Technische Dokumentation und Nutzerinformationen nach dem Cyber Resilience Act
- Sarah Berger
- Regulatorische Anforderungen
- 5. September 2025
Inhaltsverzeichnis
Der Cyber Resilience Act (CRA) verpflichtet Hersteller, eine umfassende technische Dokumentation zu erstellen und zugleich klare Informationen für die Nutzer bereitzustellen.
Info
Aktualisiert am 16.02.2026
Dieser Beitrag wurde nach Veröffentlichung der harmonisierten Normen der EN 40000-Reihe überarbeitet.
Er berücksichtigt insbesondere die Konkretisierungen zu Risikomanagement, Produktkontext, Monitoring und Lifecycle-Prozessen.
Der Artikel wird bei neuen regulatorischen oder normativen Entwicklungen fortlaufend aktualisiert.
Während die technische Dokumentation in erster Linie für die Marktaufsicht und die Konformitätsbewertung gedacht ist, müssen Anleitungen und Hinweise für die Endnutzer verständlich und praxisnah sein.
In beiden Fällen geht es darum, Produktsicherheit über den gesamten Lebenszyklus gewährleisten zu können.
Dabei unterscheidet der CRA zwei Ebenen:
- Die technische Dokumentation, die Herstellern als Nachweis dient und Marktaufsichtsbehörden zur Verfügung gestellt werden muss.
- Die Informationen für Nutzerinnen und Nutzer, die verständlich erklären, wie das Produkt sicher eingesetzt werden kann.
Beide Ebenen ergänzen sich, die technische Dokumentation ist das „Gedächtnis“ eines Produkts, die Nutzerinformationen die praktische Grundlage für den sicheren Alltagseinsatz. Die Nutzerinformationen dienen zudem als Kaufentscheidung und geben transparent Auskunft über den Zustand der Produktsicherheit.
CRA Gap-Analyse
Gemeinsam mit Dir analysieren wir systematisch, wo Dein Unternehmen heute steht. Wir gleichen bestehende Prozesse, technische Maßnahmen und Dokumentationen mit den Anforderungen des Cyber Resilience Act ab. So erkennst Du sofort, welche Pflichten bereits erfüllt sind und an welchen Stellen Du nachbessern musst.
Die technische Dokumentation
Hersteller sind verpflichtet, vor der Markteinführung eines Produkts mit digitalen Elementen eine vollständige technische Dokumentation zu erstellen. Diese Dokumentation dient als Nachweis, dass das Produkt die Anforderungen des CRA erfüllt, und muss für die gesamte Dauer der Supportperiode, mindestens jedoch zehn Jahre, aufbewahrt werden. Ist der Supportzeitraum länger, verlängert sich auch die Pflicht zur Dokumentation entsprechend. Mit Veröffentlichung der harmonisierten Normen wurde klarer definiert, dass diese Dokumentation die Ergebnisse eines strukturierten, risikobasierten Cybersecurity-Prozesses widerspiegeln muss.
Inhalte der technischen Dokumentation
Die Verordnung gibt detailliert vor, welche Informationen enthalten sein müssen. Dazu gehören eine Produktbeschreibung mit eindeutiger Kennzeichnung, der intended use (beabsichtigter Verwendungszweck), Design- und Entwicklungsunterlagen, Produktionsprozesse, die Risikobewertung, Prozesse für Schwachstellen- und Incident-Handling, die Security-Update-Strategie, Testberichte und Prüfnachweise sowie eine aktuelle SBOM. Ebenfalls Teil der Dokumentation sind die EU-Konformitätserklärung und die Begründung für die gewählte Supportperiode.
Um das greifbarer zu machen, hier eine Übersicht als Checkliste:
| Bereich | Was dokumentiert werden muss | Hinweise / Besonderheiten |
|---|---|---|
| Produktbeschreibung | Beschreibung, Zweck, Typ, Version, Serien- oder Chargennummer, ggf. Abbildungen | Muss das Produkt eindeutig identifizierbar machen |
| Intended Use & Produktkontext | Verwendungszweck, Nutzungsszenarien, Betriebsumgebung, Nutzergruppen | Grundlage für Risikomanagement |
| Design & Entwicklung | Architekturdiagramme, Sicherheitsprinzipien (Security by Design, Secure by Default), eingesetzte Standards | Sicherheit muss von Anfang an integriert sein |
| Risikomanagement | Identifikation von Assets, Bedrohungen, Risikoschätzung, Bewertung, Behandlung, Überprüfung | Risikobasiertes Vorgehen über gesamten Lebenszyklus |
| Third-Party-Komponenten | Due Diligence bei Auswahl, Integration, Monitoring, SBOM | Komponenten sind Teil der Risikobetrachtung |
| Vulnerability & Incident Management | Prozesse zur Annahme, Analyse und Behebung von Schwachstellen | Dokumentierter Disclosure-Prozess |
| Security-Update-Strategie | Sichere Bereitstellung von Updates (Signatur, Integritätsschutz, Rollback-Schutz) | Updates kostenfrei über Supportzeitraum |
| Testberichte & Nachweise | Verifikation, Validierung, ggf. Penetrationstests | Wiederkehrende Tests bei Änderungen |
| SBOM | Liste eingesetzter Software-Komponenten | Grundlage für kontinuierliches Schwachstellenmonitoring |
| Produktion & Distribution | Schutz vor Manipulation während Herstellung und digitaler Verteilung | Integrität und Authentizität müssen gewährleistet sein |
| Secure Decommissioning | Planung zur sicheren Außerbetriebnahme, Datenlöschung, End-of-Support-Information | Teil des Sicherheitslebenszyklus |
| EU-Konformitätserklärung | Erklärung der Konformität mit Verweis auf harmonisierte Normen | Bestandteil der technischen Unterlagen |
| Supportperiode | Definierter Zeitraum mit technischer Begründung | Transparent und nachvollziehbar |
Die Dokumentation muss regelmäßig aktualisiert werden, insbesondere wenn neue Risiken auftreten, Änderungen am Produkt erfolgen oder sich Prozesse weiterentwickeln.
Nutzerinformationen
Neben der technischen Dokumentation für Behörden müssen Hersteller auch den Endnutzern klare Informationen bereitstellen. Ziel ist es, dass Verbraucherinnen und Verbraucher in die Lage versetzt werden, ein Produkt sicher zu installieren, zu betreiben und außer Betrieb zu nehmen.
Diese Informationen müssen verständlich formuliert sein und mindestens folgende Punkte enthalten:
- Herstellername
- Handelsmarke und eine Kontaktanschrift inklusive E-Mail-Adresse
- Kontaktmöglichkeit zur Meldung von Schwachstellen
- Anleitungen zur sicheren Installation, Nutzung und Außerbetriebnahme
- Intended use, also der vorgesehene Verwendungszweck
- Supportzeitraum
- Beschreibung der wichtigsten Sicherheitsfunktionen
- Kontaktadresse für die Meldung von Schwachstellen
- Hinweise zu Updates
- Offenlegung relevanter verbleibender Risiken
- Hinweise zur sicheren Konfiguration
Fazit
Hersteller müssen eine umfangreiche technische Dokumentation erstellen, die alle relevanten Aspekte von Design, Entwicklung, Produktion, Risikoanalyse und Support abdeckt. Gleichzeitig müssen Nutzerinnen und Nutzer die Informationen erhalten, die sie für den sicheren Betrieb und die richtige Nutzung benötigen, einschließlich einer klaren Angabe des vorgesehenen Verwendungszwecks.
Die Behörden haben die Grundlage, Produkte und Prozesse zu überprüfen, während Nutzerinnen und Nutzer die Informationen an die Hand bekommen, die sie für den sicheren Einsatz benötigen. Sicherheit wird so über den gesamten Lebenszyklus hinweg nachvollziehbar, von der Dokumentation bis zur praktischen Anwendung.
Solltest du Unterstützung benötigen, wie du den CRA effizient in deine bestehenden Produktentwicklungsprozesse integrieren kannst, oder Hilfe bei der GAP-Analyse oder allgemein CRA-Beratung brauchst, kannst du dich gerne an uns wenden.
Du möchtest mehr zum Thema erfahren?
Vereinbare einen kostenlosen Gesprächstermin mit uns oder sende uns deine Anfrage über unser Kontaktformular.
