Warum lohnt sich dieser Kurs?
Der neue Cyber Resilience Act (CRA) nimmt Unternehmen umfassend in die Pflicht. Cybersicherheit, IT-Compliance und - im Ernstfall - Krisenkommunikation müssen neu gedacht werden. Von rechtlichen Aspekten bis zur Strategie: Bringen Sie Ihre Cyber Resilience auf ein neues Level.Kursüberblick
Der Cyber Resilience Act (CRA) stellt Unternehmen vor neue Herausforderungen: Künftig müssen höhere Anforderungen an die Cyber- und IT-Sicherheit erfüllt werden. Dabei geht es nicht nur um technische Schutzmaßnahmen und die Einhaltung gesetzlicher Vorgaben, sondern auch um eine ganzheitliche Sicherheitsstrategie, die Schwachstellen erkennt und Risiken gezielt reduziert.Bereiten Sie sich rechtzeitig auf die neuen CRA-Anforderungen vor und profitieren Sie von den Best-Practice-Erfahrungen anderer Unternehmen. Verstärken Sie Ihre Sicherheitsmaßnahmen, um die Compliance in Ihrem Unternehmen nachhaltig sicherzustellen. Doch auch die beste IT-Infrastruktur bietet keinen hundertprozentigen Schutz. Unsere Experten erläutern daher auch, welche Meldepflichten bei Cyber-Angriffen bestehen und wie eine professionelle Krisenkommunikation gelingt. Mit praxisnahen Umsetzungshilfen und Strategien fördern Sie gezielt Ihre Cyber-Resilienz – und machen Ihre Organisation fit für künftige Anforderungen.
Kursinhalte
Cyber Resilience Act (CRA) — Überblick & Rechtsrahmen- Der Cyber Resilience Act (CRA) regelt die Cybersicherheit digitaler Produkte.
- Die Verordnung (EU) 2024/2847 gilt vollumfänglich ab 11. Dezember 2027.
- Bei Verstößen drohen Bußgelder bis 15 Mio. Euro oder 2,5 % Jahresumsatz.
- Die NIS2-Richtlinie (EU) 2022/2555 regelt Cybersicherheit von Diensten.
- Der CRA fokussiert dagegen auf die Sicherheit der Produkte selbst.
- Bereits regulierte Produkte wie Medizinprodukte sind vom CRA ausgenommen.
- Art. 3 Abs. 1 CRA definiert Produkte mit digitalen Elementen umfassend.
- Wichtige und kritische Produkte erfordern Drittstellenprüfungen.
- Security by Design verankert Schutz bereits in der Konzeptphase.
- Konformitätsverfahren richten sich nach der jeweiligen Risikoklasse.
- Die CE-Kennzeichnung bildet die Voraussetzung für den EU-Marktzugang.
- Die Updatepflicht umfasst 5 Jahre oder die erwartete Lebensdauer.
- Meldepflichten greifen ab 11. September 2026 (Art. 14 und 15 CRA).
- Aktiv ausgenutzte Schwachstellen erfordern Frühwarnung binnen 24 Stunden.
- Die vollständige Meldung folgt innerhalb von 72 Stunden an ENISA.
- Anhang I Teil I CRA listet grundlegende Cybersicherheitsanforderungen.
- Risikoanalysen identifizieren Schwachstellen über den Lebenszyklus.
- Patch-Management hält Systeme gegen bekannte Schwachstellen aktuell.
- Digitale Forensik sichert Beweise nach standardisierten Verfahren.
- Die Chain of Custody dokumentiert die Beweismittelkette lückenlos.
- Erste Schritte nach einem Angriff entscheiden über die Beweisqualität.
- Krisenkommunikationspläne regeln die Information aller Stakeholder.
- Datenschutz-Grundverordnung (DSGVO) und CRA verpflichten parallel zu Meldungen.
- Sprachregelungen verhindern widersprüchliche Außenkommunikation.
- War Stories aus realen Cyberangriffen illustrieren typische Szenarien.
- Lessons Learned zeigen erfolgreiche Strategien zur Schadensbegrenzung.
Zielgruppe
- IT-Sicherheitsbeauftragte & Compliance-Verantwortliche
- Unternehmensführung & Entscheider in der IT
- PR- und Kommunikationsverantwortliche für Krisenmanagement
- Software- und Hardwarehersteller, die unter den CRA fallen
Referenten
-
Axel Anderl
Leiter IT/IP und Datenschutz bei DORDA Rechtsanwälte GmbH
-
Nino Tlapak
Experte für Datenschutz und Cloud Sourcing
