Cybersecurity: Klare Verantwortlichkeiten gefordert
Der EU Cyber Resilience Act (CRA) verlangt von der Industrie ab diesem Jahr umfangreiche Maßnahmen bei der Entwicklung und Überwachung von sicheren Produkten zur Abwehr von Hackerangriffen. Doch die Frage der Zuständigkeit für die Einhaltung der EU-Verordnung zur Stärkung der Produkt-Cybersicherheit ist in der Industrie noch weitgehend ungeklärt. Dies geht aus dem aktuellen\“IoT&OT Cybersecurity Report (https://www.onekey.com/de/resource/iot-ot-cybersecurity-report-2025)\“des Düsseldorfer Cybersicherheitsunternehmens ONEKEY hervor. Für die Untersuchung waren 300 Unternehmen nach ihrer CRA-Strategie bei\“Operational Technology\“(OT), also beispielsweise industriellen Steuerungssystemen, und\“Internet of Things\“(IoT), vom Smart Building bis zu Industrierobotern, befragt worden.
CRA deckt breites Themenspektrum ab
Demnach liegt die Hauptverantwortung für die Erfüllung des Cyber Resilience Act in 46 Prozent der Unternehmen bei der IT-Sicherheit. Bei gut einem Fünftel (21 Prozent) trägt in erster Linie die Compliance-Abteilung die Verantwortung. In 18 Prozent aller Fälle ist die Geschäftsleitung zuständig, in 16 Prozent die Rechtsabteilung und in 15 Prozent der befragten Firmen die Produktentwicklung.\“Die Zuständigkeiten sollten noch klarer gebündelt und definiert werden\“, analysiert Jan Wendenburg, CEO von ONEKEY, die Ergebnisse. Er erklärt:\“Die große Bandbreite der CRA-Verantwortungsträger in der Industrie hängt damit zusammen, dass die Verordnung selbst ein breites Spektrum an Themen berührt.\“
So müssen die Hersteller vernetzter Produkte ihre Geräte, Maschinen und Anlagen von Grund auf so entwickeln, dass sie von Anfang an sicher sind (Security by Design) und während ihres gesamten Lebenszyklus den Anforderungen des CRA entsprechen.\“Das ist zweifellos eine Anforderung, bei der Engineering und Produktentwicklung gefragt sind\“, sagt Jan Wendenburg. Darüber hinaus sind die Anbieter verpflichtet, aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle, die die Sicherheit ihrer Produkte beeinträchtigen, innerhalb von 24 Stunden der europäischen Cybersecurity-Behörde ENISA und dem zuständigen nationalen CSIRT (Computer SecurityIncident Response Team) zu melden.\“Das berührt in der Regel die IT-Sicherheitsabteilung\“, ordnet Jan Wendenburg zu.
Zudem sind die Anbieter verpflichtet, in regelmäßigen Abständen Sicherheitsupdates bereitzustellen, um bekannte Schwachstellen zu schließen und die Produktsicherheit zu gewährleisten. Ebenso erforderlich ist eine vollständige Dokumentation sämtlicher Produkte, einschließlich einer Software-Stückliste (Software Bill ofMaterials, SBOM), die Transparenz und Rückverfolgbarkeit der eingesetzten Komponenten ermöglicht.\“Diese Aufgaben fallen in der Regel in die Verantwortung von Entwicklung und Produktion.\“, sagt Jan Wendenburg.
Die dazugehörige Dokumentation als Nachweis der Konformität mit den CRA-Anforderungen stuft der ONEKEY-CEO hingegen primär als Verantwortungsbereich des Produkt Managements in Zusammenarbeit mit der Compliance-Abteilung ein. Bei Verstößen gegen die EU-Verordnung drohen Bußgelder von bis zu 15Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist – ein Fall für die Juristen im Unternehmen. Und schließlich ist auch das Risiko der persönlichen Haftung von Vorstand bzw. Geschäftsführung nicht zu übersehen – insofern ist es verständlich, wenn die oberste Führungsebene sich ebenfalls in die betriebliche Umsetzung des Cyber Resilience Act involviert.
Jan Wendenburg stellt klar:\“Der Cyber Resilience Act ist tatsächlich so abteilungs- und funktionsübergreifend, dass die Zuständigkeit im Unternehmen nicht auf der Hand liegt. Was auf den ersten Blick wie Verantwortungs-Wirrwarr aussieht, ist bei genauerem Hinsehen also nachvollziehbar. Die Herausforderung für die Industrie besteht darin, der EU-Verordnung in ihrer gesamten Breite gerecht zu werden.\“
Softwareentwicklung kaum gefragt, obwohl SBOM kritisch ist
Entsprechend breit ist auch das Spektrum der Positionen, die mit dem Thema CRA befasst sind, wie der Report zutage gefördert hat. In 18 Prozent aller Unternehmen ist der Produktmanager zuständig, in 17 Prozent der Compliance-Verantwortliche, in 15 Prozent der Chief Information Security Officer (CISO) und in 11 Prozent ein Cybersecurity-Analyst. Der Leiter Softwareentwicklung steht lediglich bei 8 Prozent derFirmen in der Verantwortung für den Cyber Resilience Act, obgleich die Software-Stückliste, die Software Bill of Materials (SBOM), den wichtigsten Schlüssel zur Erfüllung der CRA-Verordnung darstellt. Der Cyber Resilience Act verpflichtet alle Hersteller, die vernetzte Produkte in die EUliefern, im Rahmen der technischen Dokumentation eine SBOM bereitzustellen. Diese hat ausführliche Angaben zu den einzelnen Softwarekomponenten zu enthalten.
\“Die SBOM ist das schwächste Glied in der Compliance-Kette für den Cyber Resilience Act\“, sagt Jan Wendenburg. Er erläutert:\“Der CRA schreibt eine präzise Auflistung sämtlicher Komponenten, Bibliotheken, Frameworks und Abhängigkeiten vor – einschließlich exakter Versionsnummern, Informationen zu den jeweiligen Lizenzen, sowie einer Übersicht aller bekannten Schwachstellen und Sicherheitslücken. Wenn sich auch nur in einer dieser Komponenten ein Einfallstor für Hacker befindet, das nachweislich bereits irgendwo schon ausgenutzt wurde, darf das Produkt oder die Softwareversion nicht auf den Markt gebracht werden. Bei bestehenden Produkten müssen die Behörden innerhalb von 24 Stunden informiert werden. Angesicht vondurchschnittlich über 2.000 neuen Schwachstellen in Softwareprodukten pro Monat ist das keine leichte Aufgabe und ohne eine automatisierte Prüfung im Grunde nicht zu erfüllen.\“
CRA-spezifische Organisation beiüber 40 Prozent der Firmen
Tragen die Unternehmen dem funktions- und abteilungsübergreifenden Handlungsbedarf zur Erfüllung des Cyber Resilience Act durch eine interdisziplinäre Zusammenarbeit im Betrieb Rechnung, wollte ONEKEY im Rahmen der Industrieumfrage wissen. Die Antwort: Bei 28 Prozent der Firmen existiert eine Arbeitsgruppe aus verschiedenen Abteilungen, bei13 Prozent gibt es sogar ein dediziertes CRA-Team. Knapp ein Drittel (32 Prozent) hat indes keine spezifische Teamstruktur für die EU-Verordnung aufgebaut.
Bei 18 Prozent der Unternehmen sind vier bis zehn Personen in der Arbeitsgruppe oder im Team für den CRA engagiert; bei 15 Prozent sind es bis zu drei Personen. Bei knapp einem Zehntel (8 Prozent) der von ONEKEY befragten Firmen kümmern sich sogar mehr als zehn Beschäftigte um die Umsetzung des Cyber Resilience Act, von der Produktentwicklung über die Erstellung und Pflege einerSoftware Bill of Materials bis hin zu Compliance-Aspekten.
\“Es ist gut, dass sich mehr als 40 Prozent der Unternehmen der Umsetzung des CRA mit einer wie auch immer gearteten eigenen Organisationsstruktur widmen\“, betont Jan Wendenburg. Er stellt klar:\“Letztlich geht es beim Thema Cybersicherheit nicht primär um die Erfüllung lästiger regulatorischer Vorschriften, sondern um die Absicherung des Unternehmens vor immer ausgefeilteren Hackerangriffen mit potenziell dramatischen Folgen.\“
ONEKEY bietet eine vollautomatisierte Product&Cybersecurity Compliance Plattform, die für Unternehmen die SBOM Erstellung, Schwachstellenmanagement und Compliance Prüfung automatisiert und so viel Zeit, Kosten und Nerven spart.
Für Einsteiger bietet ONEKEY auch einen praxisnahen CRA Readiness Assessment-Workshop. In einführenden Sessions erfahren Teilnehmende, welche konkreten Auswirkungen der CRA auf ihren Betrieb hat und erhalten darauf basierend einen individuellen Bewertungsplan. Im Rahmen einer detaillierten Prozessüberprüfung werden zentrale Bereiche wie Softwareentwicklung und Schwachstellenmanagement analysiert. Darüber hinaus deckt eine GAP-Analyse bestehende Compliance-Lücken auf und zeigt Möglichkeiten zu deren Behebung. Am Ende des Workshops erhält jedes Unternehmen eine maßgeschneiderte Roadmap, die klar aufzeigt, wie sich die Anforderungen des CRA strukturiert und effizient umsetzen lassen.
ONEKEY ist Europas führender Spezialist für Product Cybersecurity&Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity&Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von\“Software Bills of Materials (SBOMs)\“können Software-Lieferketten proaktiv überprüft werden.\“Digital Cyber Twins\“ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte ONEKEY Compliance Wizard deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity&Compliance Platform (OCP) und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Toulouser Allee 19A, 40211 Düsseldorf, Deutschland,
Web: https://onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: team@euromarcom.de, Web: www.euromarcom.de
Original-Content von: ONEKEY GmbH,übermittelt durch news aktuell
Categories: Allgemein
No Responses Yet
You must be logged in to post a comment.