Contents
- Training für Hersteller
- Cyber Resilience Act (CRA) praxisnah umsetzen
- Warum ein spezielles Training für Hersteller erforderlich ist
- Inhalte des Trainings „CRA für Hersteller“
- Rolle und Pflichten des Herstellers nach dem CRA
- Cybersicherheitsanforderungen und Risikobewertung
- Schwachstellenmanagement und koordinierte Offenlegung
- Unterstützungszeitraum, Updates und Versionen
- Technische Dokumentation und Konformitätsbewertung
- Marktüberwachung, Korrekturmaßnahmen und Rückrufe
- Kennzeichnung, Nutzerinformationen und Kommunikation
- Zielgruppe
- Nutzen des Trainings
- Format
Training für Hersteller
Cyber Resilience Act (CRA) praxisnah umsetzen
Das Training für Hersteller richtet sich gezielt an Unternehmen, die Produkte mit digitalen Elementen entwickeln, herstellen und unter eigenem Namen in der EU in Verkehr bringen.
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) begründet umfassende, unmittelbar geltende Pflichten für Hersteller, die den gesamten Produktlebenszyklus betreffen – von der Konzeption über die Entwicklung bis hin zu Support, Updates und Marktüberwachung.
Dieses Training vermittelt streng entlang der Vorgaben des CRA, insbesondere Artikel 13, 31 und 32, welche organisatorischen, technischen und dokumentarischen Anforderungen Hersteller erfüllen müssen, um Konformität, CE-Kennzeichnung und Marktzugang sicherzustellen.
Warum ein spezielles Training für Hersteller erforderlich ist
Der CRA weist den Herstellern die zentrale Verantwortung für die Cybersicherheit von Produkten mit digitalen Elementen zu.
Hersteller sind nicht nur für das Produktdesign verantwortlich, sondern auch für:
- die Bewertung und Dokumentation von Cybersicherheitsrisiken,
- die Behandlung und Meldung von Schwachstellen,
- die Festlegung und Einhaltung des Unterstützungszeitraums,
- die technische Dokumentation und Konformitätsbewertung,
- sowie für Korrekturmaßnahmen, Rückrufe und Behördenkooperation.
Das Training adressiert diese Pflichten vollständig und absatzweise entlang von Artikel 13 CRA.
Inhalte des Trainings „CRA für Hersteller“
Rolle und Pflichten des Herstellers nach dem CRA
- Herstellerbegriff und Abgrenzung zu Importeur und Händler
- Bedeutung des Inverkehrbringens
- Verantwortlichkeit für Produkt, Prozesse und Dokumentation
- Haftungs- und Marktüberwachungsrisiken
Cybersicherheitsanforderungen und Risikobewertung
- Grundlegende Cybersicherheitsanforderungen nach Anhang I Teil I und II CRA
- Durchführung und Dokumentation der Cybersicherheitsrisikobewertung
- Berücksichtigung von Zweckbestimmung, vorhersehbarer Verwendung und Nutzungsdauer
- Integration der Risikobewertung in Planung, Entwicklung, Herstellung, Lieferung und Wartung
Schwachstellenmanagement und koordinierte Offenlegung
- Identifikation und Behandlung von Schwachstellen
- Pflichten bei Schwachstellen in Dritt- und Open-Source-Komponenten
- Koordinierte Offenlegung von Schwachstellen
- Dokumentations- und Aktualisierungspflichten
Unterstützungszeitraum, Updates und Versionen
- Festlegung und Begründung des Unterstützungszeitraums
- Mindestdauer und Dokumentationspflichten
- Bereitstellung von Sicherheitsaktualisierungen
- Umgang mit neuen Versionen, Legacy-Versionen und Softwarearchiven
Technische Dokumentation und Konformitätsbewertung
- Erstellung der technischen Dokumentation gemäß Artikel 31 CRA
- Inhalt, Struktur und Aufbewahrungspflichten
- Auswahl und Durchführung der Konformitätsbewertungsverfahren nach Artikel 32 CRA
- EU-Konformitätserklärung und CE-Kennzeichnung
Marktüberwachung, Korrekturmaßnahmen und Rückrufe
- Pflichten bei Nichtkonformität
- Korrektur-, Rücknahme- und Rückrufmaßnahmen
- Kooperation mit Marktüberwachungsbehörden
- Informations- und Vorlagepflichten
Kennzeichnung, Nutzerinformationen und Kommunikation
- Produktidentifikation und Rückverfolgbarkeit
- Herstellerkennzeichnung und Kontaktangaben
- Zentrale Anlaufstelle für Nutzer und Schwachstellenmeldungen
- Nutzerinformationen und Anleitungen gemäß Anhang II CRA
Zielgruppe
- Hersteller von Hard- und Software
- Entwickler von IoT-, Industrie- und vernetzten Produkten
- Produktmanagement, Entwicklung und Engineering
- Cybersecurity-, Compliance- und Qualitätsmanagement
- Regulatory Affairs und Product Compliance
Nutzen des Trainings
Nach dem Training sind die Teilnehmenden in der Lage,
- ihre CRA-Pflichten als Hersteller vollständig und rechtssicher einzuordnen,
- Cybersicherheitsrisiken und Schwachstellen CRA-konform zu behandeln,
- technische Dokumentation und Konformitätsbewertung prüfungsfest umzusetzen,
- Marktüberwachungs- und Haftungsrisiken gezielt zu steuern,
- und ein belastbares Hersteller-Compliance-Modell zu etablieren.
Format
- Präsenz- oder Online-Training
- Praxisnah, regulatorisch präzise, ohne Marketing-Buzzwords
- Optional produktspezifisch (z. B. IoT, Industrie, Software, kritische Produkte)