1715019
EU CRA Cyber Resiliance Act
Grundlagen und Umsetzung des CRA
Seminar2 Tage
DEPräsenz / Live Online
Dieses Training richtet sich vorrangig an Hersteller von Produkten mit digitalen Elementen, die in den Anwendungsbereich der EU-Verordnung „Cyber Resilience Act“ (CRA) fallen. Nach einer Einordnung des CRA in den rechtlichen Rahmen weiterer EU-Verordnungen und -Richtlinien sowie nationaler Gesetze, behandelt das Training die vom CRA geforderten Anforderungen an Produkte mit digitalen Elementen und die Anforderungen an die Verfahren des Herstellers zur Behandlung Schwachstellen. Darüber hinaus werden die von der Verordnung an Hersteller gestellten Pflichten behandelt. Dazu gehören insbesondere die Meldepflichten, aber auch die Pflichten in Bezug auf die technische Dokumentation und die Konformitätsbewertung.
Nach der Klärung der rechtlichen Vorgaben geht das Training auf die praktische Umsetzung ein, mit der diese Vorgaben und auch das geforderte Einhalten des Stands der Technik erfüllt werden können. Dies erfolgt insbesondere durch Verwendung von Prozessen und Maßnahmen aus internationalen Normen wie der ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005, ISO/IEC 27034 und ISO/IEC 27035, aber auch des BSI (Bundesamt für Sicherheit in der Informationstechnik) und des NIST (National Institute of Standards and Technology).
Ist Ihr Unternehmen bereits mit der CRA und den damit verbundenen Fristen vertraut?
Nach der Klärung der rechtlichen Vorgaben geht das Training auf die praktische Umsetzung ein, mit der diese Vorgaben und auch das geforderte Einhalten des Stands der Technik erfüllt werden können. Dies erfolgt insbesondere durch Verwendung von Prozessen und Maßnahmen aus internationalen Normen wie der ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005, ISO/IEC 27034 und ISO/IEC 27035, aber auch des BSI (Bundesamt für Sicherheit in der Informationstechnik) und des NIST (National Institute of Standards and Technology).
Ist Ihr Unternehmen bereits mit der CRA und den damit verbundenen Fristen vertraut?
- 10.12.2024 Inkrafttreten der Verordnung
- 11.06.2026 Beginn der Vorgaben für Konformitätsbewertungsstellen (Kap. IV)
- 11.09.2026 Beginn der Meldepflichten für Hersteller bei Schwachstellen und Sicherheitsvorfällen (Art. 14)
- 11.12.2027 Volle Anwendbarkeit des CRA – alle Anforderungen müssen bei neuen Produkten erfüllt sein
- Sie kennen und verstehen die vom CRA gestellten rechtlichen Vorgaben für Produkte mit digitalen Elementen und zu erfüllende Pflichten.
- Sie erhalten praktische Anleitungen
- Sie können sich so optimal auf die neuen rechtlichen Vorgaben vorbereiten, um ihre Produkte weiterhin auf dem europäischen Markt in Verkehr zu bringen.
- Sie schützen sich vor Sanktionen und Bußgeldern.
- Rechtliche Grundlagen, rechtlicher Kontext und Anwendungsbereich des CRA sowie zu berücksichtigende Termine
- Vom CRA betroffene Wirtschaftsakteure
- Produkte und Produkteklassen, die in den Anwendungsbereich des CRA fallen und solche die explizit ausgenommen sind.
- Grundlegende Cybersicherheitsanforderungen
- Grundlegende Cybersicherheitsanforderungen an betroffene Produkte mit digitalen Elementen, insbesondere sichere Konfiguration
- Grundlegende Cybersicherheitsanforderungen an die Verfahren des Herstellers zur Behandlung von Schwachstellen, insbesondere
- Pflichten für Hersteller, insbesondere
- Konzeption, Entwicklung und Herstellung gemäß den grundlegenden Cybersicherheitsanforderungen
- Technische Dokumentation und Anleitungen für die Nutzer
- Konformitätsbewertung
- Angaben auf dem Produkt
- Umgang mit Drittkomponenten und Software-Stückliste
- Behandlung von Schwachstellen
- Sicherheitsaktualisierungen
- Meldepflichten
- Relevante Behörden und deren Zusammenwirken
- Pflichten für weitere Akteure und wann die Herstellerpflichten auch für diese gelten
- Leitlinien der EU-Kommission
- Allgemeine Pflichten aus dem CRA (Wahrung der Vertraulichkeit) und Sanktionen
- Anleitung für die Praxis angelehnt an internationale und nationale Standards und Normen:
- Sichere Entwicklungsprozesse
- Risikobewertung und Bedrohungsmodellierung
- Sicherer Entwurf
- Sichere Konfiguration
- Incident Management, Logging und Monitoring
- Management und Offenlegung von Schwachstellen
Teilnahmebescheinigung der TÜV SÜD Akademie
Für die Teilnahme an diesem Seminar gelten keine besonderen Voraussetzungen.
- Fach- & Führungskräfte aus Produktentwicklung, Qualitätsmanagement, Regulatory Affairs, IT-Sicherheit
- Hersteller von digitalen Produkten, die in der EU vertrieben werden
Fachdozent*innen der TÜV SÜD Akademie
