CRA-Workshop: Cyber Resilience Act erfolgreich umsetzen

Tag 1: CRA-Strategie und Roadmap-Entwicklung

Block 1: CRA-Grundlagen kompakt (Auffrischung)

• 3 Phasen des CRA: 10.12.2024 → 11.09.2026 → 11.12.2027

• Anwendungsbereich: Produkte, Ausnahmen, Remote Data Processing

• Rollen und Pflichten: Hersteller, Importeur, Händler

• Schnittstellen zu NIS-2, Maschinenverordnung, Funkanlagenrichtlinie

Block 2: Produktscreening und -klassifizierung

• Methodik: Welche Ihrer Produkte fallen unter den CRA?

• Kategorien nach Anhang III, IV und DurchführungsVO (EU) 2025/2392

• Abgrenzung: Standard / wichtig Klasse 1 / wichtig Klasse 2/ kritisch

• Praxisübung: Klassifizierung Ihrer mitgebrachten Produkte

Block 3: Risikobewertung nach CRA-Anforderungen

• Bewertung gemäß BSI TR-03183-1: Assets, Bedrohungen, Schwachstellen

• Zweckbestimmung vs. vernünftigerweise vorhersehbare Verwendung

• Risikoszenarien und Akzeptanzkriterien

• Workshop: Risikobewertung für ein Musterprodukt

Block 4: Wesentliche Cybersicherheitsanforderungen (Annex I CRA)

• Security by Design: Integration in Entwicklungsprozesse

• Security by Default: sichere Grundkonfiguration

• Schutz von Vertraulichkeit, Integrität, Verfügbarkeit

• Vulnerability Handling: Prozess vom Eingang bis zur Behebung

• Praxisbeispiele aus BSI TR-03183-1

Block 5: Ihre individuelle CRA-Roadmap

• Meilensteinplanung: Quick Wins bis 09/2026; strukturierte Umsetzung bis 12/2027

• Ressourcenplanung: Rollen, Verantwortlichkeiten, externe Unterstützung

• Priorisierung: Produkte und kritische Maßnahmen

• Workshop: Entwurf Ihrer Umsetzungs-Roadmap

Tag 2: Operative Umsetzung und Werkzeuge

Block 6: Software Bill of Materials (SBOM)

• Anforderungen nach BSI TR-03183-2: Formate, Pflichtfelder

• SBOM-Erstellung: Tools, Automatisierung, Continuous Integration

• Level of Detail: Top-Level, n-Level, Transitive, Complete SBOM

• Lizenzmanagement und Abhängigkeiten

• Live-Demo: SBOM-Generierung mit Open-Source-Tools

Block 7: Schwachstellenmanagement operativ

• Meldepflichten ab 11.09.2026: Schwachstellen, schwere Vorfälle

• Einrichtung nach BSI TR-03183-3: security.txt, CVD-Policy, Kontaktstellen

• EU Single Reporting Platform (SRP) und CSIRT-Netzwerk

• Incident Response: von der Meldung zur Behebung

• Praxisübung: security.txt für Ihr Unternehmen erstellen

Block 8: Technische Dokumentation (Annex VII CRA)

• Pflichtinhalte: Produktbeschreibung, Risikobewertung, Sicherheitsarchitektur

• Konformitätserklärung: Struktur, Anforderungen, Vorlagen

• Aufbewahrungspflichten und Verfügbarkeit für Marktüberwachung

• Dokumentenmanagement: Versionierung, Aktualisierung

• Template-Paket: Muster für technische Dokumentation

Block 9: Konformitätsbewertungsverfahren

• Modul Interne Fertigungskontrolle: Selbsterklärung, wann zulässig?

• Modul Baumusterprüfung: Ablauf, Kosten, Zeitbedarf

• Modul Umfassende Qualitätssicherung: QM-System, Effizienzvorteile

• Notified Bodies: Auswahl, Beauftragung, Zusammenarbeit

• Entscheidungshilfe: Welches Modul für welches Produkt?

Block 10: Lieferkette und Drittkomponenten

• Sorgfaltspflichten bei (Dritt-)Komponenten

• Vertragsgestaltung mit Zulieferern: CRA-Klauseln

• SBOM-Management bei zugekauften Komponenten

• Schwachstellenkommunikation in der Lieferkette

Block 11: Change Management und Kommunikation

• Interne Stakeholder: Geschäftsführung, Entwicklung, QM, Vertrieb

• Externe Kommunikation: Kunden, Partner, Behörden

• CRA als Vertriebsargument: Marketing von Produktsicherheit

• Schulungsbedarf und Kompetenzaufbau

Block 12: Abschluss und offene Fragen

Dieser Workshop richtet sich an Entscheider und operative Verantwortliche in Unternehmen, die Produkte mit digitalen Elementen herstellen oder in die EU importieren: Geschäftsführer und Vorstände (CRA-Pflichten sind nicht delegierbar), Produktmanager und Product Owner (Produktstrategie und -portfolio), Entwicklungsleiter und IT-Architekten (Security by Design), Qualitätsmanager und Compliance-Verantwortliche (Konformitätsbewertung, Dokumentation), IT-Sicherheitsbeauftragte und PSIRTs (Schwachstellenmanagement), Supply Chain Manager (Lieferkettenverantwortung), Rechts- und Regulierungsexperten (rechtliche Einordnung). Besonders relevant für: Hersteller von IoT-Geräten, Embedded Systems, Industrie-4.0-Komponenten, Netzwerkgeräten, Sicherheitstechnik, Medizinprodukte-Software (soweit nicht ausgenommen), Automotive-Software, Consumer Electronics. Teamteilnahme empfohlen: Der Workshop lebt von der interdisziplinären Perspektive. Optimal ist die Teilnahme eines Teams aus Management, Produktverantwortung, Entwicklung und QM.

Wir setzen ausschließlich browserbasierte Tools (bspw. edudip next, BigBlueButton oder MS TEAMS) im Rahmen unserer Webinare ein. Es sind somit keine Installationen im Vorfeld notwendig. Zur Teilnahme an unseren Webinaren benötigen Sie:

• eine Internetverbindung mit mind. 6000er-DSL-Leitung. Wir empfehlen die Nutzung eines LAN-Kabels.
• einen aktuellen Webbrowser (Firefox, Google Chrome, Edge, Safari). Bitte beachten Sie, dass eine Teilnahme über den Internet Explorer nicht möglich ist.
• ein audiofähiges Endgerät (PC oder Laptop) mit Lautsprecher/Kopfhörer, Mikrofon und Webcam.

Teilnahmebescheinigung der TÜV NORD Akademie

Bringen Sie konkrete Produkte mit: Der Workshop ist am effektivsten, wenn Sie reale Produkte Ihres Portfolios klassifizieren und bearbeiten. Dokumentation: Produktbeschreibungen, Architekturübersichten (soweit vorhanden) Entscheidungskompetenz: Teilnehmende sollten berechtigt sein, strategische Entscheidungen für die CRA-Umsetzung zu treffen oder vorzubereiten.