Blackfort TechnologyBlackfort Technology

Technische Dokumentation und EU-Konformitätserklärung nach dem CRA

Blackfort Technology · Wissen zum Cyber Resilience Act

Hinweis: Dieser Beitrag bietet allgemeine technisch-organisatorische Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und ist keine Rechtsberatung. Maßgeblich ist stets der geltende Verordnungstext; eine verbindliche Beurteilung Ihres Einzelfalls ersetzt dieser Beitrag nicht. Blackfort Technology erbringt technisch-organisatorische IT-Security- und Compliance-Beratung, keine Rechtsdienstleistungen i.S.d. RDG.

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verlangt von Herstellern nicht nur, dass ihre Produkte mit digitalen Elementen sicher sind — er verlangt den Nachweis dieser Sicherheit. Zwei Dokumentenpakete tragen diesen Nachweis: die technische Dokumentation nach Anhang VII und die EU-Konformitätserklärung nach Artikel 28 in Verbindung mit Anhang V. Beide sind Voraussetzung für die CE-Kennzeichnung (Art. 30) und damit für das rechtmäßige Bereitstellen auf dem EU-Markt. Dieser Beitrag erläutert allgemein und praxisorientiert, was Sie vorbereiten und aufbewahren sollten — er ist keine Rechtsberatung.

Ab wann? Die zentralen Herstellerpflichten inklusive Anhang-I-Anforderungen, Konformitätsbewertung und CE-Kennzeichnung gelten ab dem 11. Dezember 2027 (allgemeine Anwendung, Art. 71(2)). Das Inkrafttreten am 10. Dezember 2024 ist kein Compliance-Datum. Wer die Dokumentation früh aufsetzt, vermeidet Nacharbeit.

Warum diese Dokumente das Rückgrat der CRA-Compliance sind

Die technische Dokumentation ist der interne Nachweis, dass ein Produkt die grundlegenden Cybersicherheitsanforderungen aus Anhang I erfüllt. Die EU-Konformitätserklärung ist die nach außen sichtbare, rechtsverbindliche Zusicherung des Herstellers, dass genau dies der Fall ist. Marktüberwachungsbehörden können die technische Dokumentation auf begründetes Verlangen anfordern; sie ist die Grundlage jeder Prüfung. Fehlende, unvollständige oder irreführende Angaben können mit Bußgeldern belegt werden — die Bereitstellung falscher Informationen gegenüber Behörden oder benannten Stellen bewegt sich im Rahmen bis zu 5 Mio. € oder 1 % des weltweiten Jahresumsatzes (Art. 64).

Beide Pakete gehören zusammen und bauen aufeinander auf: Ohne belastbare technische Dokumentation lässt sich die Konformitätsaussage in der EU-Konformitätserklärung nicht tragen, und ohne EU-Konformitätserklärung darf die CE-Kennzeichnung nicht angebracht werden. In der Praxis ist die Dokumentation deshalb kein einmaliges Abschlussdokument, sondern ein lebender Bestand, der über den gesamten Produktlebenszyklus fortgeschrieben wird — etwa wenn neue Versionen erscheinen, sich die Architektur ändert oder Schwachstellen behoben werden.

Was die technische Dokumentation nach Anhang VII enthalten muss

Anhang VII beschreibt die inhaltlichen Bestandteile. Die Dokumentation muss so umfassend sein, dass sich die Konformität mit den Anforderungen nachvollziehen lässt; Umfang und Tiefe richten sich nach Art und Risiko des Produkts. Kernbestandteile:

Bestandteil (Anhang VII)Was konkret hineingehört
ProduktbeschreibungAllgemeine Beschreibung inkl. Zweckbestimmung, Versionen, unterstützte Umgebungen, Fotos/Diagramme
Design, Entwicklung, ProduktionArchitektur, Systemaufbau, Datenflüsse, eingesetzte Sicherheitsfunktionen
Prozesse zur SchwachstellenbehandlungSBOM, CVD-Policy (koordinierte Offenlegung), sicherer Update-Verteilweg, Kontaktadresse für Meldungen
Cybersicherheits-RisikobewertungDie Bewertung, abgebildet ("gemappt") auf die Anforderungen aus Anhang I
Support-ZeitraumAngaben zum Unterstützungszeitraum (mindestens 5 Jahre, sofern nicht kürzere erwartete Nutzung)
Angewandte Standards/SpezifikationenHarmonisierte Normen, gemeinsame Spezifikationen oder Zertifizierungsschemata — oder Beschreibung alternativer Lösungen
Test- und PrüfberichteBerichte über durchgeführte Tests und Sicherheitsüberprüfungen
Kopie der EU-KonformitätserklärungDie vollständige EU-DoC als Bestandteil der Dokumentation

Die SBOM — ohne vorgeschriebenes Format

Die Software-Stückliste (Software Bill of Materials) ist in Anhang I Teil II verankert: in einem gängigen, maschinenlesbaren Format und mindestens auf Ebene der Top-Level-Abhängigkeiten. Wichtig: Die Verordnung schreibt kein bestimmtes Format vor. Etablierte Formate wie CycloneDX, SPDX (ISO/IEC 5962) oder SWID erfüllen die Anforderung als anerkannte Optionen — das ist Praxis-Leitplanke, nicht Gesetzestext. Art. 13(24) ermächtigt die Kommission, später ein Format zu präzisieren; ein solcher Durchführungsrechtsakt liegt bislang nicht vor. Die SBOM ist ein Compliance-Artefakt, das Behörden auf begründetes Verlangen offengelegt wird — sie muss nicht zwingend öffentlich veröffentlicht werden. Vertiefung: unser Beitrag zu den SBOM-Anforderungen unter dem CRA.

Die CVD-Policy und der Update-Verteilweg

Die technische Dokumentation muss belegen, dass Sie eine koordinierte Schwachstellenoffenlegung (CVD-Policy) etabliert haben — diese ist unter dem CRA verpflichtend, nicht optional. Dazu gehören eine Kontaktadresse für Meldungen, das Verfahren zur Remediation ohne unangemessene Verzögerung sowie ein sicherer Verteilweg für Sicherheitsupdates, die kostenlos bereitzustellen sind. Diese Prozesse laufen über den gesamten Support-Zeitraum und müssen in der Dokumentation nachvollziehbar beschrieben sein — nicht nur als Absichtserklärung, sondern als tatsächlich gelebter Ablauf mit Verantwortlichkeiten und Reaktionszeiten. Idealerweise verweist die Dokumentation auf die konkreten internen Richtlinien, Tickets oder Prozessbeschreibungen, die den jeweiligen Schritt belegen.

Die EU-Konformitätserklärung (Art. 28, Anhang V)

Mit der EU-Konformitätserklärung (EU Declaration of Conformity, EU-DoC) übernimmt der Hersteller die alleinige Verantwortung dafür, dass das Produkt die geltenden Anforderungen erfüllt. Der Mindestinhalt ergibt sich aus Anhang V:

  • Produktidentifikation (Name, Typ, Version/Los — zur eindeutigen Rückverfolgbarkeit)
  • Name und Anschrift des Herstellers bzw. seines Bevollmächtigten
  • Erklärung, dass die DoC unter alleiniger Verantwortung des Herstellers ausgestellt wird
  • Gegenstand der Erklärung (Identifikation des Produkts)
  • Konformitätsaussage: Das Produkt erfüllt die einschlägigen Anforderungen der Verordnung
  • Angewandte Normen, gemeinsame Spezifikationen oder Zertifizierungsschemata
  • Ggf. benannte Stelle: Name, Kennnummer, durchgeführtes Verfahren, Zertifikat
  • Ort und Datum der Ausstellung, Unterschrift der verantwortlichen Person

Ob eine benannte Stelle einzubinden ist, hängt von der Produktklasse ab: Die meisten Produkte durchlaufen eine Selbstbewertung; eine benannte Stelle ist nur für die höheren Klassen (wichtig Klasse II und kritisch) zwingend. Ihre konkrete Betroffenheit klären Sie über unseren Betroffenheits-Check.

CE-Kennzeichnung (Art. 30)

Erst wenn technische Dokumentation, Risikobewertung, Konformitätsbewertung und EU-DoC vorliegen, darf die CE-Kennzeichnung angebracht werden. Sie ist das sichtbare Signal, dass der Hersteller die Konformität mit dem CRA (und ggf. weiteren einschlägigen EU-Rechtsakten) erklärt. Die CE-Kennzeichnung ist Voraussetzung für das Inverkehrbringen — ohne die dahinterliegende Dokumentation ist sie unzulässig.

Aufbewahrung: mindestens 10 Jahre

Hersteller müssen die technische Dokumentation und die EU-Konformitätserklärung mindestens 10 Jahre nach dem Inverkehrbringen des Produkts aufbewahren — oder für die Dauer des Support-Zeitraums, falls dieser länger ist. Beide Dokumente müssen für Marktüberwachungsbehörden verfügbar gehalten werden.

Praxis-Checkliste: technische Dokumentation vorbereiten

  • Produktbeschreibung inkl. Zweckbestimmung, Versionen und unterstützter Umgebungen erstellt
  • Architektur- und Datenfluss-Dokumentation vorhanden
  • SBOM in gängigem, maschinenlesbarem Format (mind. Top-Level-Abhängigkeiten) gepflegt und versioniert
  • CVD-Policy dokumentiert, Kontaktadresse für Schwachstellenmeldungen eingerichtet
  • Sicherer Update-Verteilweg beschrieben; Security-Updates kostenlos und ohne Verzögerung
  • Cybersicherheits-Risikobewertung durchgeführt und auf Anhang I abgebildet
  • Support-Zeitraum festgelegt (≥ 5 Jahre bzw. erwartete Nutzung) und dokumentiert
  • Angewandte Normen/Spezifikationen/Schemata benannt
  • Test- und Prüfberichte abgelegt
  • EU-Konformitätserklärung nach Anhang V erstellt und der Dokumentation beigefügt
  • CE-Kennzeichnung erst nach vollständiger Konformitätsbewertung angebracht
  • Aufbewahrungsprozess für ≥ 10 Jahre / Support-Zeitraum etabliert

Einen Überblick über den gesamten Regelungsrahmen bietet unsere CRA-Übersicht.

Häufige Fragen

Muss die technische Dokumentation öffentlich zugänglich sein?
Nein. Die technische Dokumentation nach Anhang VII ist ein internes Nachweisdokument, das den Marktüberwachungsbehörden auf begründetes Verlangen verfügbar zu machen ist. Auch die SBOM wird Behörden auf begründetes Verlangen offengelegt, nicht zwingend öffentlich veröffentlicht.
Schreibt der CRA CycloneDX oder SPDX für die SBOM vor?
Nein. Anhang I Teil II verlangt lediglich ein gängiges, maschinenlesbares Format mit mindestens den Top-Level-Abhängigkeiten. Ein konkretes Format nennt die Verordnung nicht. CycloneDX, SPDX (ISO/IEC 5962) und SWID gelten als anerkannte Optionen; die Kommission kann laut Art. 13(24) später ein Format präzisieren, hat dies aber bisher nicht getan.
Wie lange muss ich die Dokumentation und die EU-Konformitätserklärung aufbewahren?
Mindestens 10 Jahre nach dem Inverkehrbringen des Produkts — oder für die Dauer des Support-Zeitraums, falls dieser länger ist. Beides muss für Marktüberwachungsbehörden verfügbar bleiben.
Brauche ich für die EU-Konformitätserklärung eine benannte Stelle?
Das hängt von der Produktklasse ab. Die meisten Produkte werden per Selbstbewertung (Modul A) bewertet; eine benannte Stelle ist nur für wichtige Produkte der Klasse II und kritische Produkte zwingend. Ist eine benannte Stelle beteiligt, sind deren Name, Kennnummer, Verfahren und Zertifikat in der Erklärung anzugeben.
Ab wann müssen technische Dokumentation, EU-DoC und CE-Kennzeichnung vorliegen?
Die allgemeine Anwendung des CRA mit Anhang-I-Anforderungen, Konformitätsbewertung und CE-Kennzeichnung greift ab dem 11. Dezember 2027 (Art. 71(2)). Das Inkrafttreten am 10. Dezember 2024 ist kein Compliance-Datum. Ein früher Aufbau der Dokumentation reduziert spätere Nacharbeit.

Sprechen wir über Ihre CRA-Readiness

Unsicher, welche Anhang-VII-Bestandteile Ihr Produkt konkret braucht und ob eine benannte Stelle nötig ist? Blackfort Technology unterstützt Sie beim Aufbau CRA-konformer technischer Dokumentation und Ihrer EU-Konformitätserklärung — starten Sie mit dem Betroffenheits-Check.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.