ONEKEY IoT & OT Cybersecurity Report: Nach großer Resonanz startet Umfrage für Ausgabe 2026

‍Rückblick Report 2025: Zwei Drittel der Unternehmen hatten sich noch nicht ausreichend auf den Cyber Resilience Act (CRA) vorbereitet, obwohl die ersten CRA-Pflichten im September 2026 in Kraft treten

Düsseldorf, 02. Juni 2026 – Das Düsseldorfer Cybersecurity-Unternehmen ONEKEY meldet rege Nachfrage nach seinem aktuellen „IoT & OT Cybersecurity Report 2025“. Der Bericht beleuchtet die Readiness der Hersteller digitaler Geräte, Maschinen und Anlagen in Bezug auf den Cyber Resilience Act (CRA) der EU. Der CRA verpflichtet Hersteller erstmals, über den gesamten Produktlebenszyklus hinweg verbindliche Cybersecurity-Anforderungen einzuhalten und Schwachstellen systematisch zu managen.

Eine Schlüsselerkenntnis des IoT & OT Cybersecurity Report 2025: Rund zwei Drittel der Unternehmen hatten sich eigenen Angaben zufolge noch nicht ausreichend auf den CRA vorbereitet, obwohl die ersten Auswirkungen der EU-Sicherheitsrichtlinie für vernetzte Produkte noch in diesem Jahr Wirkung entfalten werden. Schätzungen zufolge sind Hunderte Millionen, wenn nicht gar Milliarden digitaler Produkte in der EU betroffen. Der Report kann kostenlos heruntergeladen werden unter www.onekey.com/resource/iot-ot-cybersecurity-report-2025.

„Die anhaltend hohe Nachfrage zeigt, wie drängend den betroffenen Herstellern das Thema auf den Nägeln brennt“, meint Jan Wendenburg, CEO von ONEKEY.

ONEKEY stärkt Cyberresilienz: IoT & OT Cybersecurity Report 2026 und CRA Fast Start

Um die Lage in Sachen Cybersicherheit weiterhin aktuell zu verfolgen, hat ONEKEY jetzt eine neue Umfrage zum Themenkomplex CRA gestartet. Unternehmen, die daran teilnehmen wollen, weil sie zur Zielgruppe gehören (Hersteller digitaler Produkte mit Internetzugang), können den Umfragelink per E-Mail an info@onekey.com anfordern (Betreff: Umfrage CRA). Wer sich aktiv beteiligt, erhält frühzeitig Zugang zu den aktuellen Ergebnissen.

Darüber hinaus bietet ONEKEY für betroffene Hersteller unter der Bezeichnung „CRA Fast Start“ ein Programm an, mit dem diese ihre Produkte strukturiert und ohne Vorlaufzeiten auf Compliance in Bezug auf den Cyber Resilience Act überprüfen können.

Das Angebot umfasst ein CRA Readiness Assessment sowie Features für SBOM-Generation, Vulnerability Management und Firmware Monitoring. Das Paket unterstützt Unternehmen dabei, die Anforderungen des Cyber Resilience Act (CRA) effizient umzusetzen und eine nachhaltige Compliance-Strategie aufzubauen.

Zu Beginn analysiert ONEKEY den aktuellen Reifegrad eines Unternehmens im Hinblick auf die CRA-Vorgaben und identifiziert bestehende Compliance-Lücken. In einem Einführungsworkshop werden die Auswirkungen der neuen Regulierung auf das jeweilige Produktportfolio aufgezeigt. Im Rahmen einer umfassenden Überprüfung bestehender Prozesse werden wichtige Bereiche wie Softwareentwicklung und Schwachstellenmanagement bewertet. Eine GAP-Analyse ermöglicht anschließend die Identifizierung bestehender Compliance-Lücken und zeigt konkreten Handlungsbedarf auf. Auf dieser Basis entwickelt ONEKEY eine praxisorientierte Roadmap, mit der Unternehmen die CRA-Vorgaben effizient und planbar umsetzen können.

Die ONEKEY Product Cybersecurity & Compliance Plattform bietet dann mit den Features SBOM-Generation, Vulnerability Management und Monitoring, die Möglichkeit kontinuierlich Schwachstellen aufzudecken und zu überwachen sowie eine permanente Softwarelieferketten-Transparenz (durch die Generierung von SBOMs). Neue Schwachstellen, betroffene Bibliotheken und potenzielle Risiken werden fortlaufend erkannt und dokumentiert. Unternehmen erhalten dadurch jederzeit Transparenz über den Sicherheitsstatus ihrer digitalen Produkte und schaffen die Grundlage für eine langfristige und nachhaltige Erfüllung der CRA-Anforderungen.

Erste Pflichten gemäß CRA ab 11. September 2026

Der EU Cyber Resilience Act verpflichtet Hersteller ab dem 11. September dieses Jahres zur Meldung aktiv ausgenutzter Schwachstellen und Sicherheitsvorfälle sowie zu ersten Compliance-Anforderungen. Die vollständigen Anforderungen, einschließlich umfassender Sicherheits- und Dokumentationspflichten über den gesamten Produktlebenszyklus, werden bis 2027 verbindlich. Nach Ablauf der Übergangsfristen dürfen nur noch vernetzte Geräte, Maschinen und Anlagen in Verkehr gebracht werden, wenn die Hersteller ein kontinuierliches Schwachstellenmanagement, dokumentierte Sicherheitsprozesse und ein laufendes Monitoring ihrer Software- und Firmware-Komponenten während des gesamten Produktlebenszyklus nachweisen können.

Unternehmen riskieren bei Verstößen gegen den Cyber Resilience Act Bußgelder von bis zu 15 Millionen Euro bzw. 2,5 Prozent ihres weltweiten Jahresumsatzes.