Warum der CRA für Hersteller zur echten Herausforderung wird
- Neue Pflichten für IT-Security in Produkten
- Bußgelder bis zu 15 Millionen Euro
- Verpflichtende Prozesse für Updates, Risikoanalysen & CE-Kennzeichnung
- Geltung für Eigenentwicklungen, OEM- und Drittsoftware
- Unklare Zuständigkeiten im Unternehmen
- Hoher Dokumentationsaufwand
- Verzahnung mit bestehenden CE-Prozessen nötig
- Kaum Klarheit über betroffene Produkte
Cyber Resilience Act – 1-Tages-Workshop
Wissen – Standortbestimmung – Maßnahmenplan. Klarheit in nur einem Tag.
| Dauer | Thema | Beschreibung |
|---|---|---|
| 0:30 h | Einführung & Zielsetzung | Begrüßung, Erwartungen, Zieldefinition Workshop & CRA-Kontext |
| 1:00 h | Wer ist betroffen & was ist gefordert? | Rollen (Hersteller, Importeur, Händler), Produktarten, Pflichten und Fristen |
| 1:30 h | Anforderungen im Überblick | Lebenszyklus-Pflichten, sichere Entwicklung, Updates, technische Doku, Meldepflichten |
| ☕ Pause | ||
| 1:15 h | Check 1: Produkt- & Rollenklärung | Welche Produkte sind betroffen? Welche Rolle hat der Kunde? Welche Systeme und Technologien? |
| 0:45 h | Check 2: Secure Development Lifecycle | Wie läuft SW-Entwicklung ab? Welche Prozesse, Tools, Doku gibt es? |
| 0:30 h | Check 3: Update-, Patch- und Supportkonzept | Wie werden Sicherheitsupdates ausgerollt? Lebensdauer? Automatisierung? |
| ☕ Pause | ||
| 0:45 h | Check 4: Risikoanalyse & Threat Modeling | Gibt es eine Risikoanalyse? Ist Bedrohungsmodellierung etabliert? |
| 0:45 h | Check 5: Technische Dokumentation | Was wird dokumentiert? Wie CE-relevant? SBOM vorhanden? |
| 0:15 h | Abschluss & nächste Schritte | Zusammenfassung, erste To-dos, Feedback |
An wen richtet sich der CRA 1-Tages-Workshop?
Typische Teilnehmer:
- F&E-Leiter und Entwicklungsverantwortliche
- Produktmanager und CE-Beauftragte
- Geschäftsführer technischer Produktbereiche
Ihre Vorteile:
- Sie erkennen betroffene Produkte und Lücken
- Sie bekommen Klarheit zu Zuständigkeiten und Prozessen
- Sie erhalten eine belastbare Entscheidungsgrundlage
- Sie reduzieren Ihr Compliance-Risiko
Häufige Fragen zum CRA
Gilt der CRA auch für Altgeräte?
Ja, wenn diese nach Inkrafttreten neu in Verkehr gebracht werden oder wesentliche Änderungen erfahren.
Was ist der Unterschied zur NIS2?
NIS2 betrifft kritische Infrastrukturen, der CRA zielt auf konkrete Produkte mit digitalen Elementen ab.
Was kostet ein CRA-konformes Produkt?
Das hängt stark vom Entwicklungsstand und vorhandenen Prozessen ab. Unser Workshop hilft, das einzuschätzen.
Wer ist verantwortlich für die Einhaltung?
Primär der Hersteller - bei OEM-Konstellationen aber auch der Inverkehrbringer bzw. Systemintegrator.
Welche Produkte sind vom CRA betroffen?
Grundsätzlich alle vernetzten Produkte mit digitalen Elementen - von Steuerungen über Gateways bis zu Cloud-Plattformen, sofern sie Endnutzer oder andere Produkte beeinflussen können.
Müssen auch interne Tools oder Engineering-Software CRA-konform sein?
Nur wenn diese in Produkten eingesetzt oder ausgeliefert werden. Reine Entwicklungs- oder Konfigurationstools ohne externe Nutzung sind in der Regel ausgenommen.
Welche Normen und Standards sind relevant?
Unter anderem die IEC 62443, ISO/IEC 27001, EN ISO 21434 sowie neue harmonisierte Normen, die aktuell erarbeitet werden. Wir geben einen Überblick im Workshop.
Was passiert, wenn ich nichts tue?
Spätestens ab Geltungsbeginn drohen Bußgelder, Marktzugangshürden und Haftungsrisiken. Frühzeitiges Handeln spart Kosten und schützt Reputation.
Relevante Informationen
CRA umsetzen: Cyber Security Anforderungen an den Produktlebenszyklus nach Anhang 1
18. Juni 2025
6 Minuten zum Lesen
Die erste Anforderung aus Anhang 1 des Cyber Resilience Act praxisnah erläutert: Bedeutung, Pflichten, Fallstricke und Tipps für Hersteller.
CRA umsetzen: Mit EUCC und BSI-TR-03183 zur Compliance
4. Juni 2025
5 Minuten zum Lesen
Der CRA macht Cybersicherheit zur Pflicht. In diesem Artikel zeigen wir, wie Hersteller mit der EUCC-Zertifizierung und den BSI-Richtlinien (TR-03183) strukturiert und nachvollziehbar die Anforderungen erfüllen – inklusive Vergleichen, Beispielen und praktischer Umsetzungshilfe.
CRA kompakt: Eine CRA-Einstiegshilfe für Produktverantwortliche
29. Mai 2025
2 Minuten zum Lesen
Dieser Artikel bietet eine schnelle Orientierung für Hersteller, OEMs und Zulieferer mit Entscheidungstabelle, ob sie vom CRA betroffen sind sowie praxisnahen Fallbeispielen.
CRA kompakt: Standards und Normen
28. Mai 2025
3 Minuten zum Lesen
Dieser Artikel gibt einen Überblick über Standards und Normen, die für den Cyber Resilience Act eine Rolle spielen.
CRA kompakt: Produkte mit digitalen Elementen – Wichtig, kritisch und der Rest?
27. Mai 2025
3 Minuten zum Lesen
Der Artikel erläutert die Einstufung von Produkten mit digitalen Elementen gemäß Cyber Resilience Act und zeigt die Unterschiede zwischen allgemeinen, wichtigen und kritischen Produktkategorien.
CRA kompakt: Was kommt auf Maschinenbauer zu?
26. Mai 2025
4 Minuten zum Lesen
Dieser Artikel erklärt in kompakter Form, was der Cyber Resilience Act für Maschinenbauer bedeutet, welche Ziele verfolgt werden, in welchem Bereich der CRA gilt und welche Fristen existieren.
Sicherheit per Header - Kleine Zeile, große Wirkung
15. Mai 2025
7 Minuten zum Lesen
Security Headers sind kleine, aber wirkungsvolle Maßnahmen, um Angriffe wie XSS, Clickjacking oder Information Disclosure zu verhindern und können einfach in ASP.NET Core und anderen Frameworks eingebunden werden.
Secrets im Source Code – unterschätztes Risiko mit echten Folgen
8. Mai 2025
8 Minuten zum Lesen
Secrets im Code sind ein unterschätztes Risiko. Mit Tools wie Gitleaks und zentralem Secrets Management lassen sich Leaks effektiv verhindern und Sicherheitslücken schließen.
Sicherheitsrelevante Daten in .NET richtig schützen – Kein Platz für Hardcoding
1. Mai 2025
6 Minuten zum Lesen
Sensiblen Daten im .NET-Umfeld gehört besondere Aufmerksamkeit. Hardcoding vermeiden und sichere Speicherlösungen wie User Secrets, Azure Key Vault und die Data Protection API nutzen.