Industrieverbände — VDMA, VDI, ZVEI

Der Cyber Resilience Act trifft den Kern der deutschen Industrie: Jeder Hersteller von Produkten mit digitalen Elementen — Maschinen mit Steuerungssoftware, vernetzte Geräte, Industriesteuerungen — braucht künftig eine CE-Kennzeichnung für Cybersicherheit, muss fünf Jahre Sicherheitsupdates garantieren und aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden melden. Bei Verstößen drohen Bußgelder von bis zu 15 Mio. Euro.

Viele Ihrer Mitglieder wissen nicht, dass der CRA sie betrifft — oder unterschätzen den Umfang der Pflichten, insbesondere bei der Software-Lieferkette. OTTRIA bietet kostenlose Veranstaltungen an, die Ihren Mitgliedern einen verständlichen Überblick geben.

Warum das Thema Ihre Mitglieder betrifft #

In jeder Maschinensteuerung, jedem vernetzten Gerät und jeder Industriesoftware stecken Open-Source-Komponenten — oft hunderte. Der CRA macht Hersteller für jede einzelne davon verantwortlich. Die Fünfjahrespflicht für Sicherheitsupdates (Art. 13 Abs. 8) bedeutet: Wenn ein Open-Source-Projekt in dieser Zeit verwaist, gelöscht wird oder seine Lizenz wechselt, bleibt der Hersteller trotzdem in der Pflicht.

Die neue EU-Produkthaftungsrichtlinie verschärft die Lage zusätzlich: Software ist erstmals ein Produkt — mit unbegrenzter Haftung und Beweislastumkehr bei fehlender Dokumentation.

Mehr dazu: Falsche Sicherheit

Vier Gesetze, ein Abend #

Die Veranstaltungen decken alle vier relevanten EU-Gesetze ab. Für Industrieunternehmen sind CRA und Produkthaftung der primäre Schwerpunkt, aber die Überschneidungen mit den anderen Gesetzen betreffen viele Ihrer Mitglieder:

• CRA: CE-Kennzeichnung, SBOM-Pflicht, fünf Jahre Sicherheitsupdates, 24-Stunden-Meldefristen
• Produkthaftung: Unbegrenzte Haftung, Beweislastumkehr, Datenverlust als Haftungsgrund
• NIS2: Verarbeitendes Gewerbe — Maschinenbau, Elektronik, Fahrzeugbau — fällt ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz unter NIS2. Persönliche Geschäftsführerhaftung, Bußgelder bis 10 Mio. Euro
• DORA: Ihre Mitglieder, die als IKT-Zulieferer für den Finanzsektor arbeiten, unterliegen auch DORA

Warum gerade Open-Source-Lieferkette? #

Bestehende Schulungen zu CRA oder Produkthaftung behandeln die Software-Lieferkette bestenfalls oberflächlich. Das liegt daran, dass es europaweit derzeit keinen anderen Anbieter gibt, der operativ in Open-Source-Projekten mitarbeitet und die Lieferkette von innen kennt. Die Teilnehmer erhalten Wissen, das sie in keiner anderen verfügbaren Schulung bekommen.

Was Ihre Mitglieder erhalten #

• Einen verständlichen Überblick über CRA, Produkthaftung, NIS2 und DORA und ihre Schnittmengen in der Software-Lieferkette
• Praxisnahe Einordnung, wo gängige Maßnahmen nicht ausreichen — insbesondere bei der Fünfjahres-Updatepflicht
• Antworten auf Fragen zu CE-Kennzeichnung, Meldefristen und Haftung
• Hinweise auf Förderprogramme, die die Umsetzungskosten senken können
• CRA- und Produkthaftung-Betroffene erhalten ein Handout über ihre Pflichten mit Fokus auf die Software-Lieferkette
• NIS2-Betroffene erhalten zusätzlich ein Teilnahmezertifikat für die gesetzlich vorgeschriebene Schulungspflicht

Was Ihr Verband davon hat #

• Sie positionieren sich als Anlaufstelle für eine der größten regulatorischen Veränderungen, die Ihre Mitglieder in den kommenden Jahren betrifft
• Sie helfen Ihren Mitgliedern, die CE-Kennzeichnungspflicht und die Fünfjahres-Updatepflicht rechtzeitig zu verstehen und umzusetzen
• Sie bieten einen konkreten Mehrwert zu einem Thema, das in bestehenden Schulungsangeboten fehlt

Format und Zusammenarbeit #

Die Veranstaltungen sind kostenlos — für Ihren Verband und für die teilnehmenden Mitglieder. Als Webinar bundesweit, vor Ort in Nordrhein-Westfalen.

1. Kontakt: Sie melden sich bei OTTRIA oder wir kommen auf Sie zu
2. Zielgruppe identifizieren: Gemeinsam identifizieren wir die betroffenen Mitglieder in Ihrem Verbandsgebiet
3. Einladung: Sie laden über Ihre bestehenden Kanäle ein. Wir liefern Ihnen Einladungsvorlagen
4. Durchführung: OTTRIA führt die Veranstaltung durch
5. Nachbereitung: Teilnehmer erhalten ihr Handout bzw. Zertifikat und bei Bedarf eine individuelle Ersteinschätzung

Der Aufwand für Ihren Verband beschränkt sich auf Organisation und Einladung. Die inhaltliche Vorbereitung und Durchführung übernimmt OTTRIA.

Zurück zur Übersicht

Kontakt aufnehmen