Cyber Resilience Act (CRA) für Hersteller von Maschinen und Geräten

Die Teilnehmenden erhalten einen umfassenden Überblick über die gesetzlichen Anforderungen des CRA und deren praktische Umsetzung. Schwerpunkte des Seminars sind unter anderem:

CE-Kennzeichnung nach dem Cyber Resilience Act

• Welche Produkte und Klassifizierungen umfasst der CRA und wie beeinflusst dies die Konformitätsbewertung?
• Warum ist die Definition der Kernfunktion eines Produkts entscheidend?
• Welche Ausnahmen gibt es? (Prototypen, unfertige Software, Ersatzteile, …).
• Was bedeuten Inbetriebnahme und Inverkehrbringung im CRA-Kontext?
• Wichtige Stichtage und Übergangsfristen des CRA.
• Wo und wie ist das CE-Zeichen am (digitalen) Produkt anzubringen?
• Wie hängen Funkanlagenrichtlinie und Maschinenverordnung mit dem CRA zusammen?
• Sind Sondermaschinen als maßgeschneiderte Produkte einzuordnen?
• Inwiefern greift der CRA beim „Eigenbau“ oder bei „wesentlich veränderten Maschinen“?
• Was ist der Status bezüglich harmonisierter Normen, welche anderen Standards & Normen können in der Zwischenzeit ein guter Ratgeber sein?
• Welche Teile der Normenreihe IEC 62443 sind für Maschinenbauer besonders relevant?
• Zusammenhang zwischen Maschinenverordnung ("Schutz gegen Korrumpierung") und CRA?

Security-Risikoanalyse

• Was unterscheidet eine Bedrohungsanalyse von anderen Risikoanalysen?
• Welche Vorschriften gelten für CRA-konforme Risikoanalysen?
• Welche Normen und Richtlinien sind relevant (z. B. BSI, IEC)?
• Wie läuft eine Risikoanalyse nach IEC 62443-4-1 ab und welche Schwachstellen treten häufig auf?
• Warum der CRA keine absolute Security fordert und welches Restrisiko akzeptabel ist?
• Warum können organisatorische Maßnahmen (wie Zugangsbeschränkungen zu Produktionsanlagen) ein ausreichendes Security-Niveau gewährleisten?
• Warum ist es wichtig den Security Kontext und erwartete Maßnahmen in der Umgebung zu definieren?
• Wie geht man mit „unsicheren“ Industrieprotokollen um?
• Welche Überschneidungen bestehen zur Safety-Risikobeurteilung nach EN ISO 12100?
• Praxisübung zur Bedrohungsanalyse

Qualitätssicherung und sichere Softwareentwicklung

• Was bedeuten Hash, Signierung und Verschlüsselung?
• Warum müssen Rollen und Verantwortlichkeiten klar definiert sein?
• Welche Anforderungen gelten für sichere Entwicklungsumgebungen?
• Worauf ist bei der Auswahl von Komponenten und Bibliotheken zu achten?
• Welche Secure Design Best Practices soll ich bei der Architektur beachten werden (Defense in Depth, Least Functionality, Least Privilege, Secure by Default)?
• Grundlagen von Secure Coding Ansätzen
• Security Tests wie Fuzz Testing, Port-Scans, Schwachstellenscans, …
• Beispiele sicherer Coding-Prinzipien: Sichere Eingabevalidierung & Output-Encoding, Sichere Eingabevalidierung & Output-Encoding, Session-Management, Sichere Fehler- und Ausnahmebehandlung
• Besonderheiten bei der sicheren Programmierung von SPS Programmen (Secure PLC Coding).

Schwachstellenmanagement und Software-Bill-of-Material

• Was sind Schwachstelle, Vorfall, CVE, CWE, CVSS, EPSS?
• Schwachstellen im Kontext vom CRA: Bereitstellung ohne bekannte ausnutzbare Schwachstellen, Meldepflichten zu aktiv ausgenützten Schwachstellen
• Warum ein „Single-Point-of-Contact“ wichtig ist und wie man ihn im Unternehmen etabliert.
• Was ist eine SBOM, wie wird sie erstellt und wie hilft sie bei der Schwachstellenanalyse?
• Wie priorisiert und bewertet man Schwachstellen und welche Tools unterstützen dabei?
• Welche Updatepflichten bestehen und wie lange müssen Sicherheitsupdates verfügbar sein?
• Wie lassen sich Schwachstellen beheben ohne die Maschinenverfügbarkeit zu gefährden?

Technische Anforderungen nach CRA Anhang I

• Wie lässt sich die Integrität und der Schutz sensibler Inhalte sicherstellen?
• Was bedeutet „Secure by Default“?
• Wie sieht ein sicheren Update-Mechanismus aus?
• Warum USB-Schnittstellen o.ä. z.B. in (abgesperrten) Schaltschränken sein sollten?
• Wie lassen sich Fernwartungs-Zugänge sicher gestalten?

Dokumentation und formale Pflichten

• Warum müssen Nutzung und Fehlnutzung dokumentiert werden?
• Welche Inhalte sind in der technischen Dokumentation laut CRA erforderlich?
• Warum sind klare Betreiberpflichten in Anleitungen wichtig, um das geplante Schutzniveau zu erreichen?
• Was muss eine Konformitätserklärung enthalten? Wie ist das Zusammenwirken mit anderen CE-Vorschriften?
• Welche Sprach- und Aufbewahrungsvorgaben gelten?