Mit dem Cyber Resilience Act (EU) 2024/2847 stellt die EU neue Anforderungen an die IT- bzw. OT-Sicherheit vernetzter Produkte – und viele Hersteller stehen vor offenen Fragen: 

• Wie lassen sich die neuen Vorgaben konkret umsetzen? 
• Welche Normen gelten künftig? 
• Und was bedeutet das für Entwicklung, Produktion und Betrieb?

Zum zweiten Mal bringt unsere Online-Konferenz Licht ins Dunkel. Branchenexpert:innen, Jurist:innen und Praktiker:innen beleuchten den CRA aus verschiedenen Perspektiven und zeigen praxisnahe Wege zur Umsetzung. Ziel ist es, Orientierung zu geben, Handlungssicherheit zu schaffen – und gemeinsam die Basis für eine widerstandsfähige, digitale Zukunft zu legen.

Themen der Vorträge

• Häufige (schwierige) Praxisfragen rund um den CRA – aus technischer und juristischer Sicht
• Security-Risikoanalyse in 7 Schritten - am Beispiel einer smarten Maschine
• IEC 62443 – Unverzichtbare Grundlage für Security Engineering
• Security in der Supply Chain: Worauf Sie bei der Integration von Hardware und Software in Ihre Produkte achten müssen.
• Endlich harmonisierte Normen! Welche Normen helfen den CRA zu erfüllen?
• Expert Talk – noch mehr Zeit für Ihre Fragen

08:30 - 08:35 Uhr - Begrüßung

Johannes Windeler-Frick (Moderation), IBF Solutions

08:35 - 10:00 Uhr - Häufige (schwierige) Praxisfragen rund um den CRA – aus technischer und juristischer Sicht

Dr. Gerhard Wiebe, Produktkanzlei und Wolfgang Reich, IBF Solutions

• Warum auch reine Software ein Produkt im Sinne des CRA ist und wo die Grenze liegt.
• Wann gilt ein Produkt nach dem CRA als „in Verkehr gebracht“?
• Unterliegen eigenhergestellte Produkt für die unternehmensinterne Verwendung dem CRA (Stichwort „Eigenbau“)? Achtung:EU-Produktvorschriften regeln den „Eigenbau“ teilweise unterschiedlich! Abgrenzung zu den Vorschriften bzgl. Maschinen und elektrischen Geräten. 
• Ausnahmen bei „maßgeschneiderten Produkten“: Wie weit gilt die Erleichterung und wie profitiert der Sondermaschinenbaudavon?
• Was unter „Nachmarktpflichten“ zu verstehen ist und welche Pflichten Hersteller auch nach dem Inverkehrbringen haben. 
• „Wesentliche Änderung“ – wann liegt eine wesentliche Änderung im Sinne des CRA vor und wie wirkt sie sich z.B. aufdie Anforderungen aus der Maschinenverordnung aus? 
• Sicherheitsupdates ohne Funktionsupdates: was fordert der CRA und wo existieren Graubereiche?
• Wie streng sind die herstellerseitigen Meldepflichten? (Reaktionszeit von 24 Stunden – Wochenende, Betriebsurlaube,etc.)
• Fragen und Diskussion

10:00 - 10:15 Uhr - Kaffeepause

10:15 - 12:00 Uhr - Security-Risikoanalyse in 7 Schritten - am Beispiel einer smarten Maschine

Florian Gerstmayer, Limes Security

• Systemabgrenzung: Welche Parameter Sie in Ihrem „System und Consideration (SuC)“ berücksichtigen müssen?
• Verwendungszweck, Fehlanwendung, Betriebsanforderungen: Wie Sie den für Sie relevanten „Security Context” festlegen.
• Schnittstellen und Assets: Warum die Unterscheidung wichtig ist und welche Komponenten und Systeme bei smarten Maschinen unbedingt berücksichtigt werden sollten. 
• Auswirkungs- und Bedrohungsanalyse: Tipps, Empfehlungen und Beispiele zu den beiden wichtigsten Prozessschritten der Security-Risikoanalyse. 
• Auf das Risiko kommt es an: Wie Sie ermitteln, welche Maßnahmen in welcher Situation notwendig bzw. erforderlich sind.
• Wie Sie die Security-Risikoanalyse dokumentieren sollten. 
• Fragen & Diskussion 

12:00 - 13:00 Uhr - Mittagspause

13:00 - 14:00 Uhr - IEC 62443 – Unverzichtbare Grundlage für Security Engineering

Sarah Fluchs, admeritia GmbH

• Warum die Normenreihe IEC 62443 die Grundausstattung von Security-Engineering ist.
• Wie lassen sich die Anforderungen aus dem CRA mit den Vorgaben aus IEC 62443 in Einklang bringen?
• Welche Teile von IEC 62443 sind für die Erfüllung des CRA besonders wichtig?
• Wann Maschinen und Geräte „Systeme“ und wann „Komponenten“ im Sinne von IEC 62443 sind.
• Was ist ein sicherer Produktentwicklungsprozess gem. IEC 62443-4-1?
• Fragen & Diskussion

14:00 - 15:00 Uhr - Security in der Supply Chain: Worauf Sie bei der Integration von Hardware und Software in Ihre Produkte achten müssen

Peter Panholzer, Limes Security

• Verantwortung endet nicht am Werkstor: Welche Pflichten Hersteller für zugekaufte Hardware- und Softwarekomponenten tragen.
• Lieferantenbewertung und -qualifizierung: Welche Kriterien sich aus dem CRA, IEC 62443 und EN 40000-x ableiten lassen.
• SBOM & HBOM in der Praxis: Transparenzanforderungen für Software- und Hardware-Bausteine entlang der Lieferkette.
• Open-Source-Komponenten rechtssicher einsetzen: Lizenz-Compliance, Schwachstellenmanagement und Updatepflichten.
• Vertragliche Absicherung: Welche Regelungen zu Security-Updates, Incident-Meldungen und Schwachstellenbehebung in Lieferverträgen nicht fehlen dürfen.
• Umgang mit Abkündigungen (Obsoleszenz) und „End-of-Life“ von Komponenten im Lichte der Nachmarktpflichten des CRA.
• Third-Party-Risiken und Fernwartungszugänge: Wie Hersteller ihre Systemverantwortung trotz externer Beteiligter wahren.
• Typische Fallstricke aus der Praxis (z.B. Konzerninterne Lieferbeziehungen, White-Label-Produkte, OEM-Komponenten).
• Fragen & Diskussion

15:00 - 15:15 Uhr - Kaffeepause

15:15 - 16:30 Uhr - Endlich harmonisierte Normen! Welche Normen helfen den CRA zu erfüllen?

Maximilian Moser, VDMA e. V.

• Die Normenreihe EN 40000 im Überblick: In welchen Bereichen Sie WANN mit harmonisierten Normen rechnen können und welche Grundprinzipien der Cyber-Resilienz (EN 40000-1-2) relevant sind. 
• Schwachstellenmanagement (EN 40000-1-3): Wie die Norm die Vorgaben aus dem CRA (z.B. bzgl. SBOM) konkretisiert und welche Fragen dennoch offenbleiben. 
• Normative Hilfestellungen zur Erfüllung der technischen Anforderungen aus Anhang I, Teil 1 des CRA (EN 40000-1-4): 
• Welche rechtliche Wirkung hat die Anwendung von EN 40000-x und wie stehen diese in Beziehung zu anderen Normen, z.B. EN 18031 (Security in Funkanlagen)? 
• Welche Normen lösen (voraussichtlich) Konformitätsvermutung aus? Was bedeuten die Normen für den „Stand der Technik“?
• Schutz gegen Korrumpierung von Maschinen - Hilft die maschinenspezifische Norm EN 50742 auch bei der Erfüllung von CRA-Anforderungen?
• Fragen & Diskussion

16:30 - 17:00 Uhr - Expert Talk – noch mehr Zeit für Ihre Fragen

Alle anwesenden Expert:innen

Stellen Sie Ihre Fragen Live per Chat – Experten beleuchten die Fragestellungen aus unterschiedlichen Blickwinkeln.