Detaillierte Informationen zum Seminar
Inhalte:
Tag 1: CRA-Strategie und Roadmap-Entwicklung
Block 1: CRA-Grundlagen kompakt (Auffrischung)
- 3 Phasen des CRA: 10.12.2024 ? 11.09.2026 ? 11.12.2027
- Anwendungsbereich: Produkte, Ausnahmen, Remote Data Processing
- Rollen und Pflichten: Hersteller, Importeur, Händler
- Schnittstellen zu NIS-2, Maschinenverordnung, Funkanlagenrichtlinie
Block 2: Produktscreening und -klassifizierung
- Methodik: Welche Ihrer Produkte fallen unter den CRA?
- Kategorien nach Anhang III, IV und DurchführungsVO (EU) 2025/2392
- Abgrenzung: Standard / wichtig Klasse 1 / wichtig Klasse 2 / kritisch
- Praxisübung: Klassifizierung Ihrer mitgebrachten Produkte
Block 3: Risikobewertung nach CRA-Anforderungen
- Bewertung gemäß BSI TR-03183-1: Assets, Bedrohungen, Schwachstellen
- Zweckbestimmung vs. vernünftigerweise vorhersehbare Verwendung
- Risikoszenarien und Akzeptanzkriterien
- Workshop: Risikobewertung für ein Musterprodukt
Block 4: Wesentliche Cybersicherheitsanforderungen (Annex I CRA)
- Security by Design: Integration in Entwicklungsprozesse
- Security by Default: sichere Grundkonfiguration
- Schutz von Vertraulichkeit, Integrität, Verfügbarkeit
- Vulnerability Handling: Prozess vom Eingang bis zur Behebung
- Praxisbeispiele aus BSI TR-03183-1
Block 5: Ihre individuelle CRA-Roadmap
- Meilensteinplanung: Quick Wins bis 09/2026; strukturierte Umsetzung bis 12/2027
- Ressourcenplanung: Rollen, Verantwortlichkeiten, externe Unterstützung
- Priorisierung: Produkte und kritische Maßnahmen
- Workshop: Entwurf Ihrer Umsetzungs-Roadmap
Tag 2: Operative Umsetzung und Werkzeuge
Block 6: Software Bill of Materials (SBOM)
- Anforderungen nach BSI TR-03183-2: Formate, Pflichtfelder
- SBOM-Erstellung: Tools, Automatisierung, Continuous Integration
- Level of Detail: Top-Level, n-Level, Transitive, Complete SBOM
- Lizenzmanagement und Abhängigkeiten
- Live-Demo: SBOM-Generierung mit Open-Source-Tools
Block 7: Schwachstellenmanagement operativ
- Meldepflichten ab 11.09.2026: Schwachstellen, schwere Vorfälle
- Einrichtung nach BSI TR-03183-3: security.txt, CVD-Policy, Kontaktstellen
- EU Single Reporting Platform (SRP) und CSIRT-Netzwerk
- Incident Response: Von der Meldung zur Behebung
- Praxisübung: security.txt für Ihr Unternehmen erstellen
Block 8: Technische Dokumentation (Annex VII CRA)
- Pflichtinhalte: Produktbeschreibung, Risikobewertung, Sicherheitsarchitektur
- Konformitätserklärung: Struktur, Anforderungen, Vorlagen
- Aufbewahrungspflichten und Verfügbarkeit für Marktüberwachung
- Dokumentenmanagement: Versionierung, Aktualisierung
- Template-Paket: Muster für technische Dokumentation
Block 9: Konformitätsbewertungsverfahren
- Modul Interne Fertigungskontrolle: Selbsterklärung, wann zulässig?
- Modul Baumusterprüfung: Ablauf, Kosten, Zeitbedarf
- Modul Umfassende Qualitätssicherung: QM-System, Effizienzvorteile
- Notified Bodies: Auswahl, Beauftragung, Zusammenarbeit
- Entscheidungshilfe: Welches Modul für welches Produkt?
Block 10: Lieferkette und Drittkomponenten
- Sorgfaltspflichten bei (Dritt-)Komponenten
- Vertragsgestaltung mit Zulieferern: CRA-Klauseln
- SBOM-Management bei zugekauften Komponenten
- Schwachstellenkommunikation in der Lieferkette
Block 11: Change Management und Kommunikation
- Interne Stakeholder: Geschäftsführung, Entwicklung, QM, Vertrieb
- Externe Kommunikation: Kunden, Partner, Behörden
- CRA als Vertriebsargument: Marketing von Produktsicherheit
- Schulungsbedarf und Kompetenzaufbau
Block 12: Abschluss und offene Fragen
Ziele/Bildungsabschluss:
Warum ist die Umsetzung des Cyber Resilience Acts (CRA) wichtig
Der Cyber Resilience Act (CRA) verändert grundlegend, wie Sie digitale Produkte entwickeln, dokumentieren und in den Markt bringen. Ab Dezember 2027 dürfen nur noch konforme Produkte in der EU verkauft werden - ein klarer Handlungsauftrag für Ihr Unternehmen. Ohne Umsetzung droht Marktausschluss. In diesem CRA-Workshop übersetzen Sie die regulatorischen Anforderungen in konkrete Maßnahmen für Ihre Produkte und schaffen die Grundlage für eine sichere und rechtssichere Umsetzung.
Ihr Nutzen des Cyber Resilience Act Trainings
In diesem CRA-Workshop gewinnen Sie Klarheit darüber, welche Anforderungen konkret für Ihre Produkte gelten - und wie Sie diese effizient umsetzen. Sie identifizieren Ihre wichtigsten Handlungsfelder und priorisieren die nächsten Schritte. Gleichzeitig entwickeln Sie eine belastbare Entscheidungsgrundlage für Investitionen, Ressourcen und Verantwortlichkeiten. So vermeiden Sie Fehlentscheidungen, reduzieren Risiken und sichern die Marktfähigkeit Ihrer Produkte nachhaltig.
Was Sie konkret im Workshop lernen und anwenden können
Im CRA-Workshop arbeiten Sie direkt an der Umsetzung für Ihre Produkte: Sie klassifizieren Ihre Produkte systematisch, führen strukturierte Risikobewertungen durch und entwickeln konkrete Maßnahmen für Security by Design. Sie erarbeiten ein funktionierendes Schwachstellenmanagement inklusive Meldeprozessen und erstellen eine erste Software Bill of Materials (SBOM).
Darüber hinaus entwickeln Sie Schritt für Schritt Ihre individuelle CRA-Roadmap - inklusive konkreter Maßnahmen, Prioritäten und nächster Umsetzungsschritte. Sie nutzen praxisbewährte Templates, Checklisten und Beispiele, die Sie direkt in Ihrem Unternehmen weiterverwenden können.
Lehrgangsverlauf/Methoden:
Präsenzseminar
Zielgruppe:
Dieser Workshop richtet sich an Entscheider und operative Verantwortliche in Unternehmen, die Produkte mit digitalen Elementen herstellen oder in die EU importieren: Geschäftsführer und Vorstände (CRA-Pflichten sind nicht delegierbar), Produktmanager und Product Owner (Produktstrategie und -portfolio), Entwicklungsleiter und IT-Architekten (Security by Design), Qualitätsmanager und Compliance-Verantwortliche (Konformitätsbewertung, Dokumentation), IT-Sicherheitsbeauftragte und PSIRTs (Schwachstellenmanagement), Supply Chain Manager (Lieferkettenverantwortung), Rechts- und Regulierungsexperten (rechtliche Einordnung). Besonders relevant für: Hersteller von IoT-Geräten, Embedded Systems, Industrie-4.0-Komponenten, Netzwerkgeräten, Sicherheitstechnik, Medizinprodukte-Software (soweit nicht ausgenommen), Automotive-Software, Consumer Electronics.
Teamteilnahme empfohlen: Der Workshop lebt von der interdisziplinären Perspektive. Optimal ist die Teilnahme eines Teams aus Management, Produktverantwortung, Entwicklung und QM.
Seminarkennung:
EX/A52/10201571/11022027-1
