Der Cyber Resilience Act (CRA) ist mehr als eine neue regulatorische Anforderung. Er ist ein Gradmesser für bestehende Softwareentwicklungsprozesse und Organisationsstrukturen und macht sichtbar, ob Architekturentscheidungen, Prozesse und Verantwortlichkeiten tatsächlich darauf ausgelegt sind, sichere Software über Jahre hinweg verlässlich zu betreiben und weiterzuentwickeln.

Dieser Workshop versteht den CRA bewusst nicht als juristisches Regelwerk, sondern als Anlass zur Standortbestimmung. Gemeinsam analysieren wir typische Schwachstellen moderner und vermeintlich moderner Entwicklungsorganisationen: Fehlendes Security-by-Design, unklare Zuständigkeiten zwischen Entwicklung, Produkt und Betrieb, mangelhafte Transparenz über Abhängigkeiten sowie Update- und Release-Prozesse, die regulatorischen Anforderungen nicht standhalten.

Im Mittelpunkt steht die praktische Übertragung der CRA-Anforderungen auf den Entwicklungsalltag. Anhand konkreter Beispiele und Übungen wird erarbeitet, welche Auswirkungen sich auf Architektur, CI/CD-Pipelines, Toolchains und Entwicklungsprozesse ergeben und wie diese realistisch angepasst werden können. Dabei werden unter anderem Risiko- und Threat-Analysen, der Einsatz von Dependency-Checks, Secrets-Scannern und statischen Analysetools sowie Aspekte der API- und Update-Sicherheit betrachtet.

Der Workshop richtet sich an Entwickler, Tech Leads und Engineering-Verantwortliche, die den CRA nicht nur verstehen, sondern als Hebel nutzen wollen, um Entwicklungsprozesse nachhaltig zu verbessern. Ziel ist es, am Ende ein klares Bild davon zu haben, wo das eigene Unternehmen heute steht, welche Lücken regulatorisch relevant werden und welche konkreten nächsten Schritte notwendig sind, um Softwareentwicklung CRA-tauglich und zukunftsfähig aufzustellen.