Beschreibung
Der Cyber Resilience Act verpflichtet Hersteller von Maschinen und Anlagen dazu, Security bereits in der Konstruktionsphase zu berücksichtigen (Security-by-Design). Weiters fordert der neue Rechtsakt, dass Unternehmen ein Schwachstellenmanagement für Ihre Produkte betreiben. Am Fokus Tag erhalten Sie relevante und praxisnahe Inhalte zu Security-Risikoanalysen, Schwachstellenmanagement, Software-Bill-of-Materials sowie formaler Anforderungen an Dokumentation und Konformitätserklärung.
Inhalte
ab 09:00
Empfang & Anmeldung
09:30 - 09:35
Eröffnung des Fokus Tages
09:35 - 10:45
CE-Kennzeichnung nach dem Cyber Resilience Act
Wolfgang Reich & Hendrik Stupin, IBF Solutions
- Welche Produkte fallen in den Anwendungsbereich des Cyber Resilience Act - und wie unterscheiden sich die Kategorien Default, Important (Class I/II) und Critical?
- Welche Pflichten tragen Hersteller nach CRA für ihr „Produkt mit digitalen Elementen“?
- Wichtige Stichtage und Übergangsfristen des CRA
- Welche Dokumente müssen Hersteller erstellen und welche Anforderungen (Sprache, Aufbewahrungsfrist, Auslieferung an Kunden, etc.) bestehen?
- CE-Kennzeichnung: Wo und wie muss ein CE-Zeichen am (digitalen) Produkt angebracht werden?
- Wie die Anforderungen der Funkanlagenrichtlinie (RED) und der neuen Maschinenverordnung mit den Anforderungen des CRA zusammenhängen.
- Fragen & Antworten
10:45 - 11:15
Kaffeepause & Austausch
11:15 - 12:30
Risikoanalyse und Risikomanagement entsprechend des Cyber Resilience Act
Florian Gerstmayer, Limes Security
- Wie sieht der Prozess einer Risikoanalyse nach ISO 62443‑3‑2 aus?
- Praktische Umsetzung im Maschinenbau: Durchführung einer Risikoanalyse anhand eines konkreten Beispiels.
- Warum der CRA keine absolute Security fordert - und welches Restrisiko akzeptabel gilt.
- Warum auch organisatorische Maßnahmen, wie z.B. Zugangsbeschränkungen zu Produktionsanlagen, ausreichend sein können, um ein akzeptables Security-Niveau zu erreichen
- Überschneidungen mit Safety‑Risikobeurteilungen nach EN ISO 12100: Gemeinsamkeiten, Unterschiede und Integrationsmöglichkeiten.
- Fragen & Antworten
12:30 - 13:45
Gemeinsames Mittagessen
13:45 - 15:00
Schwachstellenmanagement und Software-Bill-of-Material als zentrale Anforderungen des Cyber Resilience Act
- Meldepflichten für aktiv ausgenutzte Schwachstellen: Was Hersteller künftig melden müssen und welche Fristen gelten.
- Die wichtige Unterscheidung zwischen aktiv ausgenutzten Schwachstellen und (potenziell) ausnutzbaren Schwachstellen.
- So bewerten Sie, welche Schwachstellen relevant sind: Kriterien, risikobasierte Einstufung und Priorisierung.
- Behebung von Schwachstellen: Sicherheitsupdates einspielen, ohne die Maschinenverfügbarkeit zu beeinträchtigen.
- Warum ein „Single Point of Contact“ unverzichtbar ist – und wie er mit geringem Aufwand eingerichtet werden kann.
- Fragen & Antworten
15:00 - 15:30
Kaffeepause & Austausch
15:30 - 16:45
Beispiele zur Umsetzung der technischen Anforderungen nach Anhang I des Cyber Resilience Act
Florian Gerstmayer, Limes Security
- Welche Maßnahmen Sie treffen sollten, um die Cyber-Resilienz Ihrer Maschinen zu erhöhen.
- Warum USB‑Schnittstellen und ähnliche physische Zugänge idealerweise in abgeschlossenen Schaltschränken platziert werden sollten.
- Wie Sie Fernwartungs-Zugänge sicher gestalten und absichern.
- Anforderungen an Verschlüsselung von Daten und Authentifizierungen.
- Zusammenhang zwischen Maschinenverordnung und Cyber Resilience Act: Wie die MVO‑Anforderung zum „Schutz gegen Korrumpierung“ mit den technischen Anforderungen des CRA zusammenwirkt.
- Hilft die prEN 50742 dabei, die Anforderungen der Maschinenverordnung zu erfüllen? Einordnung und Nutzen des neuen Normenentwurfs.
- Fragen & Antworten
16:45 - 17:00
Abschlussdialog & Beantwortung offener Fragen
Zertifikate
- Teilnahmebestätigung
Weitere Infos
Haben Sie Fragen zu diesem Kurs? Füllen Sie das folgende Formular aus und wir melden uns bei Ihnen.