Cyber Resilience Act Schulung: SBOM & Secure by Design
IT-Security Schulungen

Cyber Resilience Act Schulung: SBOM & Secure by Design

Übersetze CRA-Pflichten in SBOM, Release-Gates, VEX und belastbare Incident-Prozesse für deine Software-Lieferkette

Die wichtigsten Themen

CRA-Anforderungen im Backlog abbilden

SBOMs mit CycloneDX und SPDX nutzen

Dependency-Scanning in CI/CD verankern

VEX und CVE-Triage strukturieren

Release-Gates und Incident-Workflows

Lieferantensteuerung prüffähig machen

Überblick Diese Cyber Resilience Act Schulung übersetzt CRA-Anforderungen in konkrete Arbeitspakete für Software- und Produktteams. Du ordnest Pflichten Backlog-Items, Secure-by-Design-Entscheidungen, SBOM-Prozessen,...

Diese Cyber Resilience Act Schulung übersetzt CRA-Anforderungen in konkrete Arbeitspakete für Software- und Produktteams. Du ordnest Pflichten Backlog-Items, Secure-by-Design-Entscheidungen, SBOM-Prozessen, Release-Gates und Incident-Workflows zu. Das Training verbindet Compliance mit Engineering-Praxis: Dependency-Scanning in CI/CD, VEX-Bewertungen, CVE-Triage, Lieferantensteuerung und auditfähige Nachweise. Im Mittelpunkt steht Software Supply Chain Security vom Bezug einer Komponente über Build und Freigabe bis zum sicheren Release.

Besonderes Gewicht liegt auf belastbaren Nachweisen: Welche Informationen gehören in technische Dokumentation, SBOM-Ablage, Risikoentscheidung und Incident-Protokoll? Wie werden Meldefristen, Zuständigkeiten und Kundenkommunikation so vorbereitet, dass Teams im Ernstfall handlungsfähig bleiben? Mit Prozessvorlagen, Entscheidungsbäumen und Pipeline-Szenarien entwickelst du ein Vorgehen, das sich in bestehende Entwicklungsprozesse übertragen lässt. Für Organisationen, die CRA-Anforderungen in ein übergreifendes Steuerungssystem einordnen, ergänzt das Seminar Compliancemanagement die organisatorische Perspektive.

Die Themen Geltungsbereich für Produkte mit digitalen Elementen · Rollen von Herstellern und Importeuren · Zuordnung zu Backlog und Release-Prozess · Technische Dokumentation und Nachweispflichten...

Cyber Resilience Act: Pflichten und Produktverantwortung

  • Geltungsbereich für Produkte mit digitalen Elementen
  • Rollen von Herstellern und Importeuren
  • Zuordnung zu Backlog und Release-Prozess
  • Technische Dokumentation und Nachweispflichten
  • Abgrenzung zu Datenschutz und Produktsicherheit

SBOMs für Software Supply Chain Security

  • SBOM-Formate CycloneDX und SPDX
  • Komponenten, Versionen, Lizenzen und Hashes
  • Erzeugung in Build- und Release-Pipelines
  • Versionierung und Pflege von SBOMs
  • Nutzung für Audits und Lieferantenanfragen

Secure-by-Design in der Produktentwicklung

  • Security-Anforderungen und Threat Modeling
  • Missbrauchsszenarien für Produktteams
  • Secure-by-Default und Härtung
  • Logging, Update-Fähigkeit und Wartbarkeit
  • Security-Kriterien in der Definition of Done

CI/CD, Dependency-Scanning und Release-Gates

  • SCA-Werkzeuge in Build-Prozessen
  • Container-Scans in Release-Pipelines
  • CVE-Bewertung nach Produktkontext
  • Release-Gates mit Ausnahmeprozessen
  • Dokumentierte Risikoentscheidungen für Audits

VEX und Schwachstellenmanagement

  • VEX-Status und Entscheidungslogik
  • Abgleich von SBOM und CVE-Daten
  • Exploit-Informationen und Produktkontext
  • Priorisierte Remediation-Backlogs
  • Kommunikation mit Teams und Kunden

Incident-Prozesse und Lieferantensteuerung

  • Meldepflichten ab 11. September 2026
  • 24-Stunden-Frühwarnung und 72-Stunden-Meldung
  • Single Reporting Platform und CSIRT-Schnittstellen
  • Incident-Runbooks für aktive Ausnutzung
  • Lieferantenanforderungen an SBOM und Patches
Zielgruppe
  • Software-Entwicklerinnen und Software-Entwickler in Produktteams
  • DevOps-Engineers und Software-Architektinnen mit Release-Verantwortung
  • Product-Security-Verantwortliche und Vulnerability-Managerinnen
  • Produktmanagerinnen und Produktmanager für digitale Produkte
  • Compliance-, Qualitäts- und Risikomanagement-Teams
Das lernst du
  • CRA-Anforderungen in Entwicklungsprozesse, Backlogs und Release-Freigaben übertragen
  • SBOMs nach CycloneDX und SPDX bewerten, versionieren und für Nachweise nutzen
  • Dependency-Scanning, CVE-Triage und VEX-Entscheidungen in CI/CD verankern
  • Secure-by-Design-Kriterien in Architektur, Definition of Done und Reviews integrieren
  • Incident-Workflows, Meldewege und Lieferantenkommunikation CRA-tauglich strukturieren
So arbeiten wir

Der Kurs verbindet kurze Fachimpulse mit moderierter Prozessarbeit und Übungen an einem durchgängigen Produktbeispiel.

  • Analyse typischer CRA-Pflichten entlang des Produktlebenszyklus
  • Erarbeitung von SBOM-Checklisten und Release-Gate-Kriterien
  • Bewertung von CVE-, VEX- und Remediation-Szenarien
  • Aufbau von Incident-Runbooks und Meldeketten
  • Diskussion von Rollen, Lieferantensteuerung und Nachweisen
Empfohlene Vorkenntnisse
  • Grundkenntnisse in Software-Entwicklung, IT-Security, DevOps, Produktmanagement oder Compliance
  • Erfahrung mit Entwicklungsprozessen, Repositories oder Release-Freigaben ist hilfreich
  • Grundverständnis für IT-Sicherheitsrisiken, zum Beispiel aus Internet Security - Datenschutz und Sicherheit
Dein Fahrplan

Der erste Seminartag übersetzt regulatorische Anforderungen in Engineering-Artefakte und prüffähige Nachweise.

  • CRA-Geltungsbereich, Rollen, Verantwortlichkeiten und Produktlebenszyklus
  • Zuordnung von CRA-Anforderungen zu Backlog, Architektur, Security-Reviews und technischer Dokumentation
  • SBOM-Grundlagen mit CycloneDX, SPDX, Komponenten, Versionen, Hashes und Abhängigkeiten
  • Software Supply Chain Security mit Drittkomponenten, Open-Source-Paketen und Lieferanteninformationen
  • Secure-by-Design, Secure-by-Default, Härtung, Logging und Update-Fähigkeit
  • Definition of Done mit Security-Akzeptanzkriterien, Review-Punkten und Nachweisen
Organisatorisches

Lernformate

Unsere Seminare bieten dir maximale Flexibilität: Du kannst zwischen Live-Online und Vor Ort in unseren modernen Schulungszentren im D-A-CH Raum wählen. Beide Formate garantieren dir die gleiche hohe Qualität und interaktive Lernerfahrung.

Schulungsarten

Wir bieten dir verschiedene Schulungsarten: Offene Seminare, Firmenseminare für Teams und Inhouse-Schulungen direkt bei dir vor Ort. So findest du genau das Format, das zu deinen Bedürfnissen passt.

Uhrzeiten

09:00-16:00 Uhr

Aktuelle Software

In unseren offenen Kursen arbeiten wir mit der aktuellsten Software-Version. So lernst du direkt mit den Tools und Features, die du auch in deinem Arbeitsalltag verwendest - praxisnah und zukunftsorientiert. Bei Inhouse- und Firmenschulungen bestimmt ihr die Version.

Deine Vorteile

Zufriedenheitsgarantie

Wir sind von unserer Qualität überzeugt. Sollte ein Training einmal nicht deinen Erwartungen entsprechen, bieten wir dir an, den Kurs kostenlos zu wiederholen oder ein anderes Training zu besuchen. Ohne Risiko, ohne Diskussion.

Inklusivleistungen

Deine Teilnahme beinhaltet: Schulungsmaterial, Zertifikat, Verpflegung (bei Präsenzveranstaltungen) und persönliche Betreuung durch unsere Trainer und unser Orga-Team. Alles aus einer Hand - keine versteckten Kosten.

Lernen von Experten

Unsere Trainer sind zertifizierte und erfahrene Profis mit jahrelanger Berufserfahrung. Sie vermitteln dir in den Kursen nicht nur theoretisches Wissen, sondern teilen ihre Erfahrungen aus realen Projekten und helfen dir, das Gelernte direkt in deiner täglichen Arbeit anzuwenden. Das ist kein Werbeversprechen, sondern unser Anspruch. Am besten siehst du das in unseren Bewertungen, z.B. auch bei Google.

Keine Vorkasse

Du zahlst erst nach dem Seminar. Keine Vorkasse, keine Vorauszahlung - so kannst du sicher sein, dass du nur für das bezahlst, was du auch wirklich erhalten hast. Die Rechnung erhältst du erst nach Kursbeginn.

Max. 8 Teilnehmende

Wir setzen auf kleine Gruppen, damit du die Aufmerksamkeit bekommst, die du verdienst. So haben wir mehr Zeit für deine individuellen Fragen und können gezielt auf deine Bedürfnisse eingehen.

Termine & Buchung

Vor Ort

Standardpreis: 1.490,00 € netto (1.773,10 € brutto)
01. - 02.10.2026
28. - 29.01.2027
03. - 04.06.2027

Online

Standardpreis: 1.490,00 € netto (1.773,10 € brutto)
01. - 02.10.2026
28. - 29.01.2027
03. - 04.06.2027

Nicht der passende Termin dabei?

Wir finden eine Lösung: anderer Termin, mehrere Teilnehmer, Inhouse-Schulung oder individuelle Beratung.

Anfrage stellen
Inhouse & Firmenseminare

Lieber gleich das ganze Team schulen?

Diese Schulung gibt es auch exklusiv für dein Unternehmen, bei euch vor Ort, an unseren Standorten oder Live-Online. Inhalte und Termine nach Maß.

Beliebteste Wahl

Inhouse-Schulung

Wir kommen zu euch: diese Schulung maßgeschneidert in euren Räumen, für Unternehmen und Behörden.

  • Inhalte exakt auf euch zugeschnitten
  • Termine nach euren Bedürfnissen
  • Günstiger ab mehreren Teilnehmern
  • Vertraute Umgebung, kein Reiseaufwand
Inhouse-Schulung anfragen

Firmen-Seminar

Exklusiv für dein Team an einem unserer Standorte oder Live-Online, individuell angepasst.

  • Geschlossene Gruppe aus eurem Haus
  • Individuelle Terminplanung
  • An unseren Standorten oder Live-Online
  • Angepasste Inhalte
Firmen-Seminar anfragen

Fragen und Antworten zu Cyber Resilience Act Schulung: SBOM & Secure by Design

Ist das Seminar eine juristische Beratung zum Cyber Resilience Act?

Nein. Das Training liefert keine Rechtsberatung, sondern übersetzt CRA-Anforderungen in praktische Engineering-, Security- und Compliance-Prozesse. du erhältst Strukturen, Kriterien und Vorlagen, mit denen Software- und Produktteams Anforderungen nachvollziehbar bearbeiten.

Ab wann gelten die wichtigsten CRA-Fristen?

Die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gelten ab 11. September 2026. Die vollständige Anwendung der zentralen CRA-Pflichten ist für den 11. Dezember 2027 vorgesehen. In der Schulung wird daraus ein belastbarer Vorbereitungsplan für Meldeketten, SBOM-Prozesse, Release-Gates und Nachweise abgeleitet.

Benötige ich Programmierkenntnisse für die Übungen?

Tiefgehende Programmierkenntnisse sind nicht erforderlich. Hilfreich ist Erfahrung mit Software-Entwicklung, Repositories, CI/CD, Security-Prüfungen oder Produktfreigaben. Für CI/CD-Grundlagen passt ergänzend das Seminar Git, GitLab und CI/CD.

Welche SBOM-Formate behandelt die Schulung?

Die Schulung behandelt CycloneDX und SPDX als zentrale SBOM-Formate. du lernst, welche Informationen für Komponenten, Versionen, Abhängigkeiten, Hashes, Lizenzen und Nachweise relevant sind und wie SBOM-Daten in Vulnerability-Management und Lieferantensteuerung einfließen. Für Lizenzaspekte in Software-Lieferketten ist das Seminar Software-Lizenzmanagement und Software-Lizenzüberprüfung eine passende Ergänzung.

Wie konkret sind Release-Gates und Incident-Workflows?

Die Übungen arbeiten mit realistischen Szenarien aus Software-Produktentwicklung und Software-Lieferketten. Statt abstrakter Checklisten entstehen Gate-Kriterien, Ausnahmeprozesse, VEX-Entscheidungen, Eskalationswege und Incident-Runbooks, die in bestehende Entwicklungs- und Freigabeprozesse übertragbar sind.

Passt die Schulung zu DevSecOps-Teams?

Ja. Besonders DevSecOps-Teams profitieren, weil die Schulung Security-Prüfungen, SBOM, CVE-Triage und Release-Entscheidungen direkt in CI/CD-Abläufe übersetzt. Für vertiefende Security-Grundlagen eignet sich ergänzend A4Q Security Essentials.

Geht es auch um Incident Response nach CRA-Vorgaben?

Ja. Ein Schwerpunkt liegt auf Meldeketten, Eskalationswegen, Entscheidungsfristen und Runbooks für aktiv ausgenutzte Schwachstellen. Wer Incident Handling unabhängig vom CRA weiter vertiefen möchte, findet im Seminar Certified Incident Handler eine passende Fortsetzung.

Weitere häufig gestellte Fragen und Antworten findest du in den FAQs .

Unser Qualitätsversprechen: Wissen, das in der Praxis funktioniert

Aus der Praxis für die Praxis

Schluss mit theoretischem Ballast. Wir trainieren dich für reale IT-Herausforderungen, nicht für Multiple-Choice-Tests. Unsere Trainer vermitteln dir genau das Wissen, das am nächsten Montagmorgen im Job wirklich funktioniert.

Individuell statt "Schema F"

Deine Fragen passen nicht ins Standard-Skript? Bei uns schon. Wir verzichten auf starre Lehrpläne und geben deinen konkreten Projekt-Fragen Raum. Unsere Trainer passen die Inhalte flexibel an das an, was dich und dein Team aktuell weiterbringt.

Maximale Freiheit: Remote oder vor Ort

Lerne so, wie es in deinen Alltag passt - ohne Reise-Stress und Zeitverlust. Egal ob remote, hybrid oder präsent vor Ort: Wir garantieren dir ein nahtloses und effektives Lernerlebnis, egal von wo du dich zuschaltest.

Mit Zufriedenheitsgarantie

Wir sind von unserer Qualität überzeugt - und wollen, dass du es auch bist. Sollte ein Training einmal nicht deinen Erwartungen entsprechen, bieten wir dir an, den Kurs kostenlos zu wiederholen oder ein anderes Training zu besuchen. Ohne Risiko, ohne Diskussion.

Über 20.000 Unternehmen und Behörden vertrauen auf uns

Alle Referenzen
Siemens Logo
Telekom Logo
Rheinmetall Logo
Infineon Logo
MAN Logo
Fraunhofer Logo
ADAC Logo
Munich Re Logo
Deutsche Bahn Logo
ab 1.490 €
zzgl. 19% MwSt.