Bild: Generiert mit Gemini Flash

DoC- und Tech-Doc-Generator im CRA-Nachweis: EU-Konformitätserklärung (Anhang V) und technische Doku (Anhang VII) erzeugen

Dernium CRA-Nachweis erzeugt die EU-Konformitätserklärung (Anhang V) und die technische Dokumentation (Anhang VII) als fertiges PDF: das Werkzeug assembliert die laufend gepflegte Evidenz - Versionen, Stückliste, Schwachstellen- und VEX-Stand - und der Hersteller ergänzt nur die beschreibenden Teile. Dieser Beitrag zeigt, wie der DoC- und der Tech-Doc-Generator arbeiten und wo bewusst die Verantwortung beim Hersteller bleibt.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Abgelehnte Alternativen
  5. Was Sie jetzt tun sollten
  6. Wie Dernium hilft
  7. Offene Punkte
  8. Verifikation
  9. Häufige Fragen
  10. Stellt Dernium die Konformitätserklärung in meinem Namen aus?
  11. Was muss ich selbst beisteuern und was kommt automatisch?
  12. Warum ist eine handgepflegte Word-Datei dafür nicht geeignet?
  13. Ab wann gelten diese Pflichten?
  14. Mehr aus unserer CRA-Reihe

Problem

Zwei Pflicht-Dokumente bei jeder neuen Produktversion von Hand neu zusammenzustellen, ist genau die Arbeit, die liegen bleibt, bis eine Marktaufsicht danach fragt. Die CRA-Hauptpflichten ab dem 11. Dezember 2027 verlangen zwei Dokumente: die EU-Konformitätserklärung nach Anhang V (die unterzeichnete Erklärung des Herstellers, dass das Produkt die Vorgaben erfüllt) und die technische Dokumentation nach Anhang VII (die Nachweismappe dazu). Von Hand heißt das: Angaben aus mehreren Quellen zusammensuchen - Software-Stückliste (SBOM, eine maschinenlesbare Liste aller enthaltenen Software-Bausteine), bekannte Schwachstellen samt Bewertung, Versions- und Auslieferungsdaten, Normen - und in eine Vorlage gießen, fehleranfällig und bei jeder neuen Version zu wiederholen. Vor allem muss die technische Dokumentation zu den ausgelieferten Nachweisen passen - eine handgepflegte Word-Datei läuft davon weg.

Für wen ist das? Für Hersteller, die die CRA-Pflichtdokumente erstellen müssen.

Kurze Antwort

Dernium CRA erzeugt beide Pflichtdokumente aus den Nachweisen, die ohnehin im Portal entstehen - Sie ergänzen nur, was sich nicht aus Daten ableiten lässt.

  • Zwei Generatoren: ein Assistent für die EU-Konformitätserklärung (Anhang V) und ein Export der technischen Dokumentation (Anhang VII).
  • Datengetrieben: Versionen, Auslieferungsdaten, Stückliste und Schwachstellen-Stand fließen automatisch ein, sodass die Dokumentation nicht von den echten Nachweisen abweicht.
  • PDF mit Ihrem Briefkopf: Ausgabe als Dokument des Herstellers; Dernium erscheint nur als dezenter Werkzeug-Vermerk.
  • Lücken sichtbar: Was Sie selbst beschreiben müssen (Verwendungszweck, Architektur, Risikobewertung), erscheint im PDF als "zu ergänzen".
  • Klare Grenze: Dernium stellt nichts in Ihrem Namen aus und gibt keine Konformitätsbewertung ab - Erklärung, Bewertung und CE-Kennzeichnung bleiben Ihre Pflicht.

Tiefgang

Versionen, Stückliste und Schwachstellen aus dem Portal fließen automatisch in Anhang V und VII, beschreibende Felder bleiben sichtbar "zu ergänzen".
Versionen, Stückliste und Schwachstellen aus dem Portal fließen automatisch in Anhang V und VII, beschreibende Felder bleiben sichtbar "zu ergänzen".

EU-Konformitätserklärung (Anhang V). Sie pflegen die Pflichtangaben: Hersteller und Anschrift, Produktidentifikation, angewandte Normen, das gewählte Konformitätsbewertungsverfahren, optional eine notifizierte Stelle (eine offiziell benannte Prüfstelle) sowie Ort, Datum und Unterzeichner. Daraus entsteht ein PDF mit Ihrem Briefkopf, der vorgeschriebenen Alleinverantwortungs-Erklärung und einer Normen-Tabelle. Das Dokument ist Ihres; Dernium erscheint nur als dezenter Werkzeug-Vermerk.

Technische Dokumentation (Anhang VII). Hier liegt der eigentliche Hebel: Das meiste setzt sich automatisch aus den vorhandenen Nachweisen zusammen. Der Export zieht Ihre Versionen samt Veröffentlichungs- und Inverkehrbringen-Datum, Zusammenfassung und Stückliste der aktuellsten Version, den offenen Schwachstellen-Stand (bereinigt um Punkte, die Sie als nicht zutreffend eingestuft haben, VEX - Vulnerability Exploitability eXchange, also der dokumentierte Vermerk, dass eine Schwachstelle Ihr Produkt nicht betrifft) sowie den Bezug zur EU-Konformitätserklärung (Briefkopf, Normen und Unterzeichner stammen von dort). Sie ergänzen nur die beschreibenden Abschnitte - die Dokumentation bleibt so passend, ohne manuellen Abgleich von Datenständen.

Maschinenlesbare Stückliste. Die vollständige Software-Stückliste (SBOM in den Formaten CycloneDX/SPDX, zwei verbreitete Standardformate für solche Listen) je Version lässt sich herunterladen; die technische Dokumentation verweist darauf. Echtheits-Anker bleibt der gespeicherte Prüfwert (Hash, eine eindeutige Quersumme) der eingereichten Stückliste.

Abgelehnte Alternativen

  • Handgepflegte Word-Vorlagen. Laufen von den tatsächlichen Nachweisen weg, ohne revisionssicheren Bezug dazu, was wann ausgeliefert wurde.
  • Generische Dokumentengeneratoren. Kennen weder die Anhang-V/VII-Struktur noch Ihre Stückliste und Ihren Schwachstellen-Stand; alles müsste von Hand hinein.
  • "Wir stellen die Erklärung für Sie aus". Bewusst nicht: Ausstellen der Erklärung, Konformitätsbewertung und CE-Kennzeichnung sind Herstellerpflichten. Eine Stellvertretung wäre haftungs- und RDG-kritisch (RDG = Rechtsdienstleistungsgesetz, das geschäftsmäßige Rechtsdienstleistungen reguliert).

Was Sie jetzt tun sollten

  1. Pflegen Sie Produkt, Versionen und Stückliste laufend im Portal. Je vollständiger die Nachweise mitwachsen, desto mehr füllen sich beide PDF automatisch - statt einer Sammelaktion kurz vor dem Stichtag.
  2. Hinterlegen Sie die Stammangaben für die Konformitätserklärung einmal sauber. Hersteller, Anschrift, Normen und Unterzeichner werden in die technische Dokumentation übernommen, also lohnt sich Sorgfalt an einer Stelle.
  3. Halten Sie den Schwachstellen-Stand aktuell und nutzen Sie VEX. Stufen Sie nicht zutreffende Punkte sauber als nicht betreffend ein - der Export übernimmt diese Bewertung in die Dokumentation.
  4. Arbeiten Sie die "zu ergänzen"-Markierungen ab. Verwendungszweck, Architekturbeschreibung und Risikobewertung lassen sich nicht aus Daten ableiten; diese Felder erscheinen im PDF sichtbar offen und müssen von Ihnen kommen.
  5. Planen Sie Konformitätsbewertung und CE-Kennzeichnung als eigene Schritte ein. Das generierte PDF bereitet Ihre Angaben auf, ersetzt aber weder die Bewertung noch die Unterschrift - klären Sie früh, ob Sie eine notifizierte Stelle brauchen.

Wie Dernium hilft

Pflegen Sie Produkt, Versionen und Stückliste laufend in Dernium CRA - beide PDF fallen daraus ab. Eine Erklärschicht im Portal erläutert jedes Feld. So sinkt der Aufwand zum Stichtag, ohne dass die Verantwortung verschwimmt.

Offene Punkte

  • Die Konformitätsbewertung, die Unterschrift unter der Erklärung und die CE-Kennzeichnung bleiben Ihre Aufgabe als Hersteller. Das erzeugte PDF ist eine Aufbereitung Ihrer Angaben und Nachweise, keine Konformitätsaussage von Dernium und keine Rechtsberatung.
  • Das Hosten Ihrer Schwachstellen-Offenlegung (Coordinated Vulnerability Disclosure, das geregelte Entgegennehmen von Schwachstellen-Hinweisen, security.txt) ist in Vorbereitung.

Verifikation

Die rechtlichen Anker sind im CRA-Volltext nachlesbar; die technische Dokumentation richtet sich nach Anhang VII (Artikel 31), die Konformitätserklärung nach Anhang V.

Häufige Fragen

Stellt Dernium die Konformitätserklärung in meinem Namen aus?

Nein. Dernium bereitet Ihre Angaben und Nachweise zu einem PDF mit Ihrem Briefkopf auf, mehr nicht. Das Ausstellen der Erklärung, die Konformitätsbewertung und die CE-Kennzeichnung sind und bleiben Herstellerpflichten. Eine Stellvertretung wäre haftungs- und rechtsdienstleistungsrechtlich problematisch, deshalb verzichtet Dernium bewusst darauf. Das Werkzeug nimmt Ihnen die Fleißarbeit ab, nicht die Verantwortung.

Was muss ich selbst beisteuern und was kommt automatisch?

Automatisch fließen die datengestützten Teile ein: Versionen mit Auslieferungsdaten, die Stückliste der aktuellen Version, der offene Schwachstellen-Stand und der Bezug zur Konformitätserklärung. Selbst beschreiben müssen Sie, was sich nicht aus Daten ableiten lässt - vor allem Verwendungszweck, Architekturbeschreibung und Risikobewertung. Diese offenen Stellen markiert das PDF sichtbar mit "zu ergänzen", damit nichts übersehen wird.

Warum ist eine handgepflegte Word-Datei dafür nicht geeignet?

Weil die technische Dokumentation laufend zu den tatsächlich ausgelieferten Versionen, Stücklisten und Schwachstellen passen muss. Eine separate Word-Datei wird bei jeder neuen Version von Hand nachgezogen und läuft mit der Zeit von den echten Nachweisen weg - ohne nachvollziehbaren Bezug, was wann ausgeliefert wurde. Der Generator baut die Dokumentation dagegen direkt aus den vorhandenen Nachweisen auf, sodass dieser Abgleich entfällt.

Ab wann gelten diese Pflichten?

Die hier beschriebenen CRA-Hauptpflichten - EU-Konformitätserklärung nach Anhang V und technische Dokumentation nach Anhang VII - greifen ab dem 11. Dezember 2027. Es lohnt sich, schon vorher Produkt, Versionen und Stückliste laufend zu pflegen, damit zum Stichtag wenig Aufwand übrig bleibt und die Nachweise vollständig vorliegen.

Mehr aus unserer CRA-Reihe