CRA-Konformitätsnachweise ab 11.12.2027: EU-Konformitätserklärung (Anhang V), technische Doku (Anhang VII) und CE

9. April 2026 5 Min Lesezeit Serie: compliance #compliance #cra #konformitaet #ce #doc #annex

Ab dem 11. Dezember 2027 greifen die CRA-Hauptpflichten: EU-Konformitätserklärung nach Anhang V, technische Dokumentation nach Anhang VII und CE-Kennzeichnung nach einer Konformitätsbewertung. Dieser Beitrag erklärt, was Hersteller dafür brauchen, warum die nötige Evidenz schon heute aufgebaut werden muss und wie Dernium dabei assistiert, ohne die Erklärung im Namen des Herstellers auszustellen.

Problem

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) staffelt seine Pflichten. Die Meldepflicht nach Artikel 14 gilt schon ab dem 11. September 2026 und ist damit die erste feste Frist. Die eigentlichen Hauptpflichten greifen aber erst ab dem 11. Dezember 2027: Wer ab diesem Tag ein Produkt mit digitalen Elementen in der EU in Verkehr bringt, muss eine EU-Konformitätserklärung ausstellen, die technische Dokumentation zusammengestellt haben und die CE-Kennzeichnung angebracht haben, jeweils nach einer Konformitätsbewertung. Das wirkt nach viel Zeit. Der Haken: Ein wesentlicher Teil der technischen Dokumentation ist keine Momentaufnahme, sondern eine Historie, die über Monate und Jahre entsteht. Wer erst Ende 2027 anfängt, kann fehlende Nachweise für zurückliegende Versionen nicht rückwirkend erzeugen.

Kurze Antwort

Zum 11. Dezember 2027 brauchen Hersteller drei Dinge, die ineinandergreifen: eine EU-Konformitätserklärung nach Anhang V, eine technische Dokumentation nach Anhang VII (Artikel 31) und die darauf gestützte CE-Kennzeichnung. Die technische Dokumentation enthält unter anderem die Software-Stückliste (SBOM), die Beschreibung des Schwachstellenbehandlungsprozesses, die Angaben zum Support-Zeitraum und den Nachweis, welche Version wann mit welchen bekannten Schwachstellen ausgeliefert wurde. Genau diese Nachweise wachsen über die Zeit. Dernium baut diese Evidenz schon heute revisionssicher auf und bereitet zwei Bausteine vor, die rechtzeitig vor dem Stichtag dazukommen: einen Assistenten für die Konformitätserklärung und einen Export, der die Evidenz in die Anhang-VII-Struktur einsortiert. Die Erklärung selbst, die Konformitätsbewertung und die CE-Kennzeichnung bleiben in der Verantwortung des Herstellers.

Tiefgang

Warum gerade der 11. Dezember 2027 zählt

Der CRA ist am 10. Dezember 2024 in Kraft getreten, die Pflichten greifen jedoch gestaffelt. Nach Artikel 71 gilt die Meldepflicht nach Artikel 14 ab dem 11. September 2026, die übrigen Hersteller-Pflichten inklusive Konformitätserklärung, technischer Dokumentation und CE-Kennzeichnung ab dem 11. Dezember 2027. Ab diesem Tag darf ein Produkt mit digitalen Elementen ohne diese Nachweise nicht mehr in Verkehr gebracht werden. Der 11. Dezember 2027 ist damit der Tag, an dem die vollständige Dokumentation vorliegen muss, nicht der Tag, an dem man mit ihr anfängt.

Die EU-Konformitätserklärung nach Anhang V

Die Konformitätserklärung ist das Dokument, mit dem der Hersteller in eigener Verantwortung erklärt, dass sein Produkt die Anforderungen des CRA erfüllt. Anhang V legt fest, was sie mindestens enthalten muss: die Identifikation des Produkts beziehungsweise Modells, die eine eindeutige Rückverfolgung erlaubt; Name und Anschrift des Herstellers oder seines Bevollmächtigten; die ausdrückliche Angabe, dass die Erklärung unter der alleinigen Verantwortung des Herstellers ausgestellt wird; die Erklärung, dass das Produkt mit dieser Verordnung und gegebenenfalls weiteren einschlägigen EU-Rechtsakten übereinstimmt; die Angabe der angewandten harmonisierten Normen, gemeinsamen Spezifikationen oder Zertifizierungen; gegebenenfalls Name und Nummer der notifizierten Stelle samt Verfahren und Bescheinigung; sowie Ort und Datum der Ausstellung und Name, Funktion und Unterschrift der zeichnenden Person.

Die technische Dokumentation nach Anhang VII (Artikel 31)

Die technische Dokumentation ist das Beweismaterial hinter der Erklärung. Artikel 31 verweist auf Anhang VII und verlangt unter anderem: eine allgemeine Beschreibung des Produkts samt Verwendungszweck und Versionen; eine Beschreibung der Konzeptions-, Entwicklungs-, Produktions- und Schwachstellenbehandlungsprozesse, einschließlich der Software-Stückliste (SBOM) und des Verfahrens für sichere Updates; eine Bewertung der Cybersicherheitsrisiken als Nachweis, dass die grundlegenden Anforderungen aus Anhang I erfüllt sind; Angaben zum Support-Zeitraum; eine Liste der angewandten Normen; die Prüfberichte; und eine Kopie der EU-Konformitätserklärung. Ein Teil davon ist Stand der Technik zum Stichtag, ein anderer Teil ist die historische Spur über alle ausgelieferten Versionen.

Warum die Evidenz nicht auf Knopfdruck entsteht

Die SBOM einer einzelnen aktuellen Version lässt sich kurzfristig erzeugen. Was sich nicht nachholen lässt, ist die Aussage, welche Komponenten in einer vor zwölf Monaten ausgelieferten Version steckten, welche Schwachstellen damals bekannt waren, wie sie bewertet wurden und wann eine Korrektur folgte. Diese Versions- und Schwachstellen-Historie ist der aufwendige, zeitabhängige Teil der technischen Dokumentation. Wer sie ab heute laufend führt, hat zum 11. Dezember 2027 eine lückenlose Spur. Wer erst kurz vorher beginnt, hat eine Lücke, die sich nicht mehr schließen lässt.

Was Konformitätsbewertung und CE bedeuten

Die CE-Kennzeichnung darf erst angebracht werden, nachdem eine Konformitätsbewertung durchlaufen wurde. Für die meisten Produkte ist das eine interne Selbstbewertung des Herstellers, für bestimmte kritische Produktklassen ist eine notifizierte Stelle einzubinden. Welche Bewertungsroute gilt, entscheidet der Hersteller anhand der Produktklassifizierung des CRA. Diese Einordnung und die Bewertung selbst sind originäre Hersteller-Aufgaben und keine Leistung, die ein Werkzeug abnehmen kann.

Abgelehnte Alternativen

Bis kurz vor dem Stichtag zu warten und die Dokumentation dann in einem Rutsch zu erstellen, ist keine tragfähige Option: Die zeitabhängige Versions- und Schwachstellen-Historie lässt sich nicht rückwirkend erzeugen. Ebenso wenig trägt der Gedanke, einen Dienstleister die Konformitätserklärung im eigenen Namen ausstellen zu lassen: Die Erklärung ist ausdrücklich unter der alleinigen Verantwortung des Herstellers auszustellen, und die CE-Kennzeichnung knüpft an eine vom Hersteller verantwortete Konformitätsbewertung an. Sinnvoll ist, die Evidenz von heute an laufend und revisionssicher aufzubauen und die Dokumentenerstellung zum Stichtag nur noch zusammenzuführen, statt sie aus dem Nichts zu rekonstruieren.

Wie Dernium hier hilft

Dernium versteht sich bei der CRA-Dokumentation ausdrücklich als Assistenz, nicht als Konformitätsbewertung und nicht als Rechtsberatung. Wir liefern die laufend gepflegten Evidenz-Bausteine: die Software-Stückliste je Version aus Ihrem hochgeladenen Artefakt oder Ihrer eingereichten SBOM, den fortlaufenden Schwachstellen-Abgleich gegen OSV, die VEX-Bewertung je Schwachstelle und vor allem die revisionssichere, unveränderliche Historie, welche Version wann mit welchem Stand ausgeliefert wurde. Das ist genau der zeitabhängige Kern der technischen Dokumentation nach Anhang VII, und er wächst ab dem Tag, an dem Sie beginnen. In Vorbereitung sind zwei Bausteine, die rechtzeitig vor dem 11. Dezember 2027 dazukommen: ein Assistent für die EU-Konformitätserklärung, der das Formular nach Anhang V vorbereitet und mit den rückverfolgbaren Produkt- und Versionsangaben vorbefüllt, sowie ein Export, der Ihre laufend gepflegte Evidenz in die Struktur der technischen Dokumentation nach Anhang VII einsortiert. Beide bereiten auf und nehmen Ihnen Fleißarbeit ab. Die Erklärung stellen wir nicht in Ihrem Namen aus; die Konformitätsbewertung, die CE-Kennzeichnung sowie Ihre eigenen Teile der Dokumentation, etwa die Risikobewertung und die Prüfberichte, bleiben in Ihrer Verantwortung als Hersteller.

Offene Punkte

Zur konkreten Ausgestaltung der CRA-Hauptpflichten präzisieren sich einige Punkte erst über harmonisierte Normen und Leitlinien weiter, etwa welche Normen für die Vermutungswirkung der Konformität herangezogen werden können und wie die Produktklassifizierung im Einzelfall die Bewertungsroute bestimmt. Wir verfolgen den Stand laufend und richten die in Vorbereitung befindlichen Bausteine für Konformitätserklärung und technische Dokumentation daran aus, sobald die Vorgaben verbindlich vorliegen. Was sich nicht ändern wird, ist das Grundprinzip: Die Verantwortung für die Erklärung, die Konformitätsbewertung und die CE-Kennzeichnung bleibt beim Hersteller. Dernium baut die Evidenz dafür auf und bereitet die Dokumente vor, mehr nicht und nicht weniger.

Verifikation

Cyber Resilience Act, Volltext auf EUR-Lex (Verordnung (EU) 2024/2847): Artikel 71 (gestaffelte Geltung), Artikel 31 und Anhang VII (technische Dokumentation), Anhang V (EU-Konformitätserklärung).
EU-Kommission, Cyber Resilience Act (Übersicht): Geltungsbeginn der Hauptpflichten und Einordnung von Konformitätsbewertung und CE-Kennzeichnung.
BSI, Technische Richtlinie TR-03183 (Cyber Resilience Requirements for Manufacturers and Products): Umsetzungshilfe der zuständigen deutschen Aufsichtsbehörde, insbesondere zu SBOM und Schwachstellenbehandlung.

Mehr aus unserer CRA-Reihe

Redaktioneller Hinweis

Die Inhalte dieses TechTalks wurden nach bestem Wissen und Gewissen erstellt und aufwendig recherchiert. Sie stellen grundsätzlich nur den Stand zum Zeitpunkt der redaktionellen Veröffentlichung dar. Sollte es wichtige Änderungen geben, verlinken wir kurze Aktualisierungsartikel zumeist direkt aus den Bezugsartikeln heraus; für ein vollständiges Bild sollten dann alle zusammengehörigen Artikel gelesen werden.

Wir bitten von konkreten Anfragen zu unseren Artikeln abzusehen (Ausnahme: Hinweise auf Fehler, die korrigiert werden sollten), da wir zu den hier aufgegriffenen Themen keine Beratungsleistungen anbieten können, insbesondere keine juristischen. Inwiefern Dernium Produkte in den hier beschriebenen Kontexten helfen können, ist in den Artikeln jeweils kurz umrissen, aber typischerweise nicht der Fokus dieser allgemeinen Informationsartikel.