Cyber Resilience Act & EU-Produkthaftung in der Praxis: Neue Cyber-Security-Anforderungen ab 2026 für Software, KI und vernetzte digitale Geräte in der EU

Grundlagen

• Einführung in die Ziele von CRA, NIS 2 und der EU-Produkthaftungs-Richtlinie, um Rahmenbedingungen und Hintergründe besser zu verstehen, wie die digitale Souveränität in der EU.
• Reichweite des CRA in Abgrenzung zu NIS 2 und dem AI Act.
• Einordnung von Software und Produkten mit digitalen Elementen in Risikoklassen nach dem Cyber Resilience Act (CRA) und die damit verbundenen Pflichten.
• Verantwortliche Akteur:innen.
• Verantwortliche im Unternehmen zur Umsetzung des CRA in die Praxis.

Software Bill of Materials (SBOM)

• Inhalte, Format und Bereitstellung der Softwarestücklisten (SBOM).
• Lösungsansätze und Standards wie die BSI-Vorgaben zur Gewährleistung von Transparenz und Erhöhung der Sicherheit in der Software-Lieferkette (Software Supply Chain Security).

Sicherheitsanforderungen und Cybersecurity-Maßnahmen für Software und Produkte mit digitalen Elementen im CRA

• Inhalt von Cybersecurity-Strategien von der Entwicklung bis zum Inverkehrbringen und in der Lieferkette, OSS Compliance.
• Security by Design, Update-Pflichten über den gesamten Produktlebenszyklus von Software hinweg.
• Notwendigkeit eines kontinuierlichen Sicherheitsmanagements.
• Gewährleistung der Cybersicherheit der digitalen Komponenten, von IoT-Produkten und von funktioneller Sicherheit durch Security by Design und strenge Meldepflichten.
• Was bedeuten die Updatepflichten von fünf Jahren für die Cybersicherheit von Produkten in der Praxis?

Konformitätsbewertungsverfahren und CE-Kennzeichnung

• Konformitätsbewertungsverfahren.
• Praktische Umsetzung der CE-Kennzeichnungspflicht für die Produkte.

Haftungsumfang des CRA für Produkte mit Open-Source-Software-Code, inklusive Lizenzmanagement und Haftungsausnahmen

• Lösungsansätze zum sicheren Umgang mit Open-Source-Software in Produkten in der Lieferkette.
• Verantwortlichkeiten, Ausnahmen, gesetzliche und vertragliche Haftung.

Meldepflichten bei Sicherheitsvorfällen

• Überblick über die Meldepflichten und Reaktionszeiten bei Sicherheitsvorfällen, um Sanktionen vorzubeugen.

Umsetzungsfristen, Rechtsfolgen bei Verstößen

• Fristen für die Umsetzung der neuen Anforderungen und die Anbringung des CE-Kennzeichens.
• Sanktionen, Bußgelder und andere Konsequenzen bei Verstößen gegen die neuen Regeln.
• Auswege und Ausnahmen.

EU-Produkthaftung für Software

• Erläuterung der verschuldensunabhängigen EU-Produkthaftung für Software, digitale Technologien und Künstliche Intelligenz.
• Änderungen durch die geplante EU-Produkthaftungsrichtlinie bei fehlerhafter Software und Abgrenzung zur Mängelhaftung.
• Reichweite der neuen Regelungen.
• Verantwortliche und Umfang der Haftung.
• Lösungsansätze zur Haftungsreduktion.
• Produkthaftung für Hochrisiko-KI-Systeme gemäß der KI-Verordnung und dem CRA.

• Praxistransfer: Verständnis der EU-Vorgaben und Anwendung des CRA auf eigene Produkte in der Praxis.
• Stets aktuell informiert über die neuen Vorgaben der EU zum CRA.
• Austausch mit anderen Unternehmen und Teilnehmer:innen zu konkreten Umsetzungs- und Anwendungsfragen.
• Wertvolle neue Lösungsansätze für die Umsetzung durch Diskussionen.
• Juristische Vorgaben der EU anwenden, Rechtsunsicherheiten verstehen und damit umgehen und sie aushalten lernen.
• Checklisten und Handlungsempfehlungen.

Geschäftsführer:innen, Führungskräfte, IT-Expert:innen, Entwickler:innen, Programmierer:innen, Compliance-Mitarbeiter:innen, Syndikusanwält:innen von Anbietern oder Herstellern von Software, IoT-Produkten, Hardware und anderen Technologien, die sich auf die neuen EU-Sicherheitsanforderungen von CRA, NIS 2 und der EU-Produkthaftung vorbereiten und die Risiken und Haftung minimieren möchten.