Cyber Resilience Act
Technische Dokumentation
Die technische Dokumentation ist der Nachweiskern des CRA. Sie muss belegen, dass ein Produkt die grundlegenden Anforderungen erfüllt, und Inhalte nach Anhang VII abdecken: Produktbeschreibung, Risikobewertung, Angaben zum Support-Zeitraum, zum Schwachstellenmanagement und zu den angewandten Normen. Die Unterlagen sind der Marktüberwachung auf Verlangen vorzulegen.
Warum diese Pflicht wichtig ist
Ohne vollständige technische Dokumentation ist keine Konformitätserklärung möglich und die CE-Kennzeichnung unzulässig. Zudem ist sie das Erste, was die Marktüberwachung im Prüfungsfall anfordert. Sie muss ab Inverkehrbringen zehn Jahre aufbewahrt und laufend aktuell gehalten werden.
So setzen Sie die Pflicht um
- 1Dokumentationsstruktur nach Anhang VII aufsetzen
- 2Produktbeschreibung, Architektur und eingesetzte Komponenten (SBOM) dokumentieren
- 3Risikobewertung, Support-Zeitraum und Schwachstellenprozess einbinden
- 4Angewandte harmonisierte Normen und Konformitätsverfahren dokumentieren
- 5Dokumentation aktuell halten und mindestens zehn Jahre aufbewahren
Diese Nachweise sind gefragt
- Vollständige technische Dokumentation je Produkt nach Anhang VII
- Versionsstand und Aufbewahrungsnachweis (zehn Jahre)
- Verknüpfung zu Risikobewertung, SBOM und Konformitätserklärung
Häufige Fehler
Lückenhafte Unterlagen
Die Dokumentation deckt nicht alle Punkte aus Anhang VII ab, sodass die Konformität nicht vollständig belegt ist.
Nicht gepflegt
Die Dokumentation wird einmal erstellt und nach Produktänderungen oder neuen Schwachstellen nicht aktualisiert.
Begriffe zum Nachschlagen
Diese Begriffe aus dem Compliance-Lexikon vertiefen den Bereich:
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
Konformitätsbewertung / CE-Kennzeichnung
Die Konformitätsbewertung ist das Verfahren, mit dem ein Hersteller nachweist, dass ein Produkt die gesetzlichen Anforderungen erfüllt. Als sichtbares Ergebnis wird die CE-Kennzeichnung angebracht, unter dem CRA auch für die IT-Sicherheit.
SBOM (Software Bill of Materials)
Eine SBOM (Software Bill of Materials) ist ein strukturiertes Verzeichnis aller Software-Bestandteile eines Produkts, einschließlich Fremd- und Open-Source-Komponenten. Sie ist Grundlage, um Schwachstellen schnell zuzuordnen.
Häufig gestellte Fragen
Was gehört in die technische Dokumentation?
Die in Anhang VII genannten Inhalte: unter anderem Produktbeschreibung, Cybersicherheits-Risikobewertung, Angaben zum Support-Zeitraum und Schwachstellenmanagement sowie die angewandten Normen und das Konformitätsverfahren.
Wie lange muss ich die Dokumentation aufbewahren?
Grundsätzlich zehn Jahre ab dem Inverkehrbringen des Produkts, sofern nicht eine längere sektorspezifische Frist gilt.
Wer darf die Dokumentation verlangen?
Die Marktüberwachungsbehörden können die technische Dokumentation auf begründetes Verlangen einsehen, um die Konformität zu prüfen.
Ihren CRA-Handlungsbedarf klären
Der kostenlose CRA-Check zeigt in wenigen Minuten, welche Pflichten für Ihre Produkte und Ihre Rolle gelten und wo Sie jetzt ansetzen sollten.
