Der EU Cyber Resilience Act (CRA | Verordnung (EU) 2024/2847) führt verpflichtende Cybersecurity-Anforderungen für alle „Produkte mit digitalen Elementen“ (PDE) ein. Ab Dezember 2027 werden diese Anforderungen direkten Einfluss darauf haben, wie Software und vernetzte Produkte entworfen, entwickelt und gewartet werden.

Doch was bedeutet das konkret für Entwickler?
Dieser Vortrag reduziert die rechtliche Komplexität auf das Wesentliche und übersetzt die CRA-Anforderungen in praktische Engineering-Schritte. In 45 Minuten wird ein entwicklerorientierter Ansatz zur Umsetzung der CRA vorgestellt – von der Definition des bestimmungsgemäßen Gebrauchs und der Identifikation zentraler Funktionen bis hin zur Ableitung von Cybersecurity-Risiken und geeigneten Sicherheitsmaßnahmen.

Anhand konkreter Beispiele zeigt die Session, wie etablierte Methoden wie Threat Modeling und „Security by Design“ mit den Anforderungen aus Anhang I der CRA zusammenhängen – und an welchen Stellen der CRA neue Erwartungen formuliert. Die Teilnehmer erhalten ein klares Verständnis dafür, was künftig anders gemacht werden muss,  wie Over-Engineering vermieden werden kann,  und wie sich CRA-Anforderungen effizient in moderne Entwicklungsprozesse wie DevSecOps integrieren lassen.

Inhalt / Gliederung

  • Was Entwickler über den CRA wissen müssen – ohne juristischen Overhead 
  • Geltungsbereich: Was ist ein "Produkt mit digitalen Elementen"? 
  • Vom bestimmungsgemäßen Gebrauch zu Kernfunktionen: Definition der Systemgrenzen 
  • Identifikation von Cybersecurity-Risiken (inkl. Real-World-Impact und Safety-Aspekten)
  • Von Risiken zu Maßnahmen: Mapping auf die Anforderungen aus Anhang I 
  • Praxisbeispiele (IoT-Gerät / Softwaresystem) 
  • Typische Stolperfallen: Over-Scoping, Under-Scoping, unklare Verantwortlichkeiten
  • Integration des CRA in Entwicklungsprozesse (DevSecOps, CI/CD)