Cyber Resilience Act Schulung: SBOM & Secure by Design
Übersetze CRA-Pflichten in SBOM, Release-Gates, VEX und belastbare Incident-Prozesse für deine Software-Lieferkette
Die wichtigsten Themen
CRA-Anforderungen in Backlogs übersetzen
SBOMs mit CycloneDX und SPDX nutzen
Dependency-Scanning in CI/CD verankern
VEX, CVEs und Risiko-Entscheidungen
Release-Gates und Incident-Workflows
Lieferantensteuerung prüffähig gestalten
Überblick
Diese Cyber Resilience Act Schulung übersetzt CRA-Anforderungen in konkrete Arbeitspakete für Software- und Produktteams. Du ordnest Pflichten Backlog-Items, Secure-by-Design-Entscheidungen, SBOM-Prozessen, Release-Gates und Incident-Workflows zu. Das Training verbindet Compliance mit Engineering-Praxis: Dependency-Scanning in CI/CD, VEX-Bewertungen, CVE-Triage, Lieferantensteuerung und auditfähige Nachweise. Im Mittelpunkt steht Software Supply Chain Security vom Bezug einer Komponente über Build und Freigabe bis zum sicheren Release. Mit Prozessvorlagen, Entscheidungsbäumen und Pipeline-Szenarien entwickelst du ein Vorgehen, das sich in bestehende Entwicklungsprozesse übertragen lässt.
Wer hier richtig ist
- Entwicklerinnen und Entwickler, DevOps-Engineers und Software-Architektinnen und Software-Architekten
- IT-Security-Teams, Product-Security-Verantwortliche und Vulnerability-Managerinnen und Vulnerability-Manager
- Produktmanagerinnen und Produktmanager mit Verantwortung für Software mit digitalen Elementen
- Compliance-, Qualitäts- und Risikomanagement-Teams in regulierten Produktumgebungen
- Für alle, die CRA-Anforderungen in Engineering-, Lieferanten- und Incident-Prozesse übersetzen wollen
Das lernst du
- CRA-Anforderungen in Entwicklungsprozesse, Backlogs und Release-Freigaben übertragen
- SBOMs nach CycloneDX und SPDX bewerten, versionieren und für Nachweise nutzen
- Dependency-Scanning, CVE-Triage und VEX-Entscheidungen in CI/CD verankern
- Secure-by-Design-Kriterien in Architektur, Definition of Done und Reviews integrieren
- Incident-Workflows, Meldewege und Lieferantenkommunikation CRA-tauglich strukturieren
Die Themen Geltungsbereich, Rollen und Verantwortlichkeiten für Produkte mit digitalen Elementen · Zuordnung der CRA-Anforderungen zu Backlog, Architekturentscheidungen und Release-Prozess...
Cyber Resilience Act: Pflichten und Produktverantwortung
- Geltungsbereich, Rollen und Verantwortlichkeiten für Produkte mit digitalen Elementen
- Zuordnung der CRA-Anforderungen zu Backlog, Architekturentscheidungen und Release-Prozess
- Technische Dokumentation, Nachweispflichten und Security-Anforderungen über den Produktlebenszyklus
- Abgrenzung zu Datenschutz, Produktsicherheit und etablierten Security-Standards
SBOMs für Software Supply Chain Security
- SBOM-Formate CycloneDX und SPDX mit Komponenten, Versionen, Lizenzen und Hashes
- Erzeugung, Versionierung und Pflege von SBOMs in Build- und Release-Pipelines
- Nutzung von SBOM-Daten für Vulnerability-Management, Lieferantenanfragen und Audits
- Prüfkriterien für interne Artefakte, Drittkomponenten und Open-Source-Abhängigkeiten
Secure-by-Design in der Produktentwicklung
- Security-Anforderungen, Threat Modeling und Missbrauchsszenarien für Produktteams
- Secure-by-Default, Härtung, Logging und Update-Fähigkeit als Designentscheidungen
- Definition of Done mit Security-Akzeptanzkriterien und Review-Punkten
- Risikobasierte Priorisierung zwischen Funktionsumfang, Sicherheit und Compliance
CI/CD, Dependency-Scanning und Release-Gates
- Integration von SCA-Werkzeugen und Container-Scans in Build-, Merge- und Release-Prozesse
- Bewertung von CVEs nach Ausnutzbarkeit, Produktkontext, Kritikalität und Exposition
- Release-Gates mit Ausnahmen, Eskalationen und dokumentierten Risikoentscheidungen
- Nachvollziehbare Artefakte für Audits, Kundenanfragen und interne Freigaben
VEX und Schwachstellenmanagement
- VEX-Status, Begründungen und Entscheidungslogik für betroffene und nicht betroffene Komponenten
- Zusammenspiel von SBOM, CVE-Daten, Exploit-Informationen und Produktkontext
- Priorisierte Remediation-Backlogs mit Verantwortlichkeiten, Fristen und Akzeptanzkriterien
- Kommunikationsvorlagen für Produktteams, Security-Teams und Kundenkontakte
Incident-Prozesse und Lieferantensteuerung
- Incident-Workflows für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle
- Meldeketten, Fristen, Entscheidungswege und Schnittstellen zu Legal, Compliance und Support
- Lieferantenanforderungen an SBOMs, Patch-Informationen und Security-Advisories
- Kontrollpunkte für Beschaffung, Vertragsanforderungen und Software-Lieferketten
So arbeiten wir
Der Kurs kombiniert kurze Fachimpulse, moderierte Prozessarbeit und praxisnahe Übungen an einem durchgängigen Produktbeispiel. In Arbeitsphasen entstehen SBOM-Checklisten, Release-Gate-Kriterien, VEX-Entscheidungslogik und Incident-Runbooks. Diskussionen zu Rollen, Lieferanten und Nachweisen sichern die Übertragung in eigene Prozesse.
Empfohlene Vorkenntnisse
- Grundkenntnisse in Software-Entwicklung, IT-Security, DevOps, Produktmanagement oder Compliance
- Erfahrung mit Entwicklungsprozessen, Repositories oder Release-Freigaben ist hilfreich
Dein Fahrplan
Der erste Seminartag übersetzt regulatorische Anforderungen in Engineering-Artefakte und prüffähige Nachweise.
- CRA-Geltungsbereich, Rollen, Verantwortlichkeiten und Produktlebenszyklus
- Zuordnung von CRA-Anforderungen zu Backlog, Architektur, Security-Reviews und technischer Dokumentation
- SBOM-Grundlagen mit CycloneDX, SPDX, Komponenten, Versionen, Hashes und Abhängigkeiten
- Software Supply Chain Security mit Drittkomponenten, Open-Source-Paketen und Lieferantenanforderungen
- Secure-by-Design-Kriterien für Requirements, Threat-Modeling, Definition of Done und Produktfreigaben
Organisatorisches
Lernformate
Unsere Seminare bieten dir maximale Flexibilität: Du kannst zwischen Live-Online und Vor Ort in unseren modernen Schulungszentren im D-A-CH Raum wählen. Beide Formate garantieren dir die gleiche hohe Qualität und interaktive Lernerfahrung.
Schulungsarten
Wir bieten dir verschiedene Schulungsarten: Offene Seminare, Firmenseminare für Teams und Inhouse-Schulungen direkt bei dir vor Ort. So findest du genau das Format, das zu deinen Bedürfnissen passt.
Uhrzeiten
09:00-16:00 Uhr
Aktuelle Software
In unseren offenen Kursen arbeiten wir mit der aktuellsten Software-Version. So lernst du direkt mit den Tools und Features, die du auch in deinem Arbeitsalltag verwendest - praxisnah und zukunftsorientiert. Bei Inhouse- und Firmenschulungen bestimmt ihr die Version.
Deine Vorteile
Zufriedenheitsgarantie
Wir sind von unserer Qualität überzeugt. Sollte ein Training einmal nicht deinen Erwartungen entsprechen, bieten wir dir an, den Kurs kostenlos zu wiederholen oder ein anderes Training zu besuchen. Ohne Risiko, ohne Diskussion.
Inklusivleistungen
Deine Teilnahme beinhaltet: Schulungsmaterial, Zertifikat, Verpflegung (bei Präsenzveranstaltungen) und persönliche Betreuung durch unsere Trainer und unser Orga-Team. Alles aus einer Hand - keine versteckten Kosten.
Lernen von Experten
Unsere Trainer sind zertifizierte und erfahrene Profis mit jahrelanger Berufserfahrung. Sie vermitteln dir in den Kursen nicht nur theoretisches Wissen, sondern teilen ihre Erfahrungen aus realen Projekten und helfen dir, das Gelernte direkt in deiner täglichen Arbeit anzuwenden. Das ist kein Werbeversprechen, sondern unser Anspruch. Am besten siehst du das in unseren Bewertungen, z.B. auch bei Google.
Keine Vorkasse
Du zahlst erst nach dem Seminar. Keine Vorkasse, keine Vorauszahlung - so kannst du sicher sein, dass du nur für das bezahlst, was du auch wirklich erhalten hast. Die Rechnung erhältst du erst nach Kursbeginn.
Max. 8 Teilnehmende
Wir setzen auf kleine Gruppen, damit du die Aufmerksamkeit bekommst, die du verdienst. So haben wir mehr Zeit für deine individuellen Fragen und können gezielt auf deine Bedürfnisse eingehen.
Termine & Buchung
Leider haben wir aktuell keine Termine geplant. Es wird wahrscheinlich bei uns etwas schief gelaufen sein - bitte kontaktiere uns und wir finden den passenden Termin.
Der passende Termin ist nicht dabei? Kontaktiere uns - wir finden die passende Lösung
Inhouse-Schulungen & Firmenseminare
Inhouse-Schulungen
Buche diese Schulung als maßgeschneiderte Inhouse-Schulung für dein Unternehmen oder deine Behörde. Unsere Trainer kommen zu dir und führen die Schulung in deinen Räumlichkeiten durch.
Vorteile:
- Maßgeschneiderte Inhalte für dein Unternehmen
- Flexible Terminplanung nach euren Bedürfnissen
- Kosteneffizient bei mehreren Teilnehmern
- Schulung in vertrauter Umgebung
- Fokus auf deine spezifischen Anforderungen
Firmen-Seminare
Firmen-Seminare finden an einem unserer Schulungsstandorte statt, sind aber maßgeschneidert für dich und exklusiv für dein Team. Sie können auch online stattfinden.
Ideal für:
- Geschlossene Gruppen aus einem Unternehmen / Behörde
- Individuelle Terminplanung für dein Team
- An unseren Schulungsstandorten oder Online
- Angepasste Inhalte für deine Anforderungen
Fragen und Antworten zu Cyber Resilience Act Schulung: SBOM & Secure by Design
Ist das Seminar eine juristische Beratung zum Cyber Resilience Act?
Nein. Das Training liefert keine Rechtsberatung, sondern übersetzt CRA-Anforderungen in praktische Engineering-, Security- und Compliance-Prozesse. du erhältst Strukturen, Kriterien und Vorlagen, mit denen Software- und Produktteams Anforderungen nachvollziehbar bearbeiten.
Benötige ich Programmierkenntnisse für die Übungen?
Tiefgehende Programmierkenntnisse sind nicht erforderlich. Hilfreich ist Erfahrung mit Software-Entwicklung, Repositories, CI/CD, Security-Prüfungen oder Produktfreigaben. Für CI/CD-Grundlagen passt ergänzend das Seminar Git, GitLab und CI/CD.
Welche SBOM-Formate behandelt die Schulung?
Die Schulung behandelt CycloneDX und SPDX als zentrale SBOM-Formate. du lernst, welche Informationen für Komponenten, Versionen, Abhängigkeiten, Hashes und Nachweise relevant sind und wie SBOM-Daten in Vulnerability-Management und Lieferantensteuerung einfließen.
Wie praxisnah sind Release-Gates und Incident-Workflows?
Die Übungen arbeiten mit realistischen Szenarien aus Software-Produktentwicklung und Software-Lieferketten. Statt abstrakter Checklisten entstehen konkrete Gate-Kriterien, Ausnahmeprozesse, VEX-Entscheidungen, Eskalationswege und Incident-Runbooks.
Passt die Schulung zu DevSecOps-Teams?
Ja. Besonders DevSecOps-Teams profitieren, weil die Schulung Security-Prüfungen, SBOM, CVE-Triage und Release-Entscheidungen direkt in CI/CD-Abläufe übersetzt. Für vertiefende Security-Grundlagen eignet sich ergänzend A4Q Security Essentials.
Weitere häufig gestellte Fragen und Antworten findest du in den FAQs .
Unser Qualitätsversprechen: Wissen, das in der Praxis funktioniert
Aus der Praxis für die Praxis
Schluss mit theoretischem Ballast. Wir trainieren dich für reale IT-Herausforderungen, nicht für Multiple-Choice-Tests. Unsere Trainer vermitteln dir genau das Wissen, das am nächsten Montagmorgen im Job wirklich funktioniert.
Individuell statt "Schema F"
Deine Fragen passen nicht ins Standard-Skript? Bei uns schon. Wir verzichten auf starre Lehrpläne und geben deinen konkreten Projekt-Fragen Raum. Unsere Trainer passen die Inhalte flexibel an das an, was dich und dein Team aktuell weiterbringt.
Maximale Freiheit: Remote oder vor Ort
Lerne so, wie es in deinen Alltag passt - ohne Reise-Stress und Zeitverlust. Egal ob remote, hybrid oder präsent vor Ort: Wir garantieren dir ein nahtloses und effektives Lernerlebnis, egal von wo du dich zuschaltest.
Mit Zufriedenheitsgarantie
Wir sind von unserer Qualität überzeugt - und wollen, dass du es auch bist. Sollte ein Training einmal nicht deinen Erwartungen entsprechen, bieten wir dir an, den Kurs kostenlos zu wiederholen oder ein anderes Training zu besuchen. Ohne Risiko, ohne Diskussion.
Über 20.000 Unternehmen und Behörden vertrauen auf uns
