Am 7. und 8. Juli ging es auf der zweiten Ausgabe des Cyber Resilience Act Summit im Science Conference Center Munich wieder um die drängendsten Fragen rund um die Herausforderungen und Chancen des CRA. Die Teilnehmer konnten erneut wichtige Informationen und Impulse für ihre Projekte mitnehmen.
Jetzt wird es echt eng – das war der übereinstimmende Tenor bei den Vorträgen und Gesprächen zwischen den über 150 Teilnehmern, Referenten und Ausstellern des Cyber Resilience Act Summit 2026 der Markt&Technik. Denn noch bevor am 11. Dezember 2027 die Vorgaben des Cyber Resilience Act (CRA) der EU für alle Mitgliedsstaaten und alle Hersteller, Händler und Importeure digitaler Produkte verpflichtend werden (sofern diese digitalen Produkte nicht bereits durch andere Gesetze reguliert sind wie z.B. Medizinprodukte), tritt bereits ab dem 11. September 2026 die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle in Kraft.
Welche Voraussetzungen hierfür bereits bestehen (in Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Anlaufstelle für solche Meldungen ein entsprechendes Online-Formular eingerichtet) und welche noch zu schaffen sind, das beleuchteten mehrere Vorträge im Konferenzprogramm.
Dabei zeigte sich, dass einerseits viele Firmen hier noch an Lösungen arbeiten und dankbar für die auf dem Summit gegebenen konkreten Tipps und die angebotene Unterstützung sind. Auf der anderen Seite gibt es aber auch Unternehmen, die sich bereits entsprechend vorbereitet haben und von ebenfalls auf dem CRA-Summit anwesenden voraussichtlichen Benannten Stellen wie dem TÜV zertifiziert wurden. In den guten und wertvollen Fragen und Diskussionsbeiträgen der Teilnehmer waren beide Stimmungslagen deutlich zu erkennen.
Die Vortragssessions am zweiten Tag des CRA Summit deckten Themengebiete wie den CRA-Prozess und entsprechende Methoden ab, stellten konkrete Hard- und Softwarewerkzeuge vor, widmeten sich Fragen wie der Entscheidung zwischen Zertifizierung und Selbsterklärung oder zeigten Wege zu CRA-konformer Hardware auf. Bereits am Vortag zeigten zwei Trainings anhand von Projektbeispielen, wie sich Thread Modeling und Risk Assessment in der Praxis durchführen lassen und wie Entwickler die CRA-Anforderungen auf Basis der aktuellen ETSI-Standards für Embedded Linux implementieren können.
Drei packende Keynotes thematisierten die gestiegenen Herausforderungen bei der Security von Systemen im Zusammenhang mit der zunehmenden Cloudnutzung und dem massiven Einsatz von Künstlicher Intelligenz (Prof. Dennis-Kenji Kipker), zeigten unter dem Motto „Eisberg voraus“ plakativ, dass beim Einsatz von Open-Source-Code 80 Prozent der Abhängigkeiten nur bei sehr tief gehender Analyse geprüft und ins eigene Sicherheitskonzept aufgenommen werden können (Prof. Dirk Riehle), und erläuterten, wie sich mit KI-gestützter Governance der Compliance-Druck in einen Wettbewerbsvorteil verwandeln lässt (Jürgen Belz).
Das Fazit der Teilnehmer war vielschichtig. So meinte Dr. Uwe Kracke, Geschäftsführer von emlix, eines Gold-Partners des CRA Summit 2026, dass sich zum aktuellen Stand noch zu vieles im Wandel befinde und an vielen Stellen nach wie vor die notwendige Klarheit fehle. Für ihn verspricht momentan die vielfach geforderte ingenieursmäßige Herangehensweise an das Thema „Embedded Security“ am meisten Erfolg, damit könne und solle jedes Unternehmen in der Wertschöpfungskette sofort beginnen.
Für Dr. Andreas Kotulla von Bitsea, einem weiteren Gold-Partner des CRA Summit, können gerade offene Werkzeuge kleine und mittelständische Unternehmen (KMU) bei der Absicherung von Software-Lieferketten und der Erstellung der SBOM (Software Bill of Materials) unterstützen. Kotulla nennt hier insbesondere die von der EU finanzierte Initiative „OCCTET“, mit der KMU bei der Einhaltung des Cyber Resilience Act (CRA) unterstützt werden sollen. Auch gebe es diverse Förderprogramme, um die Kosten der CRA-Compliance für KMUs abzufedern.
Herzlichen Dank an alle Teilnehmer, Referenten, Partner und Aussteller für das Engagement, die Expertise und die Offenheit im Dialog. Und weil das Thema auf absehbare Zeit weiter spannend bleibt, ist es kein Wunder, dass eine große Anzahl von Teilnehmern schon jetzt großes Interesse am nächsten CRA Summit zeigte, der für den 7. und 8. Juli 2027 im Novotel Messe München geplant ist.