Cyber Resilience Act: Deutsche Firmen schulen ihre Mitarbeiter kaum

Eine alarmierende Studie zeigt: Deutsche Unternehmen sind trotz drohender Millionenstrafen schlecht auf die neuen EU-Cybersicherheitsregeln vorbereitet. Der Grund ist oft mangelndes Wissen.

ONEKEY, ein Spezialist für Cybersicherheit, hat in seinem „IoT & OT Cybersecurity Report 2025“ massive Defizite aufgedeckt. Demnach führen nur etwa 30 Prozent der befragten Unternehmen mindestens einmal jährlich Schulungen zum Cyber Resilience Act (CRA) durch. Diese neue EU-Verordnung ist bereits in Kraft und stellt hohe Anforderungen an die Sicherheit vernetzter Produkte.

Passend zum Thema Cyber Resilience Act zeigt eine aktuelle Studie erhebliche Schulungslücken – das erhöht Risiko und Bußgelder. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt praxisnah, welche Maßnahmen IT‑ und Management‑Teams jetzt umsetzen müssen, um CRA‑Anforderungen zu erfüllen und Meldepflichten fristgerecht zu bedienen. Mit Checklisten zu Mitarbeiterschulungen, KI‑Risiken und schnellen Schutzmaßnahmen – speziell für KMU und Industriebetriebe, die ohne große Investitionen Compliance erreichen wollen. Jetzt kostenlosen Cyber‑Security‑Guide sichern

Schulungsdefizite öffnen Cyberangriffen Tür und Tor

Die Zahlen sind besorgniserregend: 28 Prozent der Firmen bilden ihre Teams nur alle ein bis zwei Jahre fort, 19 Prozent noch seltener oder gar nicht. Diese Untätigkeit hat bereits konkrete Folgen. 35 Prozent der Unternehmen berichteten von Sicherheitsvorfällen, die direkt auf nicht erfüllte CRA-Anforderungen zurückgingen.

Dahinter steckt ein fundamentales Informationsdefizit. Bereits im September 2025 gab nur ein Drittel der 300 befragten Industrieunternehmen an, mit den CRA-Vorgaben umfassend vertraut zu sein. Mehr als ein Viertel hatte sich damals noch überhaupt nicht mit dem Thema befasst. Kein Wunder also, dass die Umsetzung stockt.

Hohe Strafen und Marktausschluss drohen

Die Nachlässigkeit könnte teuer werden. Der CRA sieht bei Verstößen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor. Schwerwiegender noch: Produkte, die den Anforderungen nicht genügen, dürfen in der EU nicht mehr verkauft werden – ein faktisches Verkaufsverbot für den gesamten Binnenmarkt.

„Die Bedrohung durch Cyberkriminelle wächst ständig, auch durch den Einsatz Künstlicher Intelligenz“, warnt Jan Wendenburg, CEO von ONEKEY. Wer jetzt nicht in Schulung und Umsetzung investiere, riskiere nicht nur Strafen, sondern auch Reputationsverlust und den Zugang zum europäischen Markt.

Die Uhr tickt: Fristen rücken näher

Die Zeit für die Vorbereitung wird knapp. Ab Herbst 2026 müssen Hersteller aktiv ausgenutzte Sicherheitslücken innerhalb von 24 Stunden an die EU-Agentur ENISA melden. Ab dem 11. Dezember 2027 gelten dann alle Vorschriften des CRA verbindlich für neue Produkte.

Angesichts der aufgezeigten Lücken ist ein schnelles Umdenken nötig. Regelmäßige, praxisnahe Schulungen für alle betroffenen Abteilungen – von der Entwicklung bis zum Management – sind keine Option mehr, sondern eine strategische Notwendigkeit. Die Zukunftsfähigkeit im digitalen Europa steht auf dem Spiel.

PS: Die Fristen des CRA rücken näher und die Meldepflichten sind streng. Holen Sie sich den Gratis‑Report “Cyber Security Awareness Trends” mit sofort umsetzbaren Schritten zur Awareness‑Stärkung, Anti‑Phishing‑Strategien und klaren Checklisten für Schulungspläne, damit Ihr Team echte Vorfälle schneller erkennt und korrekt meldet. Ideal für Verantwortliche, die Compliance pragmatisch mit wirkungsvollen Schutzmaßnahmen verbinden wollen. Gratis E‑Book herunterladen