Fokustag - Cyber Resilience Act

Der Cyber Resilience Act verpflichtet Hersteller von Maschinen und Anlagen dazu, Security bereits in der Konstruktionsphase zu berücksichtigen (Security-by-Design). Weiters fordert der neue Rechtsakt, dass Unternehmen ein Schwachstellenmanagement für Ihre Produkte betreiben. Am Fokus Tag erhalten Sie relevante und praxisnahe Inhalte zu Security-Risikoanalysen, Schwachstellen­management, Software-Bill-of-Materials sowie formaler Anforderungen an Dokumentation und Konformitätserklärung.

ab 09:00

Empfang & Anmeldung

09:30 - 09:35

Eröffnung des Fokus Tages

Wolfgang Reich, IBF Solutions

09:35 - 10:45

CE-Kennzeichnung nach dem Cyber Resilience Act

Wolfgang Reich & Hendrik Stupin, IBF Solutions

• Welche Produkte fallen in den Anwendungsbereich des Cyber Resilience Act - und wie unterscheiden sich die Kategorien Default, Important (Class I/II) und Critical?
• Welche Pflichten tragen Hersteller nach CRA für ihr „Produkt mit digitalen Elementen“?
• Wichtige Stichtage und Übergangsfristen des CRA
• Welche Dokumente müssen Hersteller erstellen und welche Anforderungen (Sprache, Aufbewahrungsfrist, Auslieferung an Kunden, etc.) bestehen?
• CE-Kennzeichnung: Wo und wie muss ein CE-Zeichen am (digitalen) Produkt angebracht werden?
• Wie die Anforderungen der Funkanlagenrichtlinie (RED) und der neuen Maschinenverordnung mit den Anforderungen des CRA zusammenhängen.
• Fragen & Antworten

10:45 - 11:15

Kaffeepause & Austausch

11:15 - 12:30

Risikoanalyse und Risikomanagement entsprechend des Cyber Resilience Act

Florian Gerstmayer, Limes Security

• Wie sieht der Prozess einer Risikoanalyse nach ISO 62443‑3‑2 aus?
• Praktische Umsetzung im Maschinenbau: Durchführung einer Risikoanalyse anhand eines konkreten Beispiels.
• Warum der CRA keine absolute Security fordert - und welches Restrisiko akzeptabel gilt.
• Warum auch organisatorische Maßnahmen, wie z.B. Zugangsbeschränkungen zu Produktionsanlagen, ausreichend sein können, um ein akzeptables Security-Niveau zu erreichen
• Überschneidungen mit Safety‑Risikobeurteilungen nach EN ISO 12100: Gemeinsamkeiten, Unterschiede und Integrationsmöglichkeiten.
• Fragen & Antworten

12:30 - 13:45

Gemeinsames Mittagessen

13:45 - 15:00

Schwachstellenmanagement und Software-Bill-of-Material als zentrale Anforderungen des Cyber Resilience Act

Maximilian Moser, VDMA

• Meldepflichten für aktiv ausgenutzte Schwachstellen: Was Hersteller künftig melden müssen und welche Fristen gelten.
• Die wichtige Unterscheidung zwischen aktiv ausgenutzten Schwachstellen und (potenziell) ausnutzbaren Schwachstellen.
• So bewerten Sie, welche Schwachstellen relevant sind: Kriterien, risikobasierte Einstufung und Priorisierung.
• Behebung von Schwachstellen: Sicherheitsupdates einspielen, ohne die Maschinenverfügbarkeit zu beeinträchtigen.
• Warum ein „Single Point of Contact“ unverzichtbar ist – und wie er mit geringem Aufwand eingerichtet werden kann.
• Fragen & Antworten

15:00 - 15:30

Kaffeepause & Austausch

15:30 - 16:45

Beispiele zur Umsetzung der technischen Anforderungen nach Anhang I des Cyber Resilience Act

Florian Gerstmayer, Limes Security

• Welche Maßnahmen Sie treffen sollten, um die Cyber-Resilienz Ihrer Maschinen zu erhöhen.
• Warum USB‑Schnittstellen und ähnliche physische Zugänge idealerweise in abgeschlossenen Schaltschränken platziert werden sollten.
• Wie Sie Fernwartungs-Zugänge sicher gestalten und absichern.
• Anforderungen an Verschlüsselung von Daten und Authentifizierungen.
• Zusammenhang zwischen Maschinenverordnung und Cyber Resilience Act: Wie die MVO‑Anforderung zum „Schutz gegen Korrumpierung“ mit den technischen Anforderungen des CRA zusammenwirkt.
• Hilft die prEN 50742 dabei, die Anforderungen der Maschinenverordnung zu erfüllen? Einordnung und Nutzen des neuen Normenentwurfs.
• Fragen & Antworten

16:45 - 17:00

Abschlussdialog & Beantwortung offener Fragen

Alle anwesenden Referenten