Der „IoT & OT Cybersecurity Report 2025“ des Security-Anbieters ONEKEY offenbart: Die Mehrheit der Unternehmen in Deutschland bereitet sich unzureichend auf die Anforderungen des EU Cyber Resilience Act vor. Dabei treten bereits im Herbst 2026 zentrale Meldepflichten in Kraft. ONEKEY bietet mit seiner Plattform und gezielten Workshops praxisnahe Unterstützung.
Unternehmen in Deutschland stehen durch den EU Cyber Resilience Act (CRA) vor wachsenden Pflichten zur Absicherung und Dokumentation ihrer digitalen Produkte. Doch trotz des nahenden Inkrafttretens zentraler Regelungen zeigt eine aktuelle Studie deutliche Lücken in der praktischen Vorbereitung.
Laut dem „IoT & OT Cybersecurity Report 2025“ des Düsseldorfer Security-Anbieters ONEKEY führt nur etwa ein Drittel (30 Prozent) der befragten Unternehmen mindestens einmal pro Jahr eine Schulung zum CRA durch. Weitere 28 Prozent geben an, lediglich alle ein bis zwei Jahre Schulungen anzubieten. Knapp ein Fünftel (19 Prozent) schult selten oder gar nicht.
Mangelnde Schulung trotz hoher Relevanz
Die Ergebnisse wiegen schwer, da der CRA bereits ab Herbst 2026 für Hersteller, Betreiber und Inverkehrbringer digitaler Produkte verbindliche Meldepflichten bei Sicherheitsvorfällen vorsieht. Ab 2027 müssen alle Anforderungen vollständig umgesetzt sein – einschließlich Nachweis grundlegender Cybersicherheitsfunktionen, kontinuierlicher Sicherheitsupdates, Schwachstellenbehebung und einer Software-Stückliste (SBOM). Verstöße können empfindliche Geldstrafen nach sich ziehen.
„Der niedrige Schulungsstand ist umso bemerkenswerter, als die Bedrohungslage weiterhin hoch ist“, warnt ONEKEY-CEO Jan Wendenburg und verweist auf die polizeiliche Kriminalstatistik, die mehr als 130.000 Cybercrime-Fälle in Deutschland – mit einem geschätzten Schaden von rund 180 Milliarden Euro – zählt.
Verstärkte Gefährdung durch KI und Vernetzung
Neben der allgemeinen Bedrohungslage verschärfen neue Technologien wie Künstliche Intelligenz die Situation weiter. „Die weiterhin zunehmende Digitalisierung und Vernetzung sowie die Nutzung von Künstlicher Intelligenz durch Cyberkriminelle wird die Situation noch verschärfen“, so Wendenburg. Bereits jetzt berichten laut Studie 35 Prozent der befragten Unternehmen von Cybersicherheitsvorfällen im Zusammenhang mit CRA-Vorgaben.
ONEKEY unterstützt mit Compliance-Plattform und Workshops
Zur Unterstützung bietet ONEKEY eine automatisierte Plattform für Product & Cybersecurity Compliance, die Funktionen wie SBOM-Erstellung, Schwachstellenmanagement und regulatorische Prüfungen umfasst. Damit lassen sich Aufwand und Kosten reduzieren – ohne direkten Zugriff auf Quellcode oder Systeme.
Ergänzend hat das Unternehmen einen CRA Readiness Assessment-Workshop entwickelt. Teilnehmende erfahren dort praxisnah, welche Auswirkungen der CRA auf das eigene Unternehmen hat. Inhalte sind unter anderem:
- Analyse relevanter Geschäftsprozesse und Schwachstellenmanagement
- GAP-Analyse zur Ermittlung bestehender Compliance-Lücken
- Entwicklung einer individuellen Roadmap zur CRA-Umsetzung
Am Ende erhalten die Unternehmen ein strukturiertes Maßnahmenpaket zur effizienten Erfüllung der CRA-Anforderungen.
Automatisierung für den gesamten Produktlebenszyklus
Ein zentrales Element der Plattform ist der patentierte ONEKEY Compliance Wizard, der neben dem CRA auch weitere Standards wie IEC 62443-4-2, ETSI EN 303 645 oder UNECE R155 abdeckt. Durch die Nutzung sogenannter „Digital Cyber Twins“ kann die Cybersicherheit eines Produkts auch nach dem Release fortlaufend automatisiert überwacht werden.
Die Plattform ist bereits bei Unternehmen weltweit im Einsatz – unter anderem in Europa, Asien und Amerika – und unterstützt diese bei der Absicherung ihrer Software-Lieferketten über den gesamten Lebenszyklus hinweg.
Hier finden Sie weitere Informationen zu Oneykey.