CE-PraxisTAGE 2026 – Fokus Tag - Cyber Resilience Act

09:00 - 09:30 Uhr – Anmeldung

09:30 - 09:35 Uhr - Eröffnung des Fokus Tages
Wolfgang Reich, IBF Solutions GmbH

09:35 - 10:45 Uhr - CE-Kennzeichnung nach dem Cyber Resilience Act
Wolfgang Reich &Hendrik Stupin, IBF Solutions GmbH

• Welche Produkte fallen in den Anwendungsbereich des Cyber Resilience Act - und wie unterscheiden sich die Kategorien Default, Important (Class I/II) und Critical?
• Welche Pflichten tragen Hersteller nach CRA für ihr „Produkt mit digitalen Elementen“?
• Wichtige Stichtage und Übergangsfristen des CRA
• Welche Dokumente müssen Hersteller erstellen und welche Anforderungen (Sprache, Aufbewahrungsfrist, Auslieferung an Kunden, etc.) bestehen?
• CE-Kennzeichnung: Wo und wie muss ein CE-Zeichen am (digitalen) Produkt angebracht werden?
• Wie die Anforderungen der Funkanlagenrichtlinie (RED) und der neuen Maschinenverordnung mit den Anforderungen des CRA zusammenhängen.
• Fragen & Antworten

10:45 - 11:15 Uhr - Pause

11:15 - 12:30 Uhr - Risikoanalyse und Risikomanagement entsprechend des Cyber Resilience Act
Florian Gerstmayer, Limes Security

• Wie sieht der Prozess einer Risikoanalyse nach ISO 62443‑3‑2 aus?
• Praktische Umsetzung im Maschinenbau: Durchführung einer Risikoanalyse anhand eines konkreten Beispiels.
• Warum der CRA keine absolute Security fordert - und welches Restrisiko akzeptabel gilt.
• Warum auch organisatorische Maßnahmen, wie z.B. Zugangsbeschränkungen zu Produktionsanlagen, ausreichend sein können, um ein akzeptables Security-Niveau zu erreichen
• Überschneidungen mit Safety‑Risikobeurteilungen nach EN ISO 12100: Gemeinsamkeiten, Unterschiede und Integrationsmöglichkeiten.
• Fragen & Antworten

12:30 - 13:45 Uhr – Mittagspause

13:45 - 15:00 Uhr - Schwachstellenmanagement und Software-Bill-of-Material als zentrale Anforderungen des Cyber Resilience Act
Maximilian Moser, VDMA

• Meldepflichten für aktiv ausgenutzte Schwachstellen: Was Hersteller künftig melden müssen und welche Fristen gelten.
• Die wichtige Unterscheidung zwischen aktiv ausgenutzten Schwachstellen und (potenziell) ausnutzbaren Schwachstellen.
• So bewerten Sie, welche Schwachstellen relevant sind: Kriterien, risikobasierte Einstufung und Priorisierung.
• Behebung von Schwachstellen: Sicherheitsupdates einspielen, ohne die Maschinenverfügbarkeit zu beeinträchtigen.
• Warum ein „Single Point of Contact“ unverzichtbar ist – und wie er mit geringem Aufwand eingerichtet werden kann.
• Fragen & Antworten

15:00 – 15:30 Uhr - Pause 

15:30 - 16:45 Uhr - Beispiele zur Umsetzung der technischen Anforderungen nach Anhang I des Cyber Resilience Act
Peter Panholzer, Limes Security

• Welche Maßnahmen Sie treffen sollten, um die Cyber-Resilienz Ihrer Maschinen zu erhöhen.
• Warum USB‑Schnittstellen und ähnliche physische Zugänge idealerweise in abgeschlossenen Schaltschränken platziert werden sollten.
• Wie Sie Fernwartungs-Zugänge sicher gestalten und absichern.
• Anforderungen an Verschlüsselung von Daten und Authentifizierungen.
• Zusammenhang zwischen Maschinenverordnung und Cyber Resilience Act: Wie die MVO‑Anforderung zum „Schutz gegen Korrumpierung“ mit den technischen Anforderungen des CRA zusammenwirkt.
• Hilft die prEN 50742 dabei, die Anforderungen der Maschinenverordnung zu erfüllen? Einordnung und Nutzen des neuen Normenentwurfs.
• Fragen & Antworten

16:45 - 17:00 Uhr - Abschlussdialog & Beantwortung offener Fragen
Alle anwesenden Referenten