Der CRA definiert verbindliche Sicherheitsstandards für digitale Produkte 

(inkl. Software und Cloud-Dienste). SW-Anbieter müssen die neuen Vorgaben erfüllen. 

In einem kompakten Vortrag wird für SW-Organisationen dargestellt, auf was sie achten müssen und es werden Tipps für die Vorbereitung und Umsetzung des CRA gegeben.

• Teil 1: CRA Überblick, beachtende Themen und Tipps für die Vorbereitung auf den CRA
• Teil 2: Normen und Standards im Rahmen des CRA, die alle Software-Organisationen betreffen
• Teil 3: ausgewählte Beispielen und konkreten Umsetzungstipps

Zielgruppe: CEOs, CTOs, Product Owner, Analytiker, Produkt-Manager, Architekten, Entwickler, Tester
Voraussetzung: Kenntnisse und Erfahrung im SW-Entwicklungsprozess
Level: Advanced

Extended Abstract:

Der Cyber Resilience Act (CRA) markiert einen Meilenstein in der europäischen Gesetzgebung für Cybersicherheit. Seit seinem Inkrafttreten am 10. Dezember 2024 gelten umfassende Anforderungen an Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Ab 11. Dezember 2027 müssen Hersteller - unabhängig von der Kritikalität ihrer Produkte - sicherstellen, dass ihre Lösungen dem CRA entsprechen. Für viele Unternehmen in diesem Bereich bedeutet dies Cybersicherheits- und Sicherheitsanforderungen mit dem Software-Entwicklungsprozess eng miteinander zu verknüpfen.

Der Vortrag beleuchtet die gesetzlichen Rahmenbedingungen und ihre Auswirkungen auf Software-Organisationen sowie Zulieferer. Er zeigt auf, wie durch Orientierung am 'Stand der Technik' (z.B. ISO 27001, ISO 25010, NIST SSDF, OWASP und anderen Standards) nicht nur Compliance sichergestellt, sondern auch Produkt- und Prozessqualität nachhaltig verbessert werden kann.

Anhand praxisnaher Beispiele (z. B. Secure Development Lifecycle, Sicherheitsanforderungen, Security Testing, Risikoanalyse, etc.) wird dargestellt, wie Unternehmen eine schrittweise Roadmap zur CRA-Compliance entwickeln können. 

Im Fokus stehen dabei die Integration von Secure-by-Design-Prinzipien in Entwicklungsprozesse, die Nutzung harmonisierter Normen zur Haftungsminimierung sowie die organisatorische Verankerung einer Security-Kultur.

Teilnehmende erhalten konkrete Handlungsempfehlungen für den Einstieg: von der Portfolioanalyse über Gap-Assessments bis hin zur Umsetzung und Dokumentation. 

Der Vortrag verbindet regulatorische Anforderungen mit Best Practices aus Industrieprojekten und bietet so einen kompakten Leitfaden für Führungskräfte, Entwicklungs- und Qualitätsverantwortliche.