponenten wie Embedded Systems, Netzwerkkomponenten, Host-Geräte und Softwareanwendungen, basierend auf sieben grundlegenden Anforderungen (Foundational Requirements): Identifikation und Authentifizierung, Nutzungskontrolle, Systemintegrität, Datenvertraulichkeit, eingeschränkter Datenfluss, zeitnahe Reaktion auf Ereignisse und Ressourcenverfügbarkeit. Diese werden in vier Sicherheitsstufen (Security Levels, SL 0-4) eingeteilt, die den Schutzgrad gegen verschiedene Angreiferklassen angeben, von unbeabsichtigtem Missbrauch (SL 1) bis zu intensiven Angriffen (SL 4). Ziel ist es, die Sicherheitsfähigkeiten von Komponenten (SL-C) so festzulegen, dass diese in der Lage sind Attacken ohne zusätzliche Gegenmaßnahmen abzuwehren.
ETSI EN 303 645 findet wenig Beachtung
Ein zweiter für die CRA-Compliance wesentlicher Standard - ETSI EN 303 645 - findet laut ONEKEY-Report bei der Produktentwicklung ebenfalls wenig Beachtung. Nur ein Viertel der befragten Unternehmen berücksichtigen diese Norm ETSI EN 303 645, die Cybersicherheitsanforderungen für vernetzte Verbrauchergeräte festlegt, um grundlegenden Schutz vor Cyberangriffen zu gewährleisten.
Die Norm umfasst 13 Kernanforderungen, darunter sichere Standardkonfigurationen, Schutz personenbezogener Daten, Software-Updates und sichere Kommunikation. Sie ist eng mit dem EU Cyber Resilience Act verbunden, da sie als harmonisierte Norm dient, um CRA-Anforderungen für IoT-Geräte zu erfüllen, insbesondere für die sichere Entwicklung, das Schwachstellenmanagement und die Transparenz. Hersteller können durch Konformität mit ETSI EN 303 645 eine wesentliche Voraussetzung und Basis für die zukünftige CRA-Compliance schaffen, um damit auch die notwendige CE-Kennzeichnung für den EU-Markt zu erhalten.
Nachholbedarf bei Funknorm RED
Nachholbedarf hat die Industrie laut ONEKEY-Report auch beim Standard RED (EN18031). Diese Funkanlagenrichtlinie findet aktuell nur bei 16% der befragten Unternehmen Beachtung, ist jedoch von zentraler Bedeutung für vernetzte Geräte, Anlagen und Maschinen, da immer mehr industrielle Maschinen, Sensoren, Aktoren und andere Digitalprodukte über Funk vernetzt werden. Die Richtlinie soll sicherstellen, dass diese Geräte eine elektromagnetische Verträglichkeit gewährleisten, um Störungen im Funkverkehr zu vermeiden. Sie fordert von den Herstellern, dass ihre Produkte, sowie sie Funktechnologien nutzen, den wesentlichen Anforderungen entsprechen, bevor sie auf den europäischen Markt gebracht werden. Die Erfüllung der Anforderungen des RED-Standards ist ebenfalls ein wichtiger Baustein für die zukünftige Compliance mit dem Cyber Resilience Act.
Jan Wendenburg kommentiert: "Die EU hat mit dem Cyber Resilience Act ein sehr umfangreiches Regelwerk geschaffen, von technischen Normen bis hin zu Meldepflichten. Dem entsprechend hoch sind die Herausforderungen für die Industrie, den CRA vollumfänglich umzusetzen. Genau dies ist jedoch bald die Voraussetzung, um vernetzte Geräte, Systeme und Anlagen in der EU zu verkaufen, in Verkehr zu bringen oder zu betreiben."
Hilfestellung durch Assessment-Workshops
ONEKEY unterstützt Unternehmen mit praxisnahen Assessment-Workshops (RED-Readiness (https://ots.de/wHkWdK) und CRA-Readiness (https://ots.de/sU18Ql)). In einführenden Sessions erfahren Teilnehmende, welche konkreten Auswirkungen RED und CRA auf ihren Betrieb haben und erhalten darauf basierend einen individuellen Bewertungsplan.
Im Rahmen einer detaillierten Prozessüberprüfung werden zentrale Bereiche wie Softwareentwicklung und Schwachstellenmanagement analysiert. Darüber hinaus deckt eine GAP-Analyse bestehende Compliance-Lücken auf und zeigt Möglichkeiten zu deren Behebung.
Am Ende des Workshops erhält jedes Unternehmen eine maßgeschneiderte Roadmap, die klar aufzeigt, wie sich die Anforderungen aus RED und CRA strukturiert und effizient umsetzen lassen.
ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bills of Materials (SBOMs)" können Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins" ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte ONEKEY Compliance Wizard deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform (OCP) und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Toulouser Allee 19A, 40211 Düsseldorf, Deutschland,
Web: https://onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: team@euromarcom.de, Web: www.euromarcom.de
Original-Content von: ONEKEY GmbH, übermittelt durch news aktuell
Originalmeldung: https://www.presseportal.de/pm/151206/6141900
ONEKEY IoT & OT Cybersecurity Report 2025: Über die Hälfte der Unternehmen hat Maßnahmen zur Erfüllung des EU Cyber Resilience Act eingeleitet, aber bei der Umsetzung besteht Nachholbedarf
Die Industrie bereitet sich auf das Ende der Übergangsfrist des EU Cyber Resilience Act (CRA) in den Jahren 2026/27 vor, sollte bei der Erfüllung der damit verbundenen technischen Standards jedoch noch an Fahrt gewinnen. Laut einer Industrieumfrage des Düsseldorfer Cybersicherheitsunternehmens ONEKEY (http://www.onekey.com/) haben bereits 38 Prozent der Unternehmen in Deutschland erste Schritte zur Erfüllung der EU-Verordnung eingeleitet, weitere 14 Prozent sogar schon umfangreiche Maßnahmen auf den Weg gebracht.
"Es ist erfreulich, dass mehr als die Hälfte der Unternehmen bereits Schritte zur Einhaltung der neuen EU-Verordnung unternommen hat", erklärt Jan Wendenburg, der CEO von ONEKEY. Das Unternehmen stellt die Ergebnisse der Umfrage im "IoT & OT Cybersecurity Report 2025" kostenfrei auf seiner Webseite zur Verfügung: https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025. Für den Report waren 300 Unternehmen nach ihrem aktuellen Stand und ihrer Strategie bei "Operational Technology" (OT), also beispielsweise industriellen Steuerungssystemen, und "Internet of Things" (IoT), von Geräten für das Smart Home bis zu Industrierobotern, befragt worden.
Von Industrie 4.0 bis zur IoT-Branche
Die im Jahr 2024 verabschiedete EU-Verordnung zur Stärkung der Cybersicherheit in Europa tritt stufenweise in Kraft und verlangt von der Wirtschaft ab 2026 bzw. 2027 umfangreiche Maßnahmen zur Abwehr von Hackerangriffen. Der Schwerpunkt liegt dabei über die zentralen Computer- und Netzwerksysteme der Unternehmen hinausgehend auf Geräten, Maschinen und Anlagen, die "eigentlich" keine Computer sind, aber über digitale Komponenten und einen Internetzugang verfügen. "Das schließt den gesamten Themenkomplex Industrie 4.0 und die komplette IoT-Branche ein", umreißt Jan Wendenburg die Dimension der neuen EU-Cybersicherheitsvorschriften für die Wirtschaft.
Die Umfrage zeigt trotz der bereits eingeleiteten Maßnahmen, dass ein Großteil der deutschen Industrie bei der Erfüllung der mit dem Cyber Resilience Act verbundenen Standards noch Luft nach oben hat.
IEC 62443-4-2 wird wenig berücksichtigt
So berücksichtigen lediglich 27 Prozent der befragten Firmen die Norm IEC 62443-4-2, die technische Sicherheitsanforderungen für Komponenten industrieller Automatisierungs- und Steuerungssysteme (IACS) definiert. Der etablierte Standard IEC 62443-4-2 bietet etablierte Verfahren zur Erfüllung von technischen Cybersicherheitsanforderungen und hilft so wesentlich eine zukünftige CRA-Compliance zu erreichen.
Die Norm spezifiziert Anforderungen für die Cybersicherheit von Komponenten wie Embedded Systems, Netzwerkkomponenten, Host-Geräte und Softwareanwendungen, basierend auf sieben grundlegenden Anforderungen (Foundational Requirements): Identifikation und Authentifizierung, Nutzungskontrolle, Systemintegrität, Datenvertraulichkeit, eingeschränkter Datenfluss, zeitnahe Reaktion auf Ereignisse und Ressourcenverfügbarkeit. Diese werden in vier Sicherheitsstufen (Security Levels, SL 0-4) eingeteilt, die den Schutzgrad gegen verschiedene Angreiferklassen angeben, von unbeabsichtigtem Missbrauch (SL 1) bis zu intensiven Angriffen (SL 4). Ziel ist es, die Sicherheitsfähigkeiten von Komponenten (SL-C) so festzulegen, dass diese in der Lage sind Attacken ohne zusätzliche Gegenmaßnahmen abzuwehren.
ETSI EN 303 645 findet wenig Beachtung
Ein zweiter für die CRA-Compliance wesentlicher Standard - ETSI EN 303 645 - findet laut ONEKEY-Report bei der Produktentwicklung ebenfalls wenig Beachtung. Nur ein Viertel der befragten Unternehmen berücksichtigen diese Norm ETSI EN 303 645, die Cybersicherheitsanforderungen für vernetzte Verbrauchergeräte festlegt, um grundlegenden Schutz vor Cyberangriffen zu gewährleisten.
Die Norm umfasst 13 Kernanforderungen, darunter sichere Standardkonfigurationen, Schutz personenbezogener Daten, Software-Updates und sichere Kommunikation. Sie ist eng mit dem EU Cyber Resilience Act verbunden, da sie als harmonisierte Norm dient, um CRA-Anforderungen für IoT-Geräte zu erfüllen, insbesondere für die sichere Entwicklung, das Schwachstellenmanagement und die Transparenz. Hersteller können durch Konformität mit ETSI EN 303 645 eine wesentliche Voraussetzung und Basis für die zukünftige CRA-Compliance schaffen, um damit auch die notwendige CE-Kennzeichnung für den EU-Markt zu erhalten.
Nachholbedarf bei Funknorm RED
Nachholbedarf hat die Industrie laut ONEKEY-Report auch beim Standard RED (EN18031). Diese Funkanlagenrichtlinie findet aktuell nur bei 16% der befragten Unternehmen Beachtung, ist jedoch von zentraler Bedeutung für vernetzte Geräte, Anlagen und Maschinen, da immer mehr industrielle Maschinen, Sensoren, Aktoren und andere Digitalprodukte über Funk vernetzt werden. Die Richtlinie soll sicherstellen, dass diese Geräte eine elektromagnetische Verträglichkeit gewährleisten, um Störungen im Funkverkehr zu vermeiden. Sie fordert von den Herstellern, dass ihre Produkte, sowie sie Funktechnologien nutzen, den wesentlichen Anforderungen entsprechen, bevor sie auf den europäischen Markt gebracht werden. Die Erfüllung der Anforderungen des RED-Standards ist ebenfalls ein wichtiger Baustein für die zukünftige Compliance mit dem Cyber Resilience Act.
Jan Wendenburg kommentiert: "Die EU hat mit dem Cyber Resilience Act ein sehr umfangreiches Regelwerk geschaffen, von technischen Normen bis hin zu Meldepflichten. Dem entsprechend hoch sind die Herausforderungen für die Industrie, den CRA vollumfänglich umzusetzen. Genau dies ist jedoch bald die Voraussetzung, um vernetzte Geräte, Systeme und Anlagen in der EU zu verkaufen, in Verkehr zu bringen oder zu betreiben."
Hilfestellung durch Assessment-Workshops
ONEKEY unterstützt Unternehmen mit praxisnahen Assessment-Workshops (RED-Readiness (https://ots.de/wHkWdK) und CRA-Readiness (https://ots.de/sU18Ql)). In einführenden Sessions erfahren Teilnehmende, welche konkreten Auswirkungen RED und CRA auf ihren Betrieb haben und erhalten darauf basierend einen individuellen Bewertungsplan.
Im Rahmen einer detaillierten Prozessüberprüfung werden zentrale Bereiche wie Softwareentwicklung und Schwachstellenmanagement analysiert. Darüber hinaus deckt eine GAP-Analyse bestehende Compliance-Lücken auf und zeigt Möglichkeiten zu deren Behebung.
Am Ende des Workshops erhält jedes Unternehmen eine maßgeschneiderte Roadmap, die klar aufzeigt, wie sich die Anforderungen aus RED und CRA strukturiert und effizient umsetzen lassen.
ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bills of Materials (SBOMs)" können Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins" ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte ONEKEY Compliance Wizard deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform (OCP) und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Toulouser Allee 19A, 40211 Düsseldorf, Deutschland,
Web: https://onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: team@euromarcom.de, Web: www.euromarcom.de
Original-Content von: ONEKEY GmbH, übermittelt durch news aktuell
Originalmeldung: https://www.presseportal.de/pm/151206/6141900
© 2025 news aktuell
