DoC- und Tech-Doc-Generator im CRA-Nachweis: EU-Konformitätserklärung (Anhang V) und technische Doku (Anhang VII) erzeugen

14. Mai 2026 3 Min Lesezeit Serie: compliance #compliance #cra #konformitaet #doc #techdoc #sbom #annex

Dernium CRA-Nachweis erzeugt die EU-Konformitätserklärung (Anhang V) und die technische Dokumentation (Anhang VII) als fertiges PDF: das Werkzeug assembliert die laufend gepflegte Evidenz - Versionen, Stückliste, Schwachstellen- und VEX-Stand - und der Hersteller ergänzt nur die beschreibenden Teile. Dieser Beitrag zeigt, wie der DoC- und der Tech-Doc-Generator arbeiten und wo bewusst die Verantwortung beim Hersteller bleibt.

Problem

Die CRA-Hauptpflichten ab dem 11. Dezember 2027 verlangen zwei umfangreiche Dokumente: die EU-Konformitätserklärung nach Anhang V und die technische Dokumentation nach Anhang VII. Wer das von Hand macht, sucht die nötigen Angaben aus mehreren Quellen zusammen - Software-Stückliste, bekannte Schwachstellen und deren Bewertung, Versions- und Auslieferungsdaten, angewandte Normen - und gießt sie in eine Vorlage. Das ist fehleranfällig, und es muss bei jeder neuen Version nachgezogen werden. Vor allem: Die technische Dokumentation muss konsistent zur tatsächlich ausgelieferten Evidenz sein. Eine handgepflegte Word-Datei driftet davon ab.

Kurze Antwort

Dernium CRA-Nachweis hat dafür zwei Generatoren im Portal: einen Assistenten für die EU-Konformitätserklärung (Anhang V) und einen Export der technischen Dokumentation (Anhang VII). Beide bauen auf der Evidenz auf, die im CRA-Nachweis ohnehin laufend entsteht. Sie füllen die Pflichtstruktur vor und erzeugen ein PDF mit Ihrem Hersteller-Briefkopf. Was sich nicht aus Daten ableiten lässt - Verwendungszweck, Design- und Architekturbeschreibung, Cybersicherheits-Risikobewertung, der Prozess der Schwachstellenbehandlung - ergänzen Sie selbst; leer gelassene Pflichtteile erscheinen im PDF sichtbar als "zu ergänzen", damit nichts übersehen wird. Dernium stellt nichts in Ihrem Namen aus und gibt keine Konformitätsbewertung ab.

Tiefgang

EU-Konformitätserklärung (Anhang V). Sie pflegen die strukturierten Pflichtangaben: Hersteller und Anschrift, Produktidentifikation, angewandte Normen, das gewählte Konformitätsbewertungsverfahren, optional eine notifizierte Stelle, sowie Ort, Datum und Unterzeichner. Daraus entsteht ein PDF mit Ihrem Briefkopf, der vorgeschriebenen Alleinverantwortungs-Erklärung und einer Normen-Tabelle. Das Dokument ist das des Herstellers; Dernium erscheint nur als dezenter Werkzeug-Vermerk im Fuß.

Technische Dokumentation (Anhang VII). Hier liegt der eigentliche Hebel: Das meiste wird automatisch assembliert. Der Export zieht Ihre Versionen samt Veröffentlichungs- und Inverkehrbringen-Datum, die Zusammenfassung der Stückliste und die Stückliste der aktuellsten Version, den offenen, VEX-bereinigten Schwachstellen-Stand sowie den Bezug zur EU-Konformitätserklärung (Briefkopf, Normen und Unterzeichner stammen von dort). Sie ergänzen nur die beschreibenden Abschnitte. So bleibt die Dokumentation konsistent zur echten Evidenz, ohne dass Sie Datenstände manuell synchronisieren.

Maschinenlesbare Stückliste. Die vollständige SBOM (CycloneDX/SPDX) je Version lässt sich herunterladen; die technische Dokumentation verweist darauf. Der byte-genaue Integritäts-Anker bleibt der gespeicherte Hash der eingereichten Stückliste.

Abgelehnte Alternativen

Handgepflegte Word-Vorlagen. Driften von der tatsächlichen Evidenz ab und haben keinen revisionssicheren Bezug zu dem, was wann ausgeliefert wurde.
Generische Dokumentengeneratoren. Kennen weder die Anhang-V/VII-Struktur noch Ihre konkrete Stückliste und Ihren Schwachstellen-Stand und müssten von Hand befüllt werden.
"Wir stellen die Erklärung für Sie aus". Bewusst nicht: Das Ausstellen der Erklärung, die Konformitätsbewertung und die CE-Kennzeichnung sind Herstellerpflichten. Eine Stellvertretung wäre haftungs- und RDG-kritisch.

Wie Dernium hilft

Pflegen Sie Produkt, Versionen und Stückliste laufend im CRA-Nachweis - daraus fallen die EU-Konformitätserklärung und die technische Dokumentation als PDF ab. Eine Erklärschicht im Portal benennt zu jedem Feld, was es bedeutet, und ein klarer Hinweis trennt, was wir automatisch beisteuern von dem, was Sie als Hersteller ergänzen. So sinkt der Aufwand zum Stichtag, ohne dass die Verantwortung verschwimmt.

Offene Punkte

Die Konformitätsbewertung, die Unterschrift unter der Erklärung und die CE-Kennzeichnung bleiben Ihre Aufgabe als Hersteller. Das erzeugte PDF ist eine Aufbereitung Ihrer Angaben und Nachweise, keine Konformitätsaussage von Dernium und keine Rechtsberatung.
Das Hosten Ihrer Schwachstellen-Offenlegung (Coordinated Vulnerability Disclosure, security.txt) ist in Vorbereitung.

Verifikation

Die rechtlichen Anker sind im CRA-Volltext nachlesbar; die technische Dokumentation richtet sich nach Anhang VII (Artikel 31), die Konformitätserklärung nach Anhang V.

Mehr aus unserer CRA-Reihe

Redaktioneller Hinweis

Die Inhalte dieses TechTalks wurden nach bestem Wissen und Gewissen erstellt und aufwendig recherchiert. Sie stellen grundsätzlich nur den Stand zum Zeitpunkt der redaktionellen Veröffentlichung dar. Sollte es wichtige Änderungen geben, verlinken wir kurze Aktualisierungsartikel zumeist direkt aus den Bezugsartikeln heraus; für ein vollständiges Bild sollten dann alle zusammengehörigen Artikel gelesen werden.

Wir bitten von konkreten Anfragen zu unseren Artikeln abzusehen (Ausnahme: Hinweise auf Fehler, die korrigiert werden sollten), da wir zu den hier aufgegriffenen Themen keine Beratungsleistungen anbieten können, insbesondere keine juristischen. Inwiefern Dernium Produkte in den hier beschriebenen Kontexten helfen können, ist in den Artikeln jeweils kurz umrissen, aber typischerweise nicht der Fokus dieser allgemeinen Informationsartikel.