Der Cyber Resilience Act Summit 2026
Hier gibt’s Prozesse & Methoden für CRA-konformes Entwickeln
Bis Ende 2027 müssen Hersteller die Vorgaben des Cyber Resilience Act (CRA) erfüllen – das geht nicht ohne einen optimalen Prozess und die richtigen Methoden. Welche dies sind und wo wir stehen, zeigt ein Track im Rahmen des Cyber Resilience Act Summit 2026 am 8. Juli in Garching bei München.
Rund um den „Cyber Resilience Act“ (CRA) der EU gibt der Cyber Resilience Act Summit, den das Fachmedium Markt&Technik am 7. und 8. Juli 2026 in Garching bei München veranstaltet, den Teilnehmern wichtige Hilfestellungen für die Umsetzung dieser Richtlinie. Diese sind dringend nötig, muss die finale Umsetzung des CRA doch bereits bis spätestens Ende 2027 erfolgen.
Nach den Keynote-Vorträgen im Plenum teilt sich das Veranstaltungsprogramm in zwei parallele Tracks auf – einer davon widmet sich mit fünf Vorträgen dem CRA-Prozess und den dazu optimal passenden Methoden. So nennt zunächst Carmen Kresse vom Open Source Automation Development Lab (OSADL) zehn häufige Fragen zur CRA-Richtlinie und liefert die Antworten gleich mit. Neben der Klärung von Begriffen stehen hier vor allem Fragen zum CRA-konformen Umgang mit Free und Open Source-Software (FOSS) im Fokus des Vortrags.
Im Anschluss beschreibt Ralf Wagner, TQ-Systems, die „Lessons learned“ aus rund einem Jahr praktischer Umsetzung der Directive (RED) und der verbundenen Norm EN 18031 und gibt auf dieser Basis einen Ausblick auf den Cyber Resilience Act. Sein Vortrag zeigt anhand praktischer Beispiele, was Entwicklung im Umfeld der EN 18031 bedeutet und wie die Erkenntnisse aus der RED-Umsetzung gezielt genutzt werden können, um neue Produkte von Anfang an regulatorisch konform zu entwickeln.
CRA in der praktischen Umsetzung veranschaulicht der folgende Vortrag von Hendrik Dettmer, TÜV TRUST IT. Er zeigt, wie in einem Pilotprojekt eine strukturierte Betroffenheitsanalyse, eine TR‑03183‑basierte GAP‑Analyse sowie erste SBOM‑ und Vulnerability‑Handling‑Prozesse erfolgreich etabliert wurden – unter sich laufend verändernden Anforderungen. So erhalten die Teilnehmer einen praxisnahen Blick darauf, wie sich CRA‑Vorgaben bis 2027 realistisch umsetzen lassen und welche Vorgehensmodelle sich bereits heute bewährt haben.
Nach der Mittagspause führt Michelle Michael, TÜV IT, die Zuhörenden von der Regulierung zur Umsetzung. Ihr Vortrag zeigt, wie die regulatorischen Anforderungen des CRA mit der Normenreihe IEC 62443 systematisch erfüllt werden können und sich in einen überprüfbaren sicheren Entwicklungslebenszyklus umsetzen lassen. Sie schließt die Lücke zwischen abstrakten Gesetzestexten und konkreten, überprüfbaren Artefakten – und hebt mit einer strukturierten Zuordnung (CRA Anhang I ↔ IEC 62443) typische Umsetzungsbereiche wie Risikoanalyse, Security by Design, sichere Architektur, Komponentenanforderungen, SBOM und Schwachstellenmanagement hervor.
Und schließlich beleuchtet Dr. Nils Abeling, secunet Security Networks, die verborgene Komplexität der CRA-Umsetzung im OT-Bereich und zeigt Wechselwirkungen der Regulierung und ihre Folgen für Hersteller und Betreiber auf. Gerade hier, im OT-Umfeld mit langlebigen Produkten, ist die CRA-Umsetzung kein isoliertes Compliance-Projekt sondern Teil einer komplexen Regulierungslandschaft, in der insbesondere NIS2 sowie Supply-Chain-Anforderungen der Betreiber eine zentrale Rolle spielen.
Wer sich diese wertvollen Inhalte plus viele weitere Vorträge und Trainings rund um den Cyber Resilience Act nicht entgehen lassen will, sollte sich gleich hier zur Teilnahme am Cyber Resilience Act Summit 2026 anmelden.