Technische Dokumentation und Nutzerinformationen nach dem Cyber Resilience Act

Technische Dokumentation und Nutzerinformationen nach dem Cyber Resilience Act

Inhaltsverzeichnis

Der Cyber Resilience Act (CRA) verpflichtet Hersteller, eine umfassende technische Dokumentation zu erstellen und zugleich klare Informationen für die Nutzer bereitzustellen. Während die technische Dokumentation in erster Linie für die Marktaufsicht und die Konformitätsbewertung gedacht ist, müssen Anleitungen und Hinweise für die Endnutzer verständlich und praxisnah sein.

In beiden Fällen geht es darum, Produktsicherheit über den gesamten Lebenszyklus gewährleisten zu können.

Dabei unterscheidet der CRA zwei Ebenen:

  1. Die technische Dokumentation, die Herstellern als Nachweis dient und Marktaufsichtsbehörden zur Verfügung gestellt werden muss.
  2. Die Informationen für Nutzerinnen und Nutzer, die verständlich erklären, wie das Produkt sicher eingesetzt werden kann.

Beide Ebenen ergänzen sich, die technische Dokumentation ist das „Gedächtnis“ eines Produkts, die Nutzerinformationen die praktische Grundlage für den sicheren Alltagseinsatz. Die Nutzerinformationen dienen zudem als Kaufentscheidung und geben transparent Auskunft über den Zustand der Produktsicherheit.

CRA Gap-Analyse

Gemeinsam mit Dir analysieren wir systematisch, wo Dein Unternehmen heute steht. Wir gleichen bestehende Prozesse, technische Maßnahmen und Dokumentationen mit den Anforderungen des Cyber Resilience Act ab. So erkennst Du sofort, welche Pflichten bereits erfüllt sind und an welchen Stellen Du nachbessern musst.

Zur Gap-Analyse
Illustration Cyber Resilience Act Gap Analyse

Die technische Dokumentation

Hersteller sind verpflichtet, vor der Markteinführung eines Produkts mit digitalen Elementen eine vollständige technische Dokumentation zu erstellen. Diese Dokumentation dient als Nachweis, dass das Produkt die Anforderungen des CRA erfüllt, und muss für die gesamte Dauer der Supportperiode, mindestens jedoch zehn Jahre, aufbewahrt werden. Ist der Supportzeitraum länger, verlängert sich auch die Pflicht zur Dokumentation entsprechend.

Inhalte der technischen Dokumentation

Die Verordnung gibt detailliert vor, welche Informationen enthalten sein müssen. Dazu gehören eine Produktbeschreibung mit eindeutiger Kennzeichnung, der intended use (beabsichtigter Verwendungszweck), Design- und Entwicklungsunterlagen, Produktionsprozesse, die Risikobewertung, Prozesse für Schwachstellen- und Incident-Handling, die Security-Update-Strategie, Testberichte und Prüfnachweise sowie eine aktuelle SBOM. Ebenfalls Teil der Dokumentation sind die EU-Konformitätserklärung und die Begründung für die gewählte Supportperiode.

Um das greifbarer zu machen, hier eine Übersicht als Checkliste:

BereichWas dokumentiert werden mussHinweise / Besonderheiten
ProduktbeschreibungAllgemeine Beschreibung, Zweck, Typ, Version, eindeutige Kennzeichnung (Serien- oder Chargennummer), ggf. Fotos oder IllustrationenMuss das Produkt eindeutig identifizierbar machen
Intended UseBeschreibung des vorgesehenen Verwendungszwecks und der NutzungskontexteWichtig für Risikobewertung und Abgrenzung; schützt vor falscher Nutzung
Design & EntwicklungArchitekturdiagramme, eingesetzte Standards und Methoden, Sicherheitsprinzipien (Security by Design & Default)Soll nachvollziehbar zeigen, wie Sicherheit von Anfang an integriert wurde
ProduktionsprozesseBeschreibung der Fertigung und QualitätssicherungNachvollziehbarkeit und Rückverfolgbarkeit für Marktaufsicht
RisikobewertungErgebnisse der Risikoanalyse inkl. identifizierter Bedrohungen und GegenmaßnahmenMethoden sollten dokumentiert sein (z. B. ISO 27005)
Vulnerability & Incident ManagementProzesse zur Annahme, Analyse und Behebung von Schwachstellen, Vorgehen bei SicherheitsvorfällenDokumentation des PSIRT, Disclosure-Prozess, Kommunikationswege
Security-Update-StrategieVerfahren zur sicheren Bereitstellung von Security-Updates (Signatur, sichere Transportkanäle, Schutz vor Rollback/Downgrade)Nachweis, dass Updates kostenfrei und über Supportzeitraum verfügbar sind und wie diese verteilt werden.
Testberichte & NachweiseInterne Tests, Prüfnachweise, ggf. externe Audits oder PenetrationstestsFür kritische Produkte besonders relevant
SBOMVollständige Liste aller eingesetzten Software-KomponentenMuss aktuell gepflegt werden, nicht öffentlich, aber auf Anfrage vorlegbar
EU-KonformitätserklärungErklärung, dass Anforderungen erfüllt sind, mit Bezug auf Normen/ZertifikateNach Annex V/VI, Teil der technischen Unterlagen
SupportperiodeDefinierter Supportzeitraum, mit technischer Begründung (z. B. Lebensdauer, Batterien, Nutzungsszenario)Muss transparent dokumentiert und nachvollziehbar begründet werden

Die Dokumentation muss regelmäßig aktualisiert werden, insbesondere wenn neue Risiken auftreten, Änderungen am Produkt erfolgen oder sich Prozesse weiterentwickeln.

Nutzerinformationen

Neben der technischen Dokumentation für Behörden müssen Hersteller auch den Endnutzern klare Informationen bereitstellen. Ziel ist es, dass Verbraucherinnen und Verbraucher in die Lage versetzt werden, ein Produkt sicher zu installieren, zu betreiben und außer Betrieb zu nehmen.

Diese Informationen müssen verständlich formuliert sein und mindestens folgende Punkte enthalten:

  • Herstellername
  • Handelsmarke und eine Kontaktanschrift inklusive E-Mail-Adresse
  • Anleitungen zur sicheren Installation, Nutzung und Außerbetriebnahme
  • Intended use, also der vorgesehene Verwendungszweck
  • Supportzeitraum
  • Beschreibung der wichtigsten Sicherheitsfunktionen
  • Kontaktadresse für die Meldung von Schwachstellen

Fazit

Hersteller müssen eine umfangreiche technische Dokumentation erstellen, die alle relevanten Aspekte von Design, Entwicklung, Produktion, Risikoanalyse und Support abdeckt. Gleichzeitig müssen Nutzerinnen und Nutzer die Informationen erhalten, die sie für den sicheren Betrieb und die richtige Nutzung benötigen, einschließlich einer klaren Angabe des vorgesehenen Verwendungszwecks.

Die Behörden haben die Grundlage, Produkte und Prozesse zu überprüfen, während Nutzerinnen und Nutzer die Informationen an die Hand bekommen, die sie für den sicheren Einsatz benötigen. Sicherheit wird so über den gesamten Lebenszyklus hinweg nachvollziehbar, von der Dokumentation bis zur praktischen Anwendung.

Solltest du Unterstützung benötigen, wie du den CRA effizient in deine bestehenden Produktentwicklungsprozesse integrieren kannst, oder Hilfe bei der GAP-Analyse oder allgemein CRA-Beratung brauchst, kannst du dich gerne an uns wenden.

Du möchtest mehr zum Thema erfahren?

Vereinbare einen kostenlosen Gesprächstermin mit uns oder sende uns deine Anfrage über unser Kontaktformular.

Termin vereinbaren Anfrage senden
App screenshot
Tags :

Ähnliche Posts

Welche Produkte fallen unter den Cyber Resilience Act?

Welche Produkte fallen unter den Cyber Resilience Act?

Der Cyber Resilience Act (CRA) gilt für alle Produkte mit digitalen Elementen, die in der EU vertrieben werden, unabhängig davon, wo sie entwickelt wurden oder wo der Hersteller sitzt. Erfasst werden sowohl physische als auch virtuelle Produkte, deren Funktion auf Vernetzung und Datenverarbeitung basiert.

Mehr lesen
Was sind die Pflichten der Hersteller nach dem Cyber Resilience Act?

Was sind die Pflichten der Hersteller nach dem Cyber Resilience Act?

Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen zu umfassenden Maßnahmen. Diese Pflichten reichen von der sicheren Konzeption über die Prüfung von Drittkomponenten bis hin zur transparenten Kommunikation mit Kunden und Behörden.

Mehr lesen
Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Die Anzahl an digitalen Produkten ist in den letzten Jahren stark gestiegen. Seien es klassische SaaS Produkte oder vernetzte Geräte im Haushalt oder Industriebereich. Diese digitalen Produkte hatten jedoch häufig ein geringes Cybersicherheitsniveau, was zu teils massiven Angriffen geführt hat. Der Cyber Resilience Act ist die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind.

Mehr lesen