
Stand: 2026-07-18
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verlangt von Herstellern nicht nur, dass ihre Produkte mit digitalen Elementen sicher sind — er verlangt den Nachweis dieser Sicherheit. Zwei Dokumentenpakete tragen diesen Nachweis: die technische Dokumentation nach Anhang VII und die EU-Konformitätserklärung nach Artikel 28 in Verbindung mit Anhang V. Beide sind Voraussetzung für die CE-Kennzeichnung (Art. 30) und damit für das rechtmäßige Bereitstellen auf dem EU-Markt. Dieser Beitrag erläutert allgemein und praxisorientiert, was Sie vorbereiten und aufbewahren sollten — er ist keine Rechtsberatung.
Ab wann? Die zentralen Herstellerpflichten inklusive Anhang-I-Anforderungen, Konformitätsbewertung und CE-Kennzeichnung gelten ab dem 11. Dezember 2027 (allgemeine Anwendung, Art. 71(2)). Das Inkrafttreten am 10. Dezember 2024 ist kein Compliance-Datum. Wer die Dokumentation früh aufsetzt, vermeidet Nacharbeit.
Warum diese Dokumente das Rückgrat der CRA-Compliance sind
Die technische Dokumentation ist der interne Nachweis, dass ein Produkt die grundlegenden Cybersicherheitsanforderungen aus Anhang I erfüllt. Die EU-Konformitätserklärung ist die nach außen sichtbare, rechtsverbindliche Zusicherung des Herstellers, dass genau dies der Fall ist. Marktüberwachungsbehörden können die technische Dokumentation auf begründetes Verlangen anfordern; sie ist die Grundlage jeder Prüfung. Fehlende, unvollständige oder irreführende Angaben können mit Bußgeldern belegt werden — die Bereitstellung falscher Informationen gegenüber Behörden oder benannten Stellen bewegt sich im Rahmen bis zu 5 Mio. € oder 1 % des weltweiten Jahresumsatzes (Art. 64).
Beide Pakete gehören zusammen und bauen aufeinander auf: Ohne belastbare technische Dokumentation lässt sich die Konformitätsaussage in der EU-Konformitätserklärung nicht tragen, und ohne EU-Konformitätserklärung darf die CE-Kennzeichnung nicht angebracht werden. In der Praxis ist die Dokumentation deshalb kein einmaliges Abschlussdokument, sondern ein lebender Bestand, der über den gesamten Produktlebenszyklus fortgeschrieben wird — etwa wenn neue Versionen erscheinen, sich die Architektur ändert oder Schwachstellen behoben werden.
Was die technische Dokumentation nach Anhang VII enthalten muss
Anhang VII beschreibt die inhaltlichen Bestandteile. Die Dokumentation muss so umfassend sein, dass sich die Konformität mit den Anforderungen nachvollziehen lässt; Umfang und Tiefe richten sich nach Art und Risiko des Produkts. Kernbestandteile:
| Bestandteil (Anhang VII) | Was konkret hineingehört |
|---|---|
| Produktbeschreibung | Allgemeine Beschreibung inkl. Zweckbestimmung, Versionen, unterstützte Umgebungen, Fotos/Diagramme |
| Design, Entwicklung, Produktion | Architektur, Systemaufbau, Datenflüsse, eingesetzte Sicherheitsfunktionen |
| Prozesse zur Schwachstellenbehandlung | SBOM, CVD-Policy (koordinierte Offenlegung), sicherer Update-Verteilweg, Kontaktadresse für Meldungen |
| Cybersicherheits-Risikobewertung | Die Bewertung, abgebildet ("gemappt") auf die Anforderungen aus Anhang I |
| Support-Zeitraum | Angaben zum Unterstützungszeitraum (mindestens 5 Jahre, sofern nicht kürzere erwartete Nutzung) |
| Angewandte Standards/Spezifikationen | Harmonisierte Normen, gemeinsame Spezifikationen oder Zertifizierungsschemata — oder Beschreibung alternativer Lösungen |
| Test- und Prüfberichte | Berichte über durchgeführte Tests und Sicherheitsüberprüfungen |
| Kopie der EU-Konformitätserklärung | Die vollständige EU-DoC als Bestandteil der Dokumentation |
Die SBOM — ohne vorgeschriebenes Format
Die Software-Stückliste (Software Bill of Materials) ist in Anhang I Teil II verankert: in einem gängigen, maschinenlesbaren Format und mindestens auf Ebene der Top-Level-Abhängigkeiten. Wichtig: Die Verordnung schreibt kein bestimmtes Format vor. Etablierte Formate wie CycloneDX, SPDX (ISO/IEC 5962) oder SWID erfüllen die Anforderung als anerkannte Optionen — das ist Praxis-Leitplanke, nicht Gesetzestext. Art. 13(24) ermächtigt die Kommission, später ein Format zu präzisieren; ein solcher Durchführungsrechtsakt liegt bislang nicht vor. Die SBOM ist ein Compliance-Artefakt, das Behörden auf begründetes Verlangen offengelegt wird — sie muss nicht zwingend öffentlich veröffentlicht werden. Vertiefung: unser Beitrag zu den SBOM-Anforderungen unter dem CRA.
Die CVD-Policy und der Update-Verteilweg
Die technische Dokumentation muss belegen, dass Sie eine koordinierte Schwachstellenoffenlegung (CVD-Policy) etabliert haben — diese ist unter dem CRA verpflichtend, nicht optional. Dazu gehören eine Kontaktadresse für Meldungen, das Verfahren zur Remediation ohne unangemessene Verzögerung sowie ein sicherer Verteilweg für Sicherheitsupdates, die kostenlos bereitzustellen sind. Diese Prozesse laufen über den gesamten Support-Zeitraum und müssen in der Dokumentation nachvollziehbar beschrieben sein — nicht nur als Absichtserklärung, sondern als tatsächlich gelebter Ablauf mit Verantwortlichkeiten und Reaktionszeiten. Idealerweise verweist die Dokumentation auf die konkreten internen Richtlinien, Tickets oder Prozessbeschreibungen, die den jeweiligen Schritt belegen.
Die EU-Konformitätserklärung (Art. 28, Anhang V)
Mit der EU-Konformitätserklärung (EU Declaration of Conformity, EU-DoC) übernimmt der Hersteller die alleinige Verantwortung dafür, dass das Produkt die geltenden Anforderungen erfüllt. Der Mindestinhalt ergibt sich aus Anhang V:
- Produktidentifikation (Name, Typ, Version/Los — zur eindeutigen Rückverfolgbarkeit)
- Name und Anschrift des Herstellers bzw. seines Bevollmächtigten
- Erklärung, dass die DoC unter alleiniger Verantwortung des Herstellers ausgestellt wird
- Gegenstand der Erklärung (Identifikation des Produkts)
- Konformitätsaussage: Das Produkt erfüllt die einschlägigen Anforderungen der Verordnung
- Angewandte Normen, gemeinsame Spezifikationen oder Zertifizierungsschemata
- Ggf. benannte Stelle: Name, Kennnummer, durchgeführtes Verfahren, Zertifikat
- Ort und Datum der Ausstellung, Unterschrift der verantwortlichen Person
Ob eine benannte Stelle einzubinden ist, hängt von der Produktklasse ab: Die meisten Produkte durchlaufen eine Selbstbewertung; eine benannte Stelle ist nur für die höheren Klassen (wichtig Klasse II und kritisch) zwingend. Ihre konkrete Betroffenheit klären Sie über unseren Betroffenheits-Check.
CE-Kennzeichnung (Art. 30)
Erst wenn technische Dokumentation, Risikobewertung, Konformitätsbewertung und EU-DoC vorliegen, darf die CE-Kennzeichnung angebracht werden. Sie ist das sichtbare Signal, dass der Hersteller die Konformität mit dem CRA (und ggf. weiteren einschlägigen EU-Rechtsakten) erklärt. Die CE-Kennzeichnung ist Voraussetzung für das Inverkehrbringen — ohne die dahinterliegende Dokumentation ist sie unzulässig.
Aufbewahrung: mindestens 10 Jahre
Hersteller müssen die technische Dokumentation und die EU-Konformitätserklärung mindestens 10 Jahre nach dem Inverkehrbringen des Produkts aufbewahren — oder für die Dauer des Support-Zeitraums, falls dieser länger ist. Beide Dokumente müssen für Marktüberwachungsbehörden verfügbar gehalten werden.
Praxis-Checkliste: technische Dokumentation vorbereiten
- Produktbeschreibung inkl. Zweckbestimmung, Versionen und unterstützter Umgebungen erstellt
- Architektur- und Datenfluss-Dokumentation vorhanden
- SBOM in gängigem, maschinenlesbarem Format (mind. Top-Level-Abhängigkeiten) gepflegt und versioniert
- CVD-Policy dokumentiert, Kontaktadresse für Schwachstellenmeldungen eingerichtet
- Sicherer Update-Verteilweg beschrieben; Security-Updates kostenlos und ohne Verzögerung
- Cybersicherheits-Risikobewertung durchgeführt und auf Anhang I abgebildet
- Support-Zeitraum festgelegt (≥ 5 Jahre bzw. erwartete Nutzung) und dokumentiert
- Angewandte Normen/Spezifikationen/Schemata benannt
- Test- und Prüfberichte abgelegt
- EU-Konformitätserklärung nach Anhang V erstellt und der Dokumentation beigefügt
- CE-Kennzeichnung erst nach vollständiger Konformitätsbewertung angebracht
- Aufbewahrungsprozess für ≥ 10 Jahre / Support-Zeitraum etabliert
Einen Überblick über den gesamten Regelungsrahmen bietet unsere CRA-Übersicht.
Häufige Fragen
Muss die technische Dokumentation öffentlich zugänglich sein?+
Schreibt der CRA CycloneDX oder SPDX für die SBOM vor?+
Wie lange muss ich die Dokumentation und die EU-Konformitätserklärung aufbewahren?+
Brauche ich für die EU-Konformitätserklärung eine benannte Stelle?+
Ab wann müssen technische Dokumentation, EU-DoC und CE-Kennzeichnung vorliegen?+
Quellen
Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).