CRA-Workshop für Hersteller

Cyber Resilience Act verstehen, Auswirkungen bewerten und konkrete Umsetzungsschritte festlegen

Der Cyber Resilience Act (CRA) betrifft Hersteller von Maschinen, Geräten, Anlagen und digitalen Produkten direkt. Viele Unternehmen wissen inzwischen, dass sie handeln müssen. Unklar ist aber häufig, was der CRA konkret für Produkte, Entwicklungsprozesse, technische Dokumentation, Vulnerability Handling, SBOM, Lieferantenmanagement und CE-Konformität bedeutet.

In unserem 2-tägigen CRA-Workshop schaffen wir Klarheit. Wir erklären die Anforderungen nicht abstrakt, sondern übertragen sie auf Ihre Produkte, Prozesse und Organisation. Ziel ist, dass Ihre Teams nach dem Workshop wissen, welche Anforderungen relevant sind, wo die größten Lücken liegen und welche nächsten Schritte sinnvoll sind.

Für Produktmanagement, Entwicklung, Quality Management, Regulatory Affairs, Informationssicherheit und Geschäftsführung.

Cyber Resilience Act umsetzen: CRA-Workshop für Hersteller

Für Hersteller von Maschinen, Geräten und Produkten mit digitalen Elementen, die den CRA nicht nur verstehen, sondern in Entwicklung, Produktmanagement, Qualität und Regulatory Affairs praktisch umsetzen müssen.

CRA-Workshop anfragen

Praxisnaher Workshop für Hersteller mit Fokus auf Produkt-Security, EN 40000, IEC 62443, CE-Konformität und europäische Cybersecurity-Regulierung.

Viele Hersteller stehen beim CRA vor denselben Fragen

Der CRA ist kein reines Rechtsthema. Die Anforderungen greifen tief in Produktentwicklung, Architektur, Dokumentation, Betrieb und Support ein. Dadurch entstehen Fragen, die sich nicht allein durch das Lesen des Gesetzestextes beantworten lassen:

  • Welche unserer Produkte fallen unter den CRA?
  • Welche Anforderungen gelten für Maschinen, Steuerungen, Geräte, Software oder Cloud-Anbindungen?
  • Welche technischen Security-Maßnahmen müssen im Produkt umgesetzt werden?
  • Welche Prozesse brauchen wir für Secure Development, Schwachstellenmanagement und Security Updates?
  • Welche Nachweise werden für die CE-Konformität benötigt?
  • Wie gehen wir mit Bestandsprodukten, Ersatzteilen, Retrofits und Updates um?
  • Welche Rolle spielen Normen wie EN 40000, IEC 62443, EN 18031 oder ETSI EN 303 645?

Der Workshop ist darauf ausgelegt, diese Fragen strukturiert zu klären und in konkrete Arbeitspakete zu übersetzen.

Ziel: vom regulatorischen Überblick zur konkreten Umsetzungsplanung

Der Workshop verbindet fachliche Schulung mit praktischer Anwendung. Ihre Teams erhalten nicht nur einen Überblick über den CRA, sondern arbeiten an den Auswirkungen auf die eigene Produktlandschaft und Organisation.

Nach dem Workshop sollten Sie einschätzen können:

  • welche CRA-Anforderungen für Ihre Produkte besonders relevant sind,
  • welche Prozesse und Nachweise bereits vorhanden sind,
  • welche Lücken in Entwicklung, Produktmanagement, Quality Management und Regulatory Affairs bestehen,
  • welche Normen und Standards für die Umsetzung herangezogen werden können,
  • welche nächsten Schritte priorisiert werden sollten.

Was Sie nach dem Workshop haben

Am Ende des Workshops steht kein allgemeines Schulungswissen, sondern eine belastbare Grundlage für Ihre CRA-Umsetzung.

Typische Ergebnisse sind:

  • gemeinsames Verständnis der CRA-Anforderungen im relevanten Team,
  • erste Einordnung der betroffenen Produkte und Produkttypen,
  • Übersicht über zentrale Handlungsfelder,
  • erste Gap-Sicht auf Prozesse, technische Anforderungen und Dokumentation,
  • priorisierte nächste Schritte für die Umsetzung,
  • gemeinsame Entscheidungsgrundlage für Management,
  • roduktmanagement, Entwicklung und Qualität.

Optional kann der Workshop mit einem kompakten Ergebnisprotokoll, einer Maßnahmenliste oder einer initialen Roadmap ergänzt werden.

Für wen der CRA-Workshop geeignet ist

Der Workshop richtet sich an Hersteller von Produkten mit digitalen Elementen. Dazu gehören insbesondere Hersteller von Maschinen, Anlagen, Automatisierungskomponenten, Steuerungen, IIoT-Geräten, Embedded-Systemen, Softwareprodukten und vernetzten Geräten.

Besonders sinnvoll ist der Workshop für Unternehmen, bei denen mehrere Bereiche gemeinsam an der CRA-Umsetzung beteiligt sind:

  • Produktmanagement
  • Entwicklung und Architektur
  • Quality Management
  • Regulatory Affairs
  • Informationssicherheit
  • Einkauf und Lieferantenmanagement
  • Service und After Sales
  • Geschäftsführung oder Bereichsleitung

Der Workshop eignet sich vor allem dann, wenn Sie nicht nur eine allgemeine CRA-Schulung benötigen, sondern eine gemeinsame Grundlage für die Umsetzung im Unternehmen schaffen wollen.

Inhalte des CRA-Workshops

Das Training deckt alle wesentlichen Anforderungsbereiche des Cyber Resilience Act ab. Jedes Thema wird sowohl aus regulatorischer Perspektive als auch hinsichtlich der praktischen Umsetzung behandelt. Die Workshop-Phasen ermöglichen die direkte Anwendung auf Ihre Produkte und Prozesse.

Anwendungsbereich und Betroffenheit
Wir klären, welche Produkte unter den CRA fallen, wie Produkte mit digitalen Elementen einzuordnen sind und welche Rollen Hersteller, Importeure, Händler und Bevollmächtigte haben. Dabei betrachten wir auch typische Grenzfälle aus der Praxis, zum Beispiel Maschinen, Embedded Software, Zubehör, Ersatzteile, Retrofits, Updates und Cloud-Anbindungen.

Der CRA verlangt nicht nur sichere Produkte, sondern auch geeignete Entwicklungs- und Managementprozesse. Im Workshop betrachten wir, welche Anforderungen an Secure Development, Security Governance, Risikomanagement, Dokumentation, Review, Testing und Freigabe entstehen.

Dabei ordnen wir ein, wie bestehende Prozesse mit Ansätzen aus IEC 62443-4-1 oder den entstehenden CRA-Normen verbunden werden können.

Wir betrachten die technischen Anforderungen an Produkte mit digitalen Elementen. Dazu gehören unter anderem sichere Konfiguration, Zugriffsschutz, Schutz von Daten, Integrität, Verfügbarkeit, Protokollierung, Update-Fähigkeit, Schwachstellenreduktion und sichere Standardeinstellungen.

Ziel ist nicht, pauschale Maßnahmenlisten zu erzeugen, sondern die Anforderungen risikobasiert auf Ihre Produkte und Architekturen zu übertragen.

Die Cybersecurity-Risikobeurteilung ist ein zentrales Element der CRA-Umsetzung. Im Workshop klären wir, wie Risiken identifiziert, bewertet und dokumentiert werden können und wie daraus Anforderungen an Produktdesign, Sicherheitsmaßnahmen und Nachweise entstehen.

Dabei wird auch betrachtet, wie sich die Cybersecurity-Risikobeurteilung mit bestehenden Entwicklungs-, Safety- oder CE-Prozessen verbinden lässt.

Der CRA bringt neue Anforderungen an Transparenz über Komponenten, Abhängigkeiten und Schwachstellen. Im Workshop betrachten wir, welche Rolle eine Software Bill of Materials spielt, welche Informationen realistisch benötigt werden und wie Lieferanten in die CRA-Umsetzung eingebunden werden können.

Dabei geht es auch um praktische Fragen: Welche Informationen müssen vom Lieferanten kommen? Wie werden Open-Source-Komponenten berücksichtigt? Wie kann eine SBOM gepflegt und für Vulnerability Management genutzt werden?

Hersteller müssen Schwachstellen erkennen, bewerten, behandeln und unter bestimmten Bedingungen melden. Im Workshop klären wir, welche Prozesse für Vulnerability Handling, Coordinated Vulnerability Disclosure, Security Advisories, Security Updates und Meldepflichten benötigt werden.

Dabei betrachten wir auch die organisatorischen Schnittstellen zwischen Entwicklung, Product Security, Support, Legal, Regulatory Affairs und Kommunikation.

Viele Hersteller müssen klären, wie lange Produkte unterstützt werden, wie Updates bereitgestellt werden und wie mit Bestandsprodukten, Ersatzteilen, Retrofits und wesentlichen Änderungen umzugehen ist.

Im Workshop ordnen wir diese Themen regulatorisch und praktisch ein. Ziel ist, eine Grundlage für Support-Policies, Update-Strategien und produktbezogene Entscheidungen zu schaffen.

Der CRA wird Teil der CE-Konformität. Im Workshop betrachten wir, welche Nachweise benötigt werden, wie technische Dokumentation aufgebaut sein kann und welche Rolle harmonisierte Normen spielen.

Dabei ordnen wir auch relevante Normen und Standards ein, zum Beispiel EN 40000, IEC 62443, EN 18031, ETSI EN 303 645, ISO/IEC 29147 und ISO/IEC 30111.

Format und Umfang

Der Workshop ist als Inhouse-Format für Ihr Unternehmen konzipiert.

  • Dauer: 2 Tage
  • Durchführung: online oder vor Ort
  • Format: Kombination aus Schulung, Diskussion und Arbeitsphasen
  • Fokus: Anwendung auf Ihre Produkte, Prozesse und Organisation
  • Teilnehmer: typischerweise 6 bis 15 Personen aus relevanten Fachbereichen
  • Ergebnis: gemeinsames Verständnis, erste Gap-Sicht und priorisierte nächste Schritte

Je nach Zielsetzung kann der Workshop stärker als Management-Workshop, Fachworkshop oder Umsetzungsworkshop ausgerichtet werden.

Möglicher Ablauf der zwei Workshop-Tage

Tag 1: Verständnis und Einordnung

Am ersten Tag schaffen wir ein gemeinsames Verständnis des CRA und ordnen die Auswirkungen auf Ihre Produkte und Organisation ein.

Typische Themen:

  • Überblick über den CRA und zentrale Herstellerpflichten
  • Anwendungsbereich und Produktbetroffenheit
  • Rollen und Verantwortlichkeiten im Unternehmen
  • Anforderungen an Entwicklungsprozess und Organisation
  • technische Anforderungen an Produkte
  • erste Diskussion relevanter Produkt- und Prozessszenarien

Tag 2: Umsetzung und nächste Schritte

Am zweiten Tag liegt der Fokus auf praktischer Umsetzung, Nachweisen und Priorisierung.

Typische Themen:

  • Cybersecurity-Risikobeurteilung
  • SBOM und Lieferantenmanagement
  • Vulnerability Handling und Meldepflichten
  • Supportzeiträume, Updates und Bestandsprodukte
  • Konformität, technische Dokumentation und Normen
  • Ableitung von Handlungsfeldern und nächsten Schritten

Wann der Workshop besonders sinnvoll ist

Der CRA-Workshop ist besonders geeignet, wenn eine oder mehrere der folgenden Situationen auf Ihr Unternehmen zutreffen:

  • Sie müssen mehrere Produktlinien auf CRA-Relevanz prüfen.
  • Entwicklung, Qualität, Regulatory Affairs und Produktmanagement haben noch kein gemeinsames Zielbild.
  • Es gibt bereits einzelne Security-Aktivitäten, aber keinen durchgängigen CRA-Umsetzungsansatz.
  • Sie benötigen eine Grundlage für Budget, Projektplanung oder Management-Entscheidungen.
  • Sie wollen bestehende IEC 62443-, CE-, Safety- oder Qualitätsprozesse für den CRA nutzen.
  • Sie müssen klären, wie mit Bestandsprodukten, Ersatzteilen, Updates oder Retrofit-Szenarien umzugehen ist.
  • Sie wollen vermeiden, dass die CRA-Umsetzung zu spät und unkoordiniert startet.

Praxisnahe CRA-Unterstützung für Hersteller

Der Workshop wird von Secuvise durchgeführt. Secuvise unterstützt Hersteller bei Product Security, Cybersecurity-Regulierung und der praktischen Umsetzung von Anforderungen aus CRA, RED Delegated Act, IEC 62443 und verwandten Standards.

Unser Fokus liegt nicht auf abstrakter Rechtsauslegung, sondern auf der Umsetzung in Produktentwicklung, Produktmanagement, Qualität und technischer Dokumentation. Dadurch eignet sich der Workshop besonders für Unternehmen, die den CRA in bestehende Entwicklungs- und CE-Prozesse integrieren müssen.

Sie möchten klären, was der CRA konkret für Ihre Produkte bedeutet?

Dann ist der CRA-Workshop ein sinnvoller erster Schritt. In zwei Tagen schaffen wir ein gemeinsames Verständnis, ordnen Ihre Ausgangslage ein und leiten konkrete Handlungsfelder für die Umsetzung ab.

CRA-Workshop anfragen

CRA-Workshop anfragen

Senden Sie uns kurz Ihre Kontaktdaten und ein paar Informationen zu Ihrer Ausgangslage. Wir melden uns mit einer Einschätzung, ob der Workshop zu Ihrer Situation passt und wie ein sinnvoller Zuschnitt aussehen kann.