CRA, NIS2 & Co. integriert denken – mit 360° Cybersecurity zur resilienten Organisation

Der Cyber Resilience Act (CRA) der EU stellt hohe Anforderungen an die Sicherheit digitaler Produkte – und trifft damit auch Unternehmen außerhalb der EU. Gleichzeitig fordert NIS2 ein durchgängiges Sicherheitsniveau für kritische Organisationen und IT-Dienstleister. In der Praxis lassen sich Produkt-, Service- und Prozessentwicklung jedoch nicht trennen – Compliance gelingt nur mit einem integrierten, risikobasierten Ansatz. In diesem Vortrag zeigen wir, wie Unternehmen mit einem praxiserprobten 360°-Cybersecurity-Framework regulatorische Anforderungen wie CRA, NIS2, ISO 27001 und 27701 ganzheitlich erfüllen können. Im Fokus stehen ein AI-gestütztes Threat Modelling, ein strukturierter Quick Check zur Standortbestimmung sowie Maßnahmen zur nachhaltigen Cyberresilienz – weit über reines „Häkchen-Setzen“ hinaus. Das Ziel: Sicherheit, die Vertrauen schafft, Innovation ermöglicht und Compliance zum Wettbewerbsvorteil macht.

Referent: Venanz-Peter Zbinden, ERNI Schweiz AG

Venanz Zbinden ist Head of Integrated Management System bei der ERNI Group und verantwortet konzernweit die Bereiche Qualitätsmanagement, Informationssicherheit, Datenschutz, Business Continuity und Corporate Responsibility. Mit über 15 Jahren Erfahrung in der Leitung komplexer Software- und Digitalisierungsprojekte – insbesondere in regulierten Branchen wie MedTech und Versicherung – ist er ein ausgewiesener Experte für den praxisnahen Aufbau und die Skalierung von Informationssicherheitsmanagementsystemen (ISMS) nach ISO 27001/27701. In seiner Rolle begleitet er Unternehmen bei der strategischen und operativen Vorbereitung auf neue regulatorische Anforderungen wie den EU Cyber Resilience Act und verbindet dabei technische Tiefe mit organisatorischem Gespür. Sein Fokus liegt auf pragmatischer Umsetzung, Governance-Fähigkeit und nachhaltiger Risikoreduzierung in digitalen Ökosystemen.

Open-Source? Aber sicher! Zuverlässige Medizinprodukte dank Zephyr RTOS

Moderne, vernetzte Medizinprodukte lassen sich oft nicht ohne ein leistungsfähiges Echtzeit-Betriebssystem realisieren. Bei der Auswahl des geeigneten RTOS sind viele Aspekte abzuwägen; vor Allem die Anforderungen an funktionale Sicherheit und Cybersecurity für Medizingeräte lassen viele Hersteller zu kommerziellen Produkten greifen.

Dabei haben sich in vielen Anwendungsgebieten freie Betriebssysteme bewährt, wie zum Beispiel das Zephyr RTOS. Als flexibles und skalierbares Open-Source-Echtzeitbetriebssystem bietet Zephyr eine moderne Plattform, die den vielfältigen Anforderungen zeitgemäßer Medizingeräte gerecht wird und als Schlüsseltechnologie für das IoT und innovative Embedded Systems gilt.

Es wird aufgezeigt, wie das Zephyr-Projekt Prozesse eines Secure Development Lifecycles umsetzen hilft und welche Werkzeuge und Bibliotheken zur Verfügung stehen, um die Integrität und Vertraulichkeit von Gerätesoftware sicherzustellen. Ebenso wird erläutert, wie Zephyr technische Möglichkeiten für Systeme mit Anforderungen an funktionale Sicherheit bietet und welche Schutzmaßnahmen Herstellern beim Einsatz dieses Frameworks zur Verfügung stehen. Der aktuelle Stand hinsichtlich einer zertifizierten Zephyr-Variante und die noch zu überwindenden Herausforderungen werden ebenfalls thematisiert.

Referenten: Matthias Hölzer-Klüpfel, Medizintechnik – Software-Engineering – Entwicklungsprozesse und Tobias Kästner, inovex GmbH

Matthias Hölzer-Klüpfel studierte Physik an der Universität Würzburg. Ab 2002 ist er als Entwickler, Berater und Projektleiter tätig. Er führte zahlreiche Medizintechnik-Projekte durch und war dabei sowohl bei KMU-Firmen als auch in Großunternehmen im Einsatz. Neben seinen beruflichen Tätigkeiten schloss er im Juli 2009 den Masterstudiengang „IT im Gesundheitswesen“ ab. Matthias Hölzer-Klüpfel ist Mitbegründer des Vereins „ICPMSB e.V.“, der die Grundlagen für die Zertifizierungen zum „Certified Professional for Medical Software“ erarbeitet, und Mitautor des Lehrbuchs „Basiswissen Medizinische Software“. Darüber hinaus ist er im Fachausschuss „Software in der Medizintechnik“ im Verein Deutscher Ingenieure (VDI) aktiv. Matthias Hölzer-Klüpfel ist als freiberuflicher Berater für alle Fragen rund um Entwicklungsprozesse für Medizinprodukte und unterstützt zahlreiche Unternehmen bei der Software-Entwicklung für ihre Medizingeräte.

Dr. Tobias Kästner ist ausgebildeter Physiker und hat im Laufe seiner Karriere verschiedene Positionen bekleidet, darunter Softwareentwickler, Software- und Systemarchitekt, Trainer und technischer Berater. Ein wesentlicher Schwerpunkt seiner Arbeit liegt in stark regulierten Branchen im Allgemeinen und in der Medizintechnik im Besonderen. Derzeit arbeitet er bei der inovex GmbH als Solution Architect Medical IoT. In dieser Rolle gestaltet er gemeinsam mit seinen Kunden System- und Softwarearchitekturen und unterstützt sie dabei, neue Technologien wie Yocto Linux oder das Zephyr RTOS optimal zu nutzen. Darüber hinaus ist er in der Safety Working Group des Zephyr-Projekts aktiv und hält häufig Vorträge auf Konferenzen zu Embedded Systems, Zephyr und Medizintechnik.

CRA-konforme Dokumentation effizient gestalten: IEC 62443 als Leitfaden für Produkte mit IIoT-Funktionalität

Der Cyber Resilience Act (CRA) verlangt von Herstellern vernetzter Produkte umfassende Nachweise der Cybersicherheit. Die Dokumentation für das Product Conformity Assessment kann für viele Hersteller herausfordernd sein besonders, wenn sie erstmalig mit Cybersicherheit konfrontiert werden.
Dieser Vortrag zeigt, wie die etablierten Industriestandards IEC 62443-4-1 (Secure Development Lifecycle) und IEC 62443-4-2 (Product Cybersecurity) als praxisnahe Orientierungshilfen dienen können. Durch die Nutzung dieser Normen lassen sich Sicherheitsanforderungen, Maßnahmen und Verifikationen strukturiert dokumentieren. Der Weg zur CRA-Konformität wird dadurch effizient unterstützt. Zusätzlich wird auf Risiken eingegangen, die bei einer einseitigen Anwendung der IEC 62443 zur Sicherstellung der CRA-Konformität bestehen.
Als ANAB-akkreditierte Prüfstelle für die globale Normenreihe IEC 62443 und benannte Stelle für die EU Maschinenrichtline, bringt exida die Perspektive einer potenziell benannten Stelle für den CRA ein.
Teilnehmer erhalten konkrete Ansätze, um IEC 62443-konforme Prozesse und Artefakte zu nutzen, die Dokumentation zu beschleunigen und die Auditierbarkeit entsprechend des CRA herzustellen – ein praxisnaher Leitfaden für Hersteller von Produkten mit IIoT-Funktionalität.

Referenten: Armin Schulze und Stephan Aschenbrenner, exida.com GmbH

Herr Schulze verfügt über 11 Jahre Erfahrung und umfassende Kenntnisse in der Entwicklung sicherheitsrelevanter eingebetteter Systeme für Anwendungen in der Prozessindustrie.

Nach seinem Abschluss an der Technischen Universität Ilmenau im Jahr 2011 begann Armin Schulze seine Tätigkeit bei MSA (Mine Safety Appliances) in Berlin, wo er eingebettete Systeme für die Öl- und Gasindustrie sowie für Feuerwehren entwickelte.

Bei MSA war Herr Schulze für den gesamten Entwicklungsprozess verantwortlich, angefangen beim Architekturdesign über die Schaltpläne bis hin zum PCB-Layout. Außerdem definierte und koordinierte er Umwelttests und unterstützte die Produktionsingenieure bei der Entwicklung von Testgeräten. Darüber hinaus leitete er das EMV-Labor bei MSA Berlin.

Im Jahr 2023 wechselte er zu exida (Deutschland), um als Functional Safety Engineer zu arbeiten. In dieser Funktion ist Herr Schulze an der Produktanalyse und Designverbesserungen für die Prozessindustrie sowie die Automobilindustrie in Europa beteiligt. Herr Schulze unterstützt auch die Entwicklung des exida FMEDA-Tools SILcal X.

Sein Hauptaugenmerk liegt auf der Unterstützung der funktionalen Sicherheit und Cybersicherheit für Feldgeräte in der Prozessindustrie sowie auf der Unterstützung der Sicherheitsanalyse (DFMEA, FTA, FMEDA) gemäß IEC 61508, ISO 13849 und IEC 62443.

Stephan Aschenbrenner ist ein führender Experte auf dem Gebiet der funktionalen Sicherheit.

Mit seiner langjährigen Erfahrung in der Normung und der Praxis verbindet der Dipl.-Ing. Elektrotechnik theoretisches Wissen mit einer klaren Orientierung an realen Anforderungen. Seine Arbeit zeichnet sich durch einen ganzheitlichen Ansatz aus, der technologische Entwicklungen wie KI, Cybersecurity und moderne Halbleitertechnologien in Sicherheitskonzepte integriert. Aschenbrenner engagiert sich zudem aktiv in nationalen und internationalen Normungsgremien, wo er daran arbeitet, zukunftsfähige Lösungen für die komplexen Herausforderungen der funktionalen Sicherheit zu entwickeln.

Neben seiner Tätigkeit bei exida ist er ein gefragter Sprecher auf internationalen Konferenzen und ein Vordenker für die Weiterentwicklung der Sicherheitsstandards. Sein Ziel ist es, Sicherheitslösungen praxisnah und für alle Branchen zugänglich zu machen, um Innovation und Sicherheit nachhaltig zu vereinen.

Cyber Security in Medical Devices

Our presentation consists of three parts:

1) Regulatory Update: The requirements for software and cyber security are constantly evolving. In addition, Team-NB (the European Association of Notified Bodies) has published a white paper about cyber security that has received little attention from manufacturers -and it’s quite something! In the presentation, we will provide you with holistic and practical information from the planning of cyber security requirements to market maturity and show you how an auditor proceeds.

2) Pentesting: One of the new key requirements in cyber security is penetration testing. Therefore, we present key methodologies used in penetration testing of medical devices, covering interface-specific techniques from network and wireless testing to firmware and hardware-level assessments. We’ll highlight common vulnerabilities, potential risks, and showcase real-world examples, including a brief exploitation demo, to illustrate the importance of thorough security validation in medical technology.

3) Defensive Security: The ever-evolving cyber threat landscape in the healthcare industry presents a set of well-defined, common challenges that must be carefully addressed when shaping an effective defensive security strategy. To support the development of best practices in this area, a short video and presentation will be shared, highlighting key elements essential to building a strong cybersecurity approach. These include the concept of a hospital digital twin—representing the hospital as a piece of critical infrastructure—and addressing the risks and protections associated with the wide range of connected medical devices (MIoT).

Referenten: Dr. Maciej Piwowarczyk vel Dabrowski, András Kabai und Edward Moore, Deloitte Consulting GmbH

Maciej joined Deloitte in October 2023. Through his previous jobs, he has already gained years of professional experience as an auditor in the healthcare industry where he dealt with medical devices, data privacy, cyber security and product security in general. His thematic focus within the healthcare industry is Enterprise Architecture and marked launch of software-based medical devices in Germany and Europe.

Additionally, Maciej worked as a research associate in a leading scientific institute, where he founded a spin-off and led a multidisciplinary team. During his work he gained a lot of experience in team management, data protection and cybersecurity.

András is a Director in Deloitte Cyber Risk Services team with over 20 years of experience in IT security. András is recognized as an international expert in penetration testing, exploiting and assessment.He has strong embedded device securitytestingexperience with components and product from various industries.

He is the designer and lecturer of custom car hacking and hardware hacking training programs (including custom electronics, PCBs, simulated ECUs) made for different Automotive OEMs and other clients. Andras established and leading Deloitte Hungary’s hardware hacking service line and he is also responsible for the cyber practice’s IoT and car hacking services.

Prior to joining Deloitte Andras was the lead IT security expert at CERT-Hungary / National Cybersecurity Center and participating in several penetration tests and other IT security projects.

Ed is a partner in the Cyber Spanish practice and the EMEA Cybersphere Center (ECC). He has been appointed this year as the Global Health Care Cyber Leader at Deloitte, a role in which he is building a strong global community of healthcare cyber experts. Through this community, industry best practices are reviewed, and the innovation of healthcare-focused services is actively promoted.

He is an experienced cybersecurity and intelligence professional who currently leads a team of over 180 people at Deloitte. In this role, he is responsible for the delivery of Managed Security Services (MSS), including detection and response, threat intelligence, CSIRT, external attack surface management (EASM), threat hunting, and SIEM administration and deployment.

Ed also manages client relationships across multiple Deloitte Technology cyber teams and works closely with EMEA member firms, supporting business development by promoting and advising on Deloitte Spain’s ECC cyber services.

Von Threat Modeling und Penetration Testing zu ganzheitlicher Sicherheit: Softwareentwicklung im Zeitalter des CRA

Mit der Einführung des Cyber Resilience Act (CRA) hat die Europäische Union einen neuen Standard für Software-Sicherheit gesetzt. Doch wie können Unternehmen diesen Anforderungen gerecht werden? Der Schlüssel liegt in einem ganzheitlichen Ansatz, der alle Aspekte der Softwareentwicklung umfasst. Dies schließt nicht nur den Entwicklungsprozess selbst ein, sondern auch die verwendeten Tools, die kontinuierliche Weiterbildung der Mitarbeiter und eine strukturierte Reaktion auf Sicherheitslücken.
In diesem Vortrag erfahren Sie, wie die M&M Software GmbH dies in der Praxis umsetzt. Tauchen Sie ein in die Welt der sicheren Softwareentwicklung und entdecken Sie, wie Sie Ihre Prozesse optimieren und Ihre Software noch sicherer machen können.

Referent: Sven Rieger, M&M Software GmbH

Sven Rieger arbeitet als Head of Software Development Services & Chief Architect bei der M&M Software GmbH.

Codierrichtlinien prüfen – warum und wie?

Die Prüfung von Codierrichtlinien ist eine verbindliche Anforderung von Safety- und Security-Normen und stellt einen wichtigen Teil der Software-Qualitätsprüfung dar. Codierregeln können über die Programmsyntax oder die Semantik definiert werden und werden folglich als entscheidbar oder unentscheidbar eingestuft. Dies ist für den Tool-Einsatz wichtig, da syntaktische Regeln exakt geprüft werden können, während bei semantischen Regeln nur „sichere“ (engl. „sound“) statische Analysatoren gewährleisten können, alle Regelverletzungen zu melden. Alle verbreiteten Codierrichtlinien setzen sich sowohl aus syntaktischen als auch semantischen Regeln zusammen. Der Vortrag gibt einen Überblick über Anforderungen an Codierstandards und die zu erreichenden Ziele, und erläutert die unterschiedlichen Verfahren der statischen Codeanalyse zur Prüfung von Codierrichtlinien. Wir stellen drei verbreitete Codierrichtlinien vor, MISRA C, CWE und CERT, und erläutern Unterschiede und Gemeinsamkeiten zwischen ihnen. Der Vortrag schließt mit der Einordnung der Codierrichtlinienprüfung in aktuelle Anforderungen von Sicherheitsnormen und Vorschriften.

Referent: Dr. Daniel Kästner, AbsInt GmbH

Dr. Daniel Kästner ist Mitgründer des Unternehmens AbsInt GmbH und seit 2003 Leiter der technischen Entwicklung. Er ist Mitglied der ISO-26262- und IEC-61508-Arbeitsgruppen zur Softwaresicherheit, sowie der MISRA-C- und MISRA-SQM-Arbeitsgruppen. Seine fachlichen Schwerpunkte sind Funktionale Sicherheit, Cybersicherheit, Echtzeitsysteme, sowie Compilerbau und Programmanalyse für eingebettete Systeme. In diesen Interessensgebieten ist Dr. Kästner Autor oder Co-Autor von mehr als 75 begutachteten Publikationen.

CRA ohne Umwege – Vom Regulierungsdschungel zum sicheren Entwicklungsprozess

Der Cyber Resilience Act (CRA) bringt spezifische Anforderungen für Hersteller und Anbieter von Produkten mit digitalen Elementen, die auch Aspekte beleuchten, die durch bestehende Regulatorien wie ISO 27001, NIS2 oder DORA nicht erfasst werden. Viele Unternehmen verfügen bereits über eine mehr oder weniger gute Basis, doch der gezielte Abgleich mit den CRA-Anforderungen ist aufwändig und zeigt häufig unerwartete Lücken. Der Vortrag stellt ein Vorgehen vor, mit dem sich diese Gaps effizient identifizieren und effektiv beheben lassen – von der KI-unterstützten und damit den manuellen Aufwand reduzierenden Self-Assessment-Phase bis zur strukturierten Umsetzung. Die Basis stellt das OWASP SAMM Framework dar, das als Best-Practice für Secure Software Development Lifecycle (SSDLC) auch eine Standortbestimmung und kontinuierliche Weiterentwicklung mit individuellen Schwerpunkten ermöglicht. Ein hierfür entwickeltes Mapping zwischen CRA und OWASP SAMM zeigt, wie sich die regulatorischen Anforderungen systematisch erfüllen und gleichzeitig der sichere Softwareentwicklungsprozess langfristig verbessern lässt. Praxisbeispiele verdeutlichen, wie Unternehmen so nicht nur effizient und ggf. KI-unterstützt CRA-Compliance erreichen, sondern einen nachhaltigen und resilienten SSDLC etablieren.

Referenten: Dagmar Moser und Dr. Max Moser, blueheads GmbH

Dagmar Moser, Dipl.-Informatikerin (Univ.), ist Beraterin für Informationssicherheit mit den Schwerpunkten ISMS, sichere Software-Entwicklung und Cyber Threat Intelligence. Sie ist Lead Auditorin für ISO/IEC 27001 und verfügt über langjährige Erfahrung als Security- und IT-Architektin in internationalen Entwicklungs-Projekten. Zudem lehrt sie als Dozentin im Masterstudiengang Cyber Security an der Hochschule der Bayerischen Wirtschaft.

Dr. Max Moser, Dipl.-Informatiker (Univ), ist Berater für Informationssicherheit bei blueheads und Professor für Cyber-Security an der HDBW Hochschule der Bayerischen Wirtschaft gGmbH. Als Professor hält er verschiedene technische Vorlesungen im Bereich Cyber Security, u.a. zusammen mit Dagmar Moser eine Vorlesung zum „Secure Software Development Lifecycle“. Aus seinen früheren Positionen als CIO von sueddeutsche.de, später als CTO für die Entwicklung eines Web-Startups und dann als technischer Berater verfügt er sowohl über Management- als auch über umfangreiche Erfahrung in der Softwareentwicklung.

Datenzugang trifft Datensicherheit – Der EU Data Act und seine Folgen für vernetzte Medizinprodukte und digitale Gesundheitsanwendungen

Mit dem EU Data Act (VO (EU) 2023/2854) gilt ab dem 12.09.2025 ein neuer gesetzlicher Rahmen für den Zugang zu Nutzungsdaten vernetzter Produkte – auch im Gesundheitswesen. Hersteller von Medizinprodukten und Betreiber digitaler Gesundheitsanwendungen (DiGA) müssen sich auf grundlegende Veränderungen einstellen: Nutzer erhalten weitreichende Zugriffsrechte auf erzeugte Daten, Drittanbieter dürfen eingebunden werden – und neue datenbasierte Geschäftsmodelle entstehen.
Doch wo endet der gesetzlich gebotene Datenzugang – und wo beginnt das Risiko für Patientensicherheit, Funktionssicherheit und Cybersecurity? Wir beleuchten die Anforderungen des EU Data Act speziell im Zusammenspiel mit der MDR, der DiGA-Verordnung und der NIS2-Richtlinie. Im Mittelpunkt steht das Spannungsfeld zwischen Interoperabilität und Integrität: Wie lassen sich Systeme öffnen, ohne sie zu gefährden? Wer trägt die Verantwortung, wenn externe Zugriffe sicherheitsrelevante Funktionen berühren?
Anhand eines praxisnahen Fallbeispiels zeigen wir, wie sich Rollen und Pflichten zwischen Herstellern, DiGA-Anbietern, Gesundheitsdienstleistern und Patienten verschieben – und welche rechtlichen und organisatorischen Vorkehrungen notwendig sind, um den neuen Anforderungen gerecht zu werden.

Referenten: Alexander Tribess und Ellen Bergmann, LL.M. GreenGate Partners Rechtsanwaltsgesellschaft mbH & Co. KG

Alexander Tribess ist Gründungspartner von GreenGate Partners und als Leiter der Praxisgruppe „IT- und Datenrecht“ spezialisiert auf digitale Geschäftsmodelle. Zu seinen Kompetenzen zählen die Erstellung und Verhandlung von IT-Verträgen und Lizenzbedingungen sowie die Unterstützung bei Unternehmensfinanzierungen und -transaktionen im IT-Bereich. Ein Schwerpunkt der Beratungspraxis von Alexander Tribess liegt im Bereich der Entwicklung und Anwendung von Künstlicher Intelligenz. Neben seiner anwaltlichen Tätigkeit engagiert sich Alexander als Vorsitzender des AI Substantive Law Committee der ITechLaw Association, wo er zur Entwicklung des Rechtsrahmens für KI beiträgt. Er ist zudem Co-Autor verschiedener Publikationen zum KI-Recht. Für seine Arbeit wurde er von Best Lawyers als einer der „Best Lawyers in Germany“ in den Bereichen IT-Recht und Datenschutzrecht ausgezeichnet. Mit seinem Engagement an der Schnittstelle von Recht und Technologie ist er ein vertrauenswürdiger Berater für Mandanten, die sich im komplexen Umfeld digitaler und KI-basierter Geschäftsmodelle bewegen.

Ellen Bergmann, LL.M. ist auf die rechtliche Beratung von Unternehmen in den Bereichen Life Sciences, Pharma, Biotechnologie und Medizintechnik spezialisiert – von der Gründung bis zum Exit. Sie verfügt über umfassende Erfahrung im Vertragsrecht, insbesondere bei Forschungs- und Entwicklungsverträgen, Lizenz- und Kooperationsverträgen, Verträgen zu klinischen Studien, Lohnherstellungs- und Vertriebsverträgen sowie Hochschulkooperationen. Ein weiterer Schwerpunkt ihrer Tätigkeit liegt im Intellectual Property mit Fokus auf Patent- und Arbeitnehmererfindungsrecht sowie Kartellrecht. Zu ihren Projekten zählen unter anderem die Entwicklung und Implementierung eines standardisierten Modells für Geheimhaltungs- und Materialüberlassungsverträge für ein globales Pharmaunternehmen sowie die laufende Beratung von öffentlichen Forschungseinrichtungen bei vielfältigen Life-Sciences-Verträgen, darunter Lohnherstellungs- und Serviceverträge, klinische Studienprojekte und Workshops zu Haftungsklauseln.

Der CRA und die Medizinprodukte – Noch mehr zu tun oder alles easy?

Der Cyber Resilience Act (CRA) soll die Hersteller von „Produkten mit digitalen Elementen“ zwingen, Sicherheitslücken bereits vor dem Inverkehrbringen zu minimieren und die Cybersicherheit über den gesamten Lebenszyklus sicherzustellen.
Wir als leidgeprüfte Medizinproduktehersteller sollten das doch eigentlich alles schon erfüllen seit der Einführung der MDCG 2019-11 und der EN IEC 81001-5-1 – oder nicht?
Wir erklären die zusätzlichen Anforderungen und wie man die am besten „nebenbei“ mit erledigt.

Referenten: Peter Hartung und Thorsten Stumpf, Metecon GmbH

Peter Hartung studierte von 1989 bis 1994 Feinwerktechnik an der Technischen Universität Dresden. Anschließend arbeitete er acht Jahre lang für ein Start-up-Unternehmen, das mobile chemische Analysetechnologie entwickelt und herstellt. Hier war er in den Bereichen Konstruktion, Hardware- und Softwareentwicklung tätig und für die Herstellung und Zulassung der Produkte verantwortlich. Nach seinem Wechsel zur seleon GmbH im Jahr 2002 übernahm er für zwei Jahre die Leitung der mechanischen Entwicklung und war als Projektleiter maßgeblich an der Entwicklung und Zulassung innovativer Medizinprodukte beteiligt. Von 2004 bis 2014 war Peter Hartung Leiter des Bereichs Qualitätsmanagement & Regulatory Affairs, bevor er 2014 den Geschäftsbereich Consulting gründete. Er war verantwortlich für ein Team von dreißig Kollegen, die ihre Kunden bei der Entwicklung, Herstellung und Zulassung einer Vielzahl von Medizinprodukten gemäß den Anforderungen berieten und unterstützten. Im Jahr 2025 wechselte er zur Metecon GmbH, wo er ein Team von mehr als sechzig Beratern und deren Kunden mit seinem Fachwissen im Bereich Aktive Medizinprodukte & Software unterstützt.

Thorsten Stumpf ist Projektleiter für Regulatory Affairs, Software & KI bei Metecon und seit 13 Jahren im Unternehmen tätig.
Er ist Inhaber der Regulatory Affairs Certification – Medical Devices (RAC Devices) und verfügt über umfangreiche Erfahrung in der Zulassung von Medizinprodukten in verschiedenen globalen Märkten.
Zu seinen wichtigsten Fachgebieten im Bereich Regulatory Affairs zählen Software in all ihren Facetten, Informationssicherheit, UDI, Regulierungsstrategien und allgemeine regulatorische Anforderungen.
Kürzlich arbeitete Thorsten gemeinsam mit anderen Experten an einem clusterübergreifenden Projekt namens „AI Meets MedTech“ und trug zu einem Leitfaden bei, der sich mit den Herausforderungen des AI Acts befasst. Diese Initiative wurde vom Innovationsnetzwerk Gesundheit (Bayern Innovativ), Medical Valley EMN e. V. und BAIOSPHERE/KI Agentur ins Leben gerufen.

Jan Küfner is the team leader of TÜV SÜD’s European Medical Device and IVD Penetration Testing Laboratory. In this role, he leads a multinational team of penetration testers based in Munich, while remaining actively engaged in hands-on testing himself.
Previously, Jan served as the technical lead for cybersecurity at TÜV SÜD’s Notified Body, where he developed deep regulatory expertise and built a strong network with international government agencies. His unique combination of technical and regulatory experience positions him at the intersection of cybersecurity, compliance, and medical device innovation.

CRA-Dokumentation automatisieren: SBOM-Integration in DevSecOps-Pipelines

Die EU Cyber Resilience Act macht Software Bills of Materials (SBOM) verpflichtend. Während viele Unternehmen noch auf manuelle Dokumentationsprozesse setzen, zeigt dieser Vortrag, wie SBOM-Erstellung und -Management vollständig in DevSecOps-Pipelines automatisiert werden können.

Doch SBOM-Generierung ist nur der erste Schritt:
– Was passiert mit den SBOMs nach der Erstellung?
– Wie werden Vulnerability-Updates automatisch nachverfolgt?
– Wie reagieren Sie, wenn eine kritische Schwachstelle in einer Dependency entdeckt wird, die in 50+ Produkten verwendet wird?
– Wie halten Sie SBOMs über den gesamten Produktlebenszyklus aktuell und compliance-konform?

Dieser Vortrag geht über die reine SBOM-Generation hinaus und zeigt, wie aus statischen Dokumenten lebende, actionable Intelligence wird: automatisierte Vulnerability-Monitoring, Impact-Analyse bei Security-Incidents, kontinuierliche Compliance-Überwachung und die Integration in bestehende Security Operations Centers.

Denn erst wenn SBOMs operational genutzt werden, entfalten sie ihr volles Potenzial für Cyber Resilience.

— Hinweis: Je nach Vortragsdauer können die Themen natürlich gekürzt werden.

Referent: Toni Menzel, rebaze GmbH

Toni ist DevSecOps-Experte und Gründer der rebaze GmbH, die mittelständische Unternehmen im DACH-Raum bei der sicheren Software-Entwicklung unterstützt. Mit über 20 Jahren Erfahrung modernisiert er ganzheitlich Prozesse, Technologien und Teams – von der CI/CD-Pipeline bis zur Compliance-Automation. Sein Fokus liegt auf Software Supply Chain Security und der praktischen Umsetzung regulatorischer Anforderungen wie CRA, NIS2 und DORA durch DevSecOps-Transformation.

CVSS in der Praxis: Schwachstellenbewertung im Security-Risk-Management

Das Common Vulnerability Scoring System (CVSS) ist ein weit verbreitetes Werkzeug zur Bewertung von IT-Schwachstellen – auch im regulierten Bereich von Medizinprodukten. Dieser Vortrag bietet einen fundierten Einstieg in CVSS 3.1, beleuchtet die Struktur des Modells und legt dabei besonderen Fokus auf die detaillierte Erklärung der Metriken und Metrikgruppen.
Es wird gezeigt, wie intern identifizierte und öffentlich bekannte Schwachstellen (CVEs) auf den spezifischen Kontext eines Produkts angepasst werden können – insbesondere unter Berücksichtigung bestehender Sicherheitsmaßnahmen und der vorgesehenen Einsatzumgebung. Es wird demonstriert, wie sich solche Maßnahmen in den CVSS-Score übersetzen lassen und wie sich Subscores wie „Exploitability“ und „Impact“ gezielt zur Bewertung und Kommunikation nutzen lassen – etwa auch in Kombination mit etablierten Risikoakzeptanzmatrizen.
Tools und Quellen wie EPSS (Exploit Prediction Scoring System) oder KEV (CISA’s Known Exploited Vulnerabilities) werden vorgestellt, um die rein theoretische Bewertung von CVSS durch eine realweltliche Einschätzung der Ausnutzbarkeit zu ergänzen.
Ziel des Vortrags ist es, Teilnehmenden das nötige Wissen zu vermitteln, um CVSS nicht nur zu verstehen, sondern es effektiv, kontextsensitiv und regulatorisch stimmig in ein Risikomanagementsystem zu integrieren.

Referent: Matthias Hewelt, seleon GmbH

Matthias Hewelt schloss 2017 sein Informatikstudium mit dem Master of Science an der Otto-von-Guericke-Universität Magdeburg ab. Anschließend arbeitete er ca. 7 sieben Jahre als Fullstack-Softwareentwickler im Bereich Webtechnologien und erweiterte sein Tätigkeitsfeld zunehmend um Serveradministration und IT-Sicherheit. Seit 2024 ist er als Berater bei der seleon GmbH tätig und unterstützt Unternehmen bei der Entwicklung medizinischer Softwareprodukte – mit Schwerpunkt auf der regulatorisch konformen Umsetzung von Cybersicherheit nach IEC 81001-5-1, MDCG 2019-16, FDA-Guidances sowie weiteren einschlägigen Normen und Vorgaben. Besonderes Interesse gilt dabei nicht nur den regulatorischen Rahmenbedingungen, sondern auch der praktischen Umsetzung und technischen Absicherung im Sinne einer anwendbaren Cybersicherheit.

CRA vs. ProdHaftRL – was – warum – wie – wann?

Mit Inkrafttreten des Cyber Resilience Act (CRA) stehen Hersteller digitaler Produkte vor der Herausforderung, regulatorische Anforderungen systematisch in ihre Entwicklungs- und Betriebsprozesse zu integrieren. Bereits ab Ende 2026 müssen Hersteller EU-weit – auch von digitalen Produkten aktuell im Markt – erste Anforderungen (u.a. Schwachstellen-Überwachung) erfüllen.
Dagegen ist die Richtlinie über die Haftung für fehlerhafte Produkte vom 8.12.24, die (noch?) nicht wie ein Act (eine Verordnung) gilt, sondern ein Ziel vorgibt, das die einzelnen EU-Länder bis zum 9.12.26 umsetzen müssen. Sie modernisiert die Regeln zur Haftung für fehlerhafte Produkte und betrifft alle Unternehmen, die Produkte auf dem EU-Markt in Verkehr bringen. Die Richtlinie erweitert den Kreis der Haftenden, verschärft die Beweisregeln und bezieht digitale Komponenten stärker ein.
Im Vortrag sollen wesentliche Unterschiede aber auch parallele Anforderungen und auch Wechselwirkungen aufgezeigt und konkret benannt werden.
Ziel ist es ein genaueres Verständnis dieser beiden Rechtsvorschriften zu bekommen und die notwendigen Schritte einleiten zu können, um diese erfüllen und den Nachweis ihrer Erfüllung zu erhalten.

Zielgruppe: Alle Verantwortlichen, die in Ihrem Unternehmen dafür Sorge tragen müssen, dass die geforderten Dokumente aus Normen und Standards fachmännisch richtig erstellt, eingereicht und ggfs. aktualisiert werden sowie diejenigen, die diese Anforderungen selbst umsetzen.

Referent: Thomas Franke, infoteam software AG

Thomas ist seit vielen Jahren in den Bereichen regulierte SW-Entwicklung für Medizinprodukte sowie Cyber Security als Key Account Manager und Berater aktiv. Seit seinem Wechsel zur infoteam Software AG 2019 hat er dort zusammen mit Kollegen den Bereich Beratung und Unterstützung für die Produktsicherheit gegen Cyber Attacken aufgebaut und ist dort weiterhin erfolgreich tätig.
Zum Angebot zählen hier das Intensiv-Coaching, Hands-on Workshops und die Beratung und Unterstützung bei der Cyber-Security-Akte bzw. CRA Readiness.

Von Mustern, Prinzipien und Code: Der Schlüssel zur IT-Sicherheit nach IEC 81001-5-1

Sind Secure Design Practices nur ein Buzzword oder steckt dahinter der Grundstein für Cybersecurity im modernen IT-Ökosystem? In diesem Vortrag reisen wir durch die Welt der IEC 81001-5-1: Wir lüften den Schleier über Begrifflichkeiten wie Secure Design Practices, Secure Design Patterns und Secure Coding. Gemeinsam grenzen wir die Begriffe scharf voneinander ab, beleuchten ihre Wechselwirkungen und sorgen für Klarheit im Begriffs-Dschungel. Praxisnahe Beispiele machen die Abstraktionen greifbar und zeigen, wie Theorie zur nachhaltigen Sicherheits-Strategie im Alltag wird. Wer wissen will, wie aus Mustern robuste Software entsteht, warum „sicher entwickeln“ mehr als sicheres Programmieren bedeutet und welche Stolperfallen in der Umsetzung lauern, ist hier genau richtig. Lassen Sie sich inspirieren, Security als systematische Disziplin zu begreifen – und mit neuem Wissen aus der IEC-Norm für Ihr Projekt zu profitieren!

Referenten: Christian Rosenzweig und Leon Holub, Johner Institut

Christian Rosenzweig ist seit über 25 Jahren im regulierten Medizinprodukteumfeld tätig und bringt umfassende Expertise aus verschiedenen Positionen dieser Branche mit. Seine berufliche Laufbahn begann als Ingenieur für Biomedizinische Technik in der Grundlagenentwicklung komplexer aktiver Medizinprodukte. Anschließend arbeitete er mehr als zehn Jahre in der Softwareentwicklung für Medizinprodukte, wo er sich intensiv mit regulatorischen Anforderungen auseinandersetzte. Diese Erfahrungen führten ihn ins Qualitätsmanagement, wo er als Qualitätsmanagementbeauftragter (QMB) unter ISO 13485 in einem Großkonzern auch internationale Projekte verantwortete.

Heute unterstützt Christian Rosenzweig als Berater für Medizinproduktehersteller das Team des Johner Instituts. Sein Fokus liegt dabei auf der Integration von IT-Sicherheit in den Produktlebenszyklus von Medizinprodukten. Als absoluter Enthusiast seines Fachgebiets referiert er regelmäßig zu regulatorischen Anforderungen, Cybersicherheit und praktischen Umsetzungsstrategien für Hersteller. Seine Arbeit verbindet technisches Know-how mit praxisnaher Beratung zur Einhaltung gesetzlicher Vorgaben.

Leon Holub ist ein Software-Experte mit Erfahrung in den Bereichen digitale Gesundheit und Cybersicherheit. Er arbeitet seit mehr als 10 Jahren in verschiedenen Positionen rund um die Softwareentwicklung, entwickelt komplexe Anwendungen und leitet Teams sowohl als Freiberufler als auch als Festangestellter. Seit Anfang 2023 unterstützt Leon Holub das Johner Institut in der Entwicklung der eigenen Softwareprodukte, zunächst als Entwickler und anschließend als Product Owner des Regulatory Radar.