CRA-Konformitätsnachweise ab 11.12.2027: EU-Konformitätserklärung (Anhang V), technische Doku (Anhang VII) und CE
Ab dem 11. Dezember 2027 greifen die CRA-Hauptpflichten: EU-Konformitätserklärung nach Anhang V, technische Dokumentation nach Anhang VII und CE-Kennzeichnung nach einer Konformitätsbewertung. Dieser Beitrag erklärt, was Hersteller dafür brauchen, warum die nötige Evidenz schon heute aufgebaut werden muss und wie Dernium dabei assistiert, ohne die Erklärung im Namen des Herstellers auszustellen.
Inhalt dieses Beitrags
- Problem
- Kurze Antwort
- Tiefgang
- Warum gerade der 11. Dezember 2027 zählt
- Die EU-Konformitätserklärung nach Anhang V
- Die technische Dokumentation nach Anhang VII (Artikel 31)
- Warum die Evidenz nicht auf Knopfdruck entsteht
- Was Konformitätsbewertung und CE bedeuten
- Abgelehnte Alternativen
- Was Sie jetzt tun sollten
- Wie Dernium hier hilft
- Offene Punkte
- Häufige Fragen
- Warum kann ich die Dokumentation nicht einfach Ende 2027 erstellen?
- Was ist eine SBOM und warum ist sie Pflicht?
- Brauche ich eine notifizierte Stelle, oder reicht eine Selbstbewertung?
- Kann ein Dienstleister die Konformitätserklärung für mich ausstellen?
- Verifikation
- Mehr aus unserer CRA-Reihe
Problem
Ende 2027 klingt weit weg, bis Sie merken, dass ein Teil der dann fälligen Nachweise rückwirkend über Ihre ganze Entwicklung mitgelaufen sein muss. Der Cyber Resilience Act (Verordnung (EU) 2024/2847) staffelt seine Pflichten. Die Meldepflicht nach Artikel 14 gilt ab dem 11. September 2026, die Hauptpflichten erst ab dem 11. Dezember 2027: Wer ab diesem Tag ein Produkt mit digitalen Elementen in der EU in Verkehr bringt, muss eine EU-Konformitätserklärung ausstellen, die technische Dokumentation zusammengestellt und die CE-Kennzeichnung angebracht haben - jeweils nach einer Konformitätsbewertung. Das klingt nach viel Zeit. Der Haken: Ein wesentlicher Teil dieser Dokumentation ist keine Momentaufnahme, sondern eine Historie, die über Monate und Jahre entsteht. Wer erst Ende 2027 anfängt, kann fehlende Nachweise für zurückliegende Versionen nicht nachholen.
Für wen ist das? Für Hersteller, die ihre CRA-Konformität und technische Dokumentation vorbereiten.
Kurze Antwort
Zum 11. Dezember 2027 brauchen Hersteller drei ineinandergreifende Dinge, und ein Teil davon lässt sich nicht rückwirkend erzeugen. Im Überblick:
- EU-Konformitätserklärung nach Anhang V: die Selbsterklärung, dass das Produkt die CRA-Anforderungen erfüllt.
- Technische Dokumentation nach Anhang VII (Artikel 31): das Beweismaterial dahinter, darunter die Software-Stückliste (SBOM, eine Liste aller verbauten Software-Bestandteile).
- CE-Kennzeichnung: das CE-Zeichen, mit dem das Produkt in der EU verkehrsfähig wird, gestützt auf eine Konformitätsbewertung.
- Der zeitabhängige Kern: der Nachweis, welche Version wann mit welchen bekannten Schwachstellen ausgeliefert wurde - eine Spur, die mit der Zeit wächst und nicht nachholbar ist.
- Aufgabenteilung: Dernium CRA baut diese Evidenz schon heute revisionssicher auf und bereitet zwei Bausteine vor (Assistent für die Konformitätserklärung, Export in die Anhang-VII-Struktur). Erklärung, Konformitätsbewertung und CE bleiben bei Ihnen.
Anhang V und VII sind benannte Teile der Verordnung.
Tiefgang
Warum gerade der 11. Dezember 2027 zählt
Der CRA ist am 10. Dezember 2024 in Kraft getreten; die Staffelung steht in Artikel 71 (Meldepflicht nach Artikel 14 ab dem 11. September 2026, übrige Hersteller-Pflichten ab dem 11. Dezember 2027). Entscheidend ist die Lesart des Stichtags: Er ist der Tag, an dem die Dokumentation vorliegen muss - nicht der Tag, an dem man mit ihr anfängt.
Die EU-Konformitätserklärung nach Anhang V
Anhang V legt fest, was die Erklärung mindestens enthalten muss: die eindeutig rückverfolgbare Identifikation des Produkts oder Modells; Name und Anschrift des Herstellers oder seines Bevollmächtigten; die ausdrückliche Angabe, dass die Erklärung unter alleiniger Verantwortung des Herstellers ausgestellt wird; die Bestätigung, dass das Produkt mit dieser Verordnung und gegebenenfalls weiteren einschlägigen EU-Rechtsakten übereinstimmt; die angewandten harmonisierten Normen, gemeinsamen Spezifikationen oder Zertifizierungen; gegebenenfalls Name und Nummer der notifizierten Stelle samt Verfahren und Bescheinigung; sowie Ort und Datum der Ausstellung und Name, Funktion und Unterschrift der zeichnenden Person.
Die technische Dokumentation nach Anhang VII (Artikel 31)
Artikel 31 verweist auf Anhang VII und verlangt als Beweismaterial unter anderem: eine allgemeine Beschreibung des Produkts samt Verwendungszweck und Versionen; eine Beschreibung der Konzeptions-, Entwicklungs-, Produktions- und Schwachstellenbehandlungsprozesse, einschließlich der Software-Stückliste (SBOM) und des Verfahrens für sichere Updates; eine Bewertung der Cybersicherheitsrisiken als Nachweis, dass die grundlegenden Anforderungen aus Anhang I erfüllt sind; Angaben zum Support-Zeitraum; eine Liste der angewandten Normen; die Prüfberichte; und eine Kopie der EU-Konformitätserklärung. Ein Teil ist Stand der Technik zum Stichtag, der andere die historische Spur über alle ausgelieferten Versionen.
Warum die Evidenz nicht auf Knopfdruck entsteht
Die SBOM einer aktuellen Version lässt sich kurzfristig erzeugen. Nicht nachholen lässt sich dagegen die rückblickende Aussage, welche Komponenten eine vor zwölf Monaten ausgelieferte Version enthielt, welche Schwachstellen damals bekannt waren und wann eine Korrektur folgte. Diese Historie ist der aufwendige, zeitabhängige Teil der Dokumentation. Wer sie ab heute laufend führt, hat zum 11. Dezember 2027 eine durchgehende Spur; wer erst kurz vorher beginnt, eine Lücke, die sich nicht mehr schließen lässt.
Was Konformitätsbewertung und CE bedeuten
Die CE-Kennzeichnung darf erst nach durchlaufener Konformitätsbewertung angebracht werden. Für die meisten Produkte ist das eine interne Selbstbewertung des Herstellers; für bestimmte kritische Produktklassen ist eine notifizierte Stelle (eine offiziell zugelassene Prüfstelle) einzubinden. Welche Route gilt, entscheiden Sie anhand der Produktklassifizierung des CRA. Diese Einordnung und die Bewertung sind originäre Hersteller-Aufgaben, die ein Werkzeug nicht abnehmen kann.
Abgelehnte Alternativen
Bis kurz vor dem Stichtag zu warten und alles in einem Rutsch zu erstellen, ist keine Option: Die zeitabhängige Historie lässt sich nicht rückwirkend erzeugen. Ebenso wenig trägt der Gedanke, einen Dienstleister die Erklärung im eigenen Namen ausstellen zu lassen: Sie ist ausdrücklich unter der alleinigen Verantwortung des Herstellers auszustellen, und die CE-Kennzeichnung knüpft an eine vom Hersteller verantwortete Konformitätsbewertung an. Sinnvoll ist, die Evidenz von heute an laufend und revisionssicher aufzubauen und zum Stichtag nur noch zusammenzuführen.
Was Sie jetzt tun sollten
- Produkte einordnen: Klären Sie, welche Ihrer Produkte unter den CRA fallen (Produkte mit digitalen Elementen) und in welche Produktklasse sie gehören - das entscheidet, ob eine notifizierte Stelle nötig wird.
- SBOM-Pflege starten: Erzeugen Sie ab sofort für jede ausgelieferte Version eine Software-Stückliste und archivieren Sie sie revisionssicher (manipulationssicher und mit Zeitstempel), damit die Historie lückenlos beginnt.
- Schwachstellen-Abgleich einrichten: Gleichen Sie die verbauten Komponenten laufend gegen eine Schwachstellen-Datenbank ab und halten Sie fest, wann eine Schwachstelle bekannt wurde und wann sie behoben war.
- Eigene Hersteller-Teile vorbereiten: Beginnen Sie mit Risikobewertung, Support-Zeitraum-Festlegung und Prüfberichten - das sind Ihre Aufgaben, die kein Werkzeug abnimmt.
- Normen-Stand verfolgen: Beobachten Sie die harmonisierten Normen, die für die Vermutungswirkung der Konformität herangezogen werden, und richten Sie Ihre Dokumentation daran aus, sobald sie verbindlich vorliegen.
Wie Dernium hier hilft
Dernium CRA versteht sich bei der CRA-Dokumentation ausdrücklich als Assistenz, nicht als Konformitätsbewertung und nicht als Rechtsberatung. Wir liefern die laufend gepflegten Evidenz-Bausteine: die Software-Stückliste je Version aus Ihrem Artefakt oder Ihrer SBOM, den fortlaufenden Abgleich gegen die offene Schwachstellen-Datenbank OSV (Open Source Vulnerabilities), die VEX-Bewertung je Schwachstelle (Vulnerability Exploitability eXchange; sie dokumentiert, ob eine gefundene Schwachstelle Ihr Produkt tatsächlich betrifft) und vor allem die revisionssichere, unveränderliche Historie, welche Version wann mit welchem Stand ausgeliefert wurde - der zeitabhängige Kern der technischen Dokumentation nach Anhang VII. Zwei vorbereitete Bausteine - der Assistent für die EU-Konformitätserklärung und der Export in die Anhang-VII-Struktur - befüllen die Dokumente mit dieser Evidenz vor. Die Erklärung stellen wir nicht in Ihrem Namen aus; Konformitätsbewertung, CE-Kennzeichnung sowie Ihre eigenen Teile der Dokumentation - etwa Risikobewertung und Prüfberichte - bleiben in Ihrer Verantwortung als Hersteller.
Offene Punkte
Einige Punkte präzisieren sich erst über harmonisierte Normen und Leitlinien - etwa welche Normen für die Vermutungswirkung der Konformität herangezogen werden können und wie die Produktklassifizierung im Einzelfall die Bewertungsroute bestimmt. Wir verfolgen den Stand laufend und richten die Bausteine daran aus, sobald die Vorgaben verbindlich vorliegen. Das Grundprinzip ändert sich nicht: Die Verantwortung für Erklärung, Konformitätsbewertung und CE-Kennzeichnung bleibt bei Ihnen. Dernium CRA baut die Evidenz dafür auf und bereitet die Dokumente vor.
Häufige Fragen
Warum kann ich die Dokumentation nicht einfach Ende 2027 erstellen?
Weil ein Teil der Dokumentation eine Historie ist, keine Momentaufnahme. Die technische Dokumentation nach Anhang VII verlangt unter anderem den Nachweis, welche Version wann mit welchen Komponenten und welchen bekannten Schwachstellen ausgeliefert wurde. Diese rückblickende Aussage lässt sich für vergangene Versionen nicht nachträglich erzeugen - wer erst kurz vor dem Stichtag beginnt, hat eine Lücke, die er nicht mehr schließen kann. Den aktuellen Stand können Sie kurzfristig dokumentieren, die Vergangenheit nicht.
Was ist eine SBOM und warum ist sie Pflicht?
SBOM steht für Software Bill of Materials, also eine Software-Stückliste: eine maschinenlesbare Aufstellung aller Bestandteile, aus denen Ihre Software zusammengesetzt ist, samt Versionen. Der CRA verlangt sie als Teil der technischen Dokumentation, weil sich nur damit nachvollziehen lässt, ob eine später bekannt gewordene Schwachstelle Ihr Produkt betrifft. Ohne SBOM wissen Sie im Zweifel nicht, welche Ihrer Versionen eine verwundbare Komponente enthielt.
Brauche ich eine notifizierte Stelle, oder reicht eine Selbstbewertung?
Das hängt von der Produktklasse ab. Für die meisten Produkte mit digitalen Elementen genügt eine interne Selbstbewertung des Herstellers. Für bestimmte als kritisch eingestufte Produktklassen muss eine notifizierte Stelle - eine offiziell zugelassene Prüfstelle - eingebunden werden. Welche Route für Ihr Produkt gilt, entscheiden Sie anhand der Produktklassifizierung des CRA; diese Einordnung ist Ihre Aufgabe als Hersteller.
Kann ein Dienstleister die Konformitätserklärung für mich ausstellen?
Nein. Anhang V verlangt ausdrücklich, dass die Erklärung unter der alleinigen Verantwortung des Herstellers ausgestellt wird, und die CE-Kennzeichnung knüpft an eine vom Hersteller verantwortete Konformitätsbewertung an. Ein Dienstleister oder Werkzeug kann Sie unterstützen, die Evidenz aufbauen und die Dokumente vorbereiten, aber die Erklärung und ihre Verantwortung bleiben bei Ihnen.
Verifikation
- Cyber Resilience Act, Volltext auf EUR-Lex (Verordnung (EU) 2024/2847): Artikel 71 (gestaffelte Geltung), Artikel 31 und Anhang VII (technische Dokumentation), Anhang V (EU-Konformitätserklärung).
- EU-Kommission, Cyber Resilience Act (Übersicht): Geltungsbeginn der Hauptpflichten und Einordnung von Konformitätsbewertung und CE-Kennzeichnung.
- BSI, Technische Richtlinie TR-03183 (Cyber Resilience Requirements for Manufacturers and Products): Umsetzungshilfe der zuständigen deutschen Aufsichtsbehörde, insbesondere zu SBOM und Schwachstellenbehandlung.
Mehr aus unserer CRA-Reihe
- Cyber Resilience Act: Überblick für Softwarehersteller
- SBOM und Sigstore: Herkunftsnachweis für Software-Artefakte
- CRA-Meldepflicht: Schwachstellen und Vorfälle an CSIRT und ENISA (ab 2026)
- DoC- und Tech-Doc-Generator im CRA-Nachweis
- Coordinated Vulnerability Disclosure: Policy, security.txt und CSAF
- Schwachstellen über den Support-Zeitraum behandeln: Fristen-Uhr und Behebungs-Lebenslauf
- Konformitätsbewertung nach CRA: welcher Pfad für welches Produkt (Art. 32)
- CRA Anhang II: Nutzerinformationen und Anleitungen als PDF
- Die CRA-Risikobewertung (Art. 13): welche Anforderungen für Ihr Produkt gelten
- Drittkomponenten nach CRA: Sorgfaltspflicht für Fremd- und Open-Source-Bausteine (Art. 13 Abs. 5)
- CRA-Readiness auf einen Blick: das Dashboard über alle Bausteine
- Wesentliche Veränderung nach CRA: wann eine neue Version neu bewertet werden muss (Art. 3 Nr. 30)
- Die notifizierte Stelle nach CRA: wann eine Dritt-Prüfung nötig ist und was sie braucht (Art. 32)
- Dernium CRA: ein Werkzeug für den gesamten Cyber Resilience Act