Freitag und trotzdem Weiterbildung? Manchmal muss das leider sein. Dafür gibt es bei der ARS Akademie einen Preisvorteil.
Warum lohnt sich dieser Kurs?
Der neue Cyber Resilience Act (CRA) nimmt Unternehmen umfassend in die Pflicht. Cybersicherheit, IT-Compliance und - im Ernstfall - Krisenkommunikation müssen neu gedacht werden. Von rechtlichen Aspekten bis zur Strategie: Bringen Sie Ihre Cyber Resilience auf ein neues Level.Kursüberblick
Der Cyber Resilience Act (CRA) stellt Unternehmen vor neue Herausforderungen: Künftig müssen höhere Anforderungen an die Cyber- und IT-Sicherheit erfüllt werden. Dabei geht es nicht nur um technische Schutzmaßnahmen und die Einhaltung gesetzlicher Vorgaben, sondern auch um eine ganzheitliche Sicherheitsstrategie, die Schwachstellen erkennt und Risiken gezielt reduziert.Bereiten Sie sich rechtzeitig auf die neuen CRA-Anforderungen vor und profitieren Sie von den Best-Practice-Erfahrungen anderer Unternehmen. Verstärken Sie Ihre Sicherheitsmaßnahmen, um die Compliance in Ihrem Unternehmen nachhaltig sicherzustellen. Doch auch die beste IT-Infrastruktur bietet keinen hundertprozentigen Schutz. Unsere Experten erläutern daher auch, welche Meldepflichten bei Cyber-Angriffen bestehen und wie eine professionelle Krisenkommunikation gelingt. Mit praxisnahen Umsetzungshilfen und Strategien fördern Sie gezielt Ihre Cyber-Resilienz – und machen Ihre Organisation fit für künftige Anforderungen.
Kursinhalte
Cyber Resilience Act (CRA) — Überblick- Der CRA regelt die Cybersicherheit vernetzter Produkte mit digitalen Elementen (Hardware- und Softwareprodukte, Komponenten wie zB vernetzte Produktionsmaschinen und Haushaltsgeräte, Download-Apps, Steuerungssoftware für IoT, Computerchips, etc).
- Der CRA gilt vollumfänglich ab dem 11. Dezember 2027. Nicht-konforme Produkte dürfen ab diesem Zeitpunkt nicht mehr am EU-Markt vertrieben werden.
- Bei Verstößen drohen außerdem Bußgelder bis 15 Mio. Euro oder 2,5 % Jahresumsatz.
- Zudem können sich für Leitungsorgane indirekt auch Haftungsfolgen ergeben.
- Die wachsende Zahl an Guidelines, Playbooks und Toolboxes treibt die Komplexität in der Compliance.
- Die NIS-2-Richtlinie (EU) 2022/2555 bzw das NISG 2026 regeln die Cybersicherheit sämtlicher Netze und Systeme von verpflichteten Einrichtungen. Durch NIS-2 wurde der Anwendungsbereich branchenübergreifend massiv erweitert.
- Der CRA fokussiert dagegen auf die Sicherheit der Produkte und den damit verbundenen Systemen und Netzen selbst. Er gilt aber unabhängig von Branche und Unternehmensgröße.
- Bereits regulierte Produkte wie Medizinprodukte sind vom CRA ausgenommen.
- Art. 3 Abs. 1 CRA definiert vernetzte Produkte mit digitalen Elementen. Allerdings fehlen zentrale Definitionen wie jene des Produkts und ergeben sich komplexe Abgrenzungsfragen insbesondere bei SaaS-Anwendungen und webbasierten Lösungen.
- Jedes Produkt muss entsprechend seinem Risiko klassifiziert werden. Wichtige und kritische Produkte erfordern Drittstellenprüfungen und daher eine rechtzeitige Vorbereitung.
- Security by Design verankert Cybersicherheitsanforderungen bereits in der Entwicklungs- und Konzeptphase.
- Weitere Pflichten sind die Meldung von Schwachstellen und Sicherheitsvorfällen, die Schwachstellenbehebung, Informationspflichten, die Bereitstellung von Sicherheitsupdates während der erwarteten Nutzungsdauer, etc.
- Meldepflichten greifen bereits ab dem 11. September 2026 (Art. 14 und 15 CRA).
- Aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle erfordern eine Frühwarnung bereits binnen 24 Stunden – unabhängig von Nacht- und Wochenendzeiten.
- Die vollständige Meldung folgt innerhalb von 72 Stunden.
- Die kurzen Fristen und etwaige parallele Meldepflichten machen eine rechtzeitige Vorbereitung unerlässlich.
- Success Stories aus realen Cyberangriffen illustrieren typische Szenarien.
- Lessons Learned zeigen erfolgreiche Strategien zur Bewältigung von Incidents und Schadensbegrenzung.
Zielgruppe
- Hersteller, Importeure und Händler von vernetzten Produkten mit digitalen Elementen (zB Hardware- und Softwareprodukte, Komponenten)
- IT-Sicherheitsbeauftragte & Compliance-Verantwortliche (zB CISOs, IT-Abteilungsleiter, Security Zuständige)
- Unternehmensführung (Geschäftsführung, Vorstand, Aufsichtsrat) & Entscheider in der IT
- Rechtsabteilungsleiter
- Produktmanager und -verantwortliche
- PR- und Kommunikationsverantwortliche für Krisenmanagement
