Cyber Resilience Act Schulung: Ihr Führungsteam in 2 Tagen fit für die CRA-Compliance
Der Cyber Resilience Act ist in Kraft – ab September 2026 gelten die ersten Meldepflichten. In unserem 2-tägigen CRA Inhouse-Workshop vermitteln wir Ihrem Führungsteam das regulatorische Wissen, die strategische Handlungskompetenz und eine konkrete Roadmap für die Umsetzung in Ihrem Unternehmen.
Unverbindlichen Austauschtermin buchenCRA Seminar oder Inhouse-Workshop mit Umsetzungskompetenz – der Unterschied
Die meisten CRA-Seminare vermitteln regulatorisches Wissen. Nach einem Tag kennen Ihre Führungskräfte die Paragraphen. Aber: Ihr Unternehmen ist danach nicht in der Lage, die Anforderungen des Cyber Resilience Act eigenständig umzusetzen. Unsere CRA Schulung geht bewusst weiter.
Allgemeines CRA-Seminar
- Vermittelt regulatorisches Wissen
- Allgemeine Inhalte für alle Branchen
- Nur ausgewählte Personen nehmen teil
- Theoretisches Verständnis
- Externe Berater für Umsetzung nötig
Unser Inhouse-Workshop
- Regulatorisches Wissen + Umsetzungskompetenz
- Inhalte auf Ihre Branche und Produkte zugeschnitten
- Führungskräfte + Umsetzungsteam gemeinsam
- Praktische Übungen an Ihren realen Produkten
- Konkrete Roadmap als Ergebnis
Cyber Resilience Act: Fristen, Pflichten und Konsequenzen
Der Cyber Resilience Act (EU-Verordnung 2024/2847) verpflichtet Hersteller, Importeure und Händler von Produkten mit digitalen Elementen zu umfassenden Cybersicherheitsmaßnahmen – von der Entwicklung bis zum Ende des Produktlebenszyklus. Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten. Ob Ihr Unternehmen betroffen ist, können Sie mit unserem kostenlosen CRA Self-Check in wenigen Minuten prüfen.
| Datum | Meilenstein | Verbleibende Zeit |
|---|---|---|
| 10. Dezember 2024 | Inkrafttreten der Verordnung | Bereits in Kraft |
| 11. Juni 2026 | Konformitätsbewertungsstellen starten | ~4 Monate |
| 11. September 2026 | Meldepflichten für Schwachstellen greifen | ~7 Monate |
| 11. Dezember 2027 | Vollständige Anwendbarkeit – CE-Kennzeichnung Pflicht | ~23 Monate |
Die zentrale Herausforderung: Die Umsetzung erfordert strategische Entscheidungen auf Führungsebene. Budget- und Ressourcenallokation, Anpassung von Entwicklungsprozessen, Aufbau eines Product Security Incident Response Teams (PSIRT) und die Integration in bestehende Compliance-Strukturen – das sind keine operativen Aufgaben, sondern Managemententscheidungen. Genau hier setzt unsere CRA Schulung an.
Meldepflichten ab Sept. 2026
Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die ENISA gemeldet werden
Vollständige Geltung Dez. 2027
Ohne CE-Kennzeichnung kein Marktzugang – alle Anforderungen müssen erfüllt sein
Bei Verstößen
Bußgelder bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes
Marktzugangsverbot
Nicht-konforme Produkte dürfen ab Dezember 2027 nicht mehr verkauft werden
Die Zeit läuft: Die CRA-Implementierung erfordert 12–18 Monate
Wer bis Dezember 2027 compliant sein will, muss jetzt starten. In unserer Cyber Resilience Act Schulung legen Sie die strategische Grundlage für die Umsetzung.
Kostenlos beraten lassenInhalte der CRA Schulung: 2 Tage, 12 Module, eine Roadmap
Unser CRA Workshop kombiniert regulatorisches Wissen mit praktischer Umsetzungskompetenz. 12 aufeinander aufbauende Module verteilt auf zwei Tage – am Ende steht ein konkreter Implementierungsfahrplan für Ihr Unternehmen.
Regulatorik und Analyse
Regulatorischer Rahmen
Sie verstehen den CRA im Kontext der EU-Cybersicherheitsarchitektur. Sie lernen die Abgrenzung zu NIS-2, DSGVO und dem Cybersecurity Act – und welche Fristen für Ihr Unternehmen kritisch sind.
Betroffenheitsanalyse
Sie prüfen systematisch, welche Ihrer Produkte unter den CRA fallen. In einer praktischen Übung analysieren Sie Ihr eigenes Produktportfolio: Was fällt unter den CRA, was ist ausgenommen?
Produktklassifizierung
Sie ordnen Ihre Produkte den CRA-Risikoklassen zu: Standardprodukte, wichtige Produkte Klasse I und II, kritische Produkte. Im Workshop klassifizieren Sie Ihre eigenen Produkte und bestimmen die resultierenden Anforderungen.
Kernpflichten für Hersteller
Sie kennen die wesentlichen Herstellerpflichten: Security by Design, Risikoanalyse, Schwachstellenmanagement, Sicherheitsupdates, Dokumentation und CE-Kennzeichnung – mit konkreten Praxisbeispielen für jede Pflicht.
Konformitätsbewertung
Sie verstehen die verschiedenen Konformitätsbewertungsverfahren: interne Kontrolle (Modul A), externe Prüfung durch notifizierte Stellen, harmonisierte Normen. Sie wissen, welcher Weg für Ihre Produkte der richtige ist.
Gap-Analyse
In der Gruppenarbeit bewerten Sie den aktuellen Erfüllungsgrad Ihrer Produkte für jede CRA-Kernanforderung. Sie identifizieren die größten Lücken und schätzen den Aufwand zur Schließung ein.
Umsetzung und Roadmap
Security by Design
Sie verstehen die Prinzipien sicherer Produktentwicklung: Secure Development Lifecycle, Threat Modeling, DevSecOps-Integration und sichere Standardkonfigurationen. Sie erfahren, wie bestehende Entwicklungsprozesse CRA-konform angepasst werden.
SBOM und Dokumentation
Sie lernen die Anforderungen an die Software Bill of Materials: Formate (SPDX, CycloneDX), Tools zur Erstellung und Integration in die technische Dokumentation nach Anhang V.
Schwachstellenmanagement und Meldepflichten
Sie kennen die Meldepflichten (24h/72h/14d-Fristen), den PSIRT-Aufbau und Coordinated Vulnerability Disclosure. In einer Praxisübung simulieren Sie den Meldeprozess.
Synergien mit ISO 27001 und NIS-2
Sie identifizieren Überschneidungen mit bestehenden Managementsystemen. Ein integrierter Compliance-Ansatz vermeidet Doppelarbeit und nutzt vorhandene Strukturen.
Governance und Organisation
Sie definieren Verantwortlichkeiten, Reporting-Wege und die organisatorische Verankerung von Product Security. Mit einer RACI-Matrix klären Sie, wer im Unternehmen welche Aufgabe übernimmt.
Ihre individuelle Roadmap
Im abschließenden Praxis-Workshop erstellen Sie Ihren 6-Phasen-Implementierungsfahrplan: Meilensteine, Ressourcen, Budget, kritische Pfade. Das Ergebnis: Eine konkrete Roadmap, mit der Sie am nächsten Tag starten können.
Vorteile der CRA Schulung als Inhouse-Workshop
Strategische Handlungsfähigkeit
Ihre Führungskräfte können die CRA-Betroffenheit eigenständig bewerten, Produkte klassifizieren und die strategische Bedeutung im Management-Board vertreten. Sie treffen fundierte Priorisierungsentscheidungen für die Umsetzung.
Konkrete Roadmap
Sie verlassen den Workshop nicht mit allgemeinem Wissen, sondern mit einem konkreten 6-Phasen-Implementierungsfahrplan für Ihr Unternehmen: Meilensteine, Verantwortlichkeiten, Ressourcen- und Budgetplanung.
Branchenspezifische Anpassung
Wir arbeiten mit Ihren echten Produkten, Prozessen und Strukturen. Der Workshop wird auf Ihre Branche zugeschnitten: IoT, Software, Industrieautomation oder Handel – mit passenden Fallstudien und Schwerpunkten.
Umfangreiche Arbeitsmaterialien
Sie erhalten professionelle Vorlagen zur direkten Anwendung: Workshop-Handbuch (80 Seiten), Betroffenheits-Checkliste, Produktklassifizierungs-Tool, Gap-Analyse-Matrix, Roadmap-Template, RACI-Matrix und Budget-Kalkulator.
Für wen ist die Cyber Resilience Act Schulung geeignet?
Der Workshop richtet sich an Führungskräfte in Unternehmen, die Produkte mit digitalen Elementen herstellen, importieren oder vertreiben – von IoT-Geräten über Smart-Home-Produkte und industrielle Steuerungssysteme bis zu Software.
Geschäftsführung / Vorstand
Gesamtverantwortung, Budgetfreigabe, strategische Ausrichtung
CTO / Technische Leitung
Architekturentscheidungen, Entwicklungsprozesse, DevSecOps
Head of Product
Produktstrategie, Security-by-Design-Integration, Produktlebenszyklus
CISO / ISB
Sicherheitsstrategie, PSIRT-Aufbau, Incident Response
Qualitätsmanagement / Compliance
Konformitätsbewertung, CE-Kennzeichnung, Dokumentation
Einkauf / Supply Chain
Lieferantenmanagement, Komponentensicherheit, SBOM-Anforderungen
Noch unsicher, ob Ihr Unternehmen betroffen ist?
Mit unserem kostenlosen CRA Self-Check prüfen Sie in wenigen Minuten, ob Ihre Produkte unter den Cyber Resilience Act fallen.
CRA Self-Check startenWarum Ingenieurgesellschaft ISM?
Praxiserfahrung statt Theorie
Unsere Referenten beraten Unternehmen bei der CRA-Umsetzung und kennen die typischen Herausforderungen aus erster Hand. Alle Workshop-Inhalte basieren auf realen Projekterfahrungen – nicht auf nacherzählten Verordnungstexten. Wenn wir über PSIRT-Aufbau, SBOM-Integration oder Meldeprozesse sprechen, dann aus der konkreten Arbeit mit Unternehmen, die diese Themen gerade umsetzen.
Schulung und Beratung aus einer Hand
Anders als reine Akademien begleiten wir Unternehmen auch bei der Implementierung. Der Vorteil für Sie: Wir wissen nicht nur, was der CRA fordert, sondern wie die Anforderungen in der Praxis umgesetzt werden. Die im Workshop erstellte Roadmap kann nahtlos in eine CRA-Beratung überführt werden – ohne doppelte Bestandsaufnahmen und ohne Informationsverlust beim Übergang von Schulungsanbieter zu Berater.
Mittelstandsfokus
Wir arbeiten überwiegend mit mittelständischen Unternehmen. Unsere Lösungen sind pragmatisch und ressourcenschonend – ohne den Overhead großer Beratungshäuser. Das bedeutet: realistische Roadmaps, die mit den vorhandenen Ressourcen umsetzbar sind, und Empfehlungen, die auf Ihre Unternehmensgröße zugeschnitten sind.
CRA Workshop: Format und Organisation
Dauer
2 Tage (je 8 Stunden)
Tag 1: Regulatorik und Analyse, Tag 2: Umsetzung und Roadmap
Teilnehmer
Führungskräfte + Umsetzungsteam
Optimal: 8–12 Personen (GF, CTO, CISO, QM, Compliance)
Durchführung
Vor Ort in Ihrem Unternehmen
Inhouse-Format, Präsenz empfohlen
Methodik
30 % Vortrag, 70 % Praxis
Gruppenarbeit, Einzelübungen, Fallstudien, Diskussion
Preis für die CRA Schulung: Individuell nach Ihrem Bedarf
Die Kosten für unseren CRA Workshop richten sich nach Ihren individuellen Anforderungen – Branche, Produktportfolio und gewünschte Schwerpunkte. Sprechen Sie uns an und wir erstellen ein maßgeschneidertes Angebot.
Individuelles Angebot anfordernHäufige Fragen zur Cyber Resilience Act Schulung
Was ist der Cyber Resilience Act?
Der Cyber Resilience Act (EU-Verordnung 2024/2847) ist eine EU-Verordnung, die einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Sie verpflichtet Hersteller, Importeure und Händler zu Security by Design, Schwachstellenmanagement und CE-Kennzeichnung. Die Meldepflichten gelten ab dem 11. September 2026, die vollständige Anwendbarkeit beginnt am 11. Dezember 2027. Einen umfassenden Überblick bietet unser CRA-Leitfaden mit Umsetzungsfahrplan.
Welche Vorkenntnisse sind für den Workshop erforderlich?
Führungsverantwortung und ein grundlegendes Verständnis der eigenen Produktlandschaft sind ausreichend. Basiswissen zu Informationssicherheit oder regulatorischen Anforderungen (DSGVO, NIS-2) ist hilfreich, aber nicht zwingend. Wir passen das Niveau an die Teilnehmenden an.
Gibt es eine gesetzliche Schulungspflicht für den CRA?
Der CRA selbst schreibt keine Schulungspflicht vor – anders als NIS-2 für Geschäftsführer nach § 38 BSIG. Jedoch erfordert die praktische Umsetzung fundiertes Wissen in den Führungsteams. Ohne entsprechende Qualifikation ist eine rechtzeitige Compliance kaum erreichbar. Wenn Ihr Unternehmen auch NIS-2-betroffen ist, kann die Geschäftsleitungsschulung über unsere NIS-2 Inhouse-Schulung abgedeckt werden.
Was unterscheidet Ihren CRA-Workshop von anderen Anbietern?
Drei Dinge: Erstens sind wir keine reine Akademie, sondern begleiten Unternehmen auch bei der Umsetzung – unsere Inhalte basieren auf realer Projekterfahrung. Zweitens entwickeln wir im Workshop eine individuelle Roadmap für Ihr Unternehmen mit konkreten Meilensteinen und Verantwortlichkeiten. Drittens fokussieren wir auf den Mittelstand – pragmatisch und ressourcenschonend, ohne unnötigen Overhead.
Können wir den Workshop mit einer CRA-Beratung kombinieren?
Absolut. Viele Kunden buchen den Workshop als Einstieg und beauftragen anschließend eine CRA-Beratung für die Umsetzungsbegleitung. Die im Workshop erstellte Roadmap bildet dafür die ideale Grundlage. So vermeiden Sie doppelte Bestandsaufnahmen und starten direkt mit der Implementierung.
Gibt es auch kürzere Formate?
Für Geschäftsführungen und Vorstände bieten wir ein Executive Briefing (4 Stunden) an, das die strategische Bedeutung, Haftungsrisiken und Budget-Implikationen des CRA kompakt vermittelt. Sprechen Sie uns an – wir finden das passende Format für Ihr Unternehmen.
Ist mein Unternehmen vom CRA betroffen?
Der CRA betrifft Hersteller, Importeure und Händler von Produkten mit digitalen Elementen – von IoT-Geräten und Smart-Home-Produkten über industrielle Steuerungssysteme bis zu Software. Es gibt Ausnahmen, etwa für Medizinprodukte, Kraftfahrzeuge und bestimmte Open-Source-Software. Nutzen Sie unseren kostenlosen CRA Self-Check, um Ihre Betroffenheit in wenigen Minuten zu prüfen.
Können wir CRA- und NIS-2-Schulung kombinieren?
Ja, viele Unternehmen sind von beiden Regelwerken betroffen. Wir bieten kombinierte Formate an, die Synergien zwischen CRA und NIS-2 gezielt nutzen. So vermeiden Sie Doppelarbeit und sparen Zeit.
Weiterführende Ressourcen zum Cyber Resilience Act
Vertiefen Sie Ihr Wissen mit unseren kostenlosen Tools und Fachartikeln:
Vertiefen Sie Ihr Wissen mit unseren Fachartikeln:
CRA-Leitfaden mit Umsetzungsfahrplan
Der umfassende 6-Phasen-Guide zur CRA-Implementierung – von der Bestandsaufnahme bis zur CE-Kennzeichnung.
Artikel lesenSBOM: Baustein für CRA-Compliance
Software Bill of Materials in der Praxis – Anforderungen, Formate, Tools und Umsetzung.
Artikel lesenSchwachstellenmanagement nach dem CRA
Prozesse, Meldepflichten, PSIRT-Aufbau – was Hersteller ab September 2026 beachten müssen.
Artikel lesenCRA und NIS-2: Synergien nutzen
Unterschiede, Überschneidungen und Handlungsempfehlungen für doppelt betroffene Unternehmen.
Artikel lesenCRA Schulung anfragen – lernen wir uns kennen
Vereinbaren Sie einen unverbindlichen Austauschtermin und erfahren Sie, wie unser CRA Inhouse-Workshop für Ihr Unternehmen aussehen könnte. Wir beraten Sie zu Inhalten, Schwerpunkten und Ablauf – zugeschnitten auf Ihre Branche und Produkte.
Kostenlosen Austauschtermin buchen