Bild: Generiert mit Gemini Flash

CRA Anhang II: die Nutzerinformationen, die Ihrem Produkt beiliegen müssen

Der Cyber Resilience Act verlangt, dass jedem Produkt strukturierte Informationen und Anleitungen für die Nutzer beiliegen (Anhang II) - neun feste Punkte von Hersteller-Kontakt über Support-Ende bis zu Update- und Außerbetriebnahme-Anleitungen. Dernium CRA-Nachweis hat dafür einen Generator: Sie füllen die Punkte aus, wiederkehrende Angaben kommen aus dem, was Sie ohnehin pflegen, leere Pflichtteile erscheinen sichtbar als „zu ergänzen", und heraus fällt ein PDF mit Ihrem Briefkopf. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Abgelehnte Alternativen
  5. Verifikation
  6. Was Sie jetzt tun sollten
  7. Wie Dernium hilft
  8. Offene Punkte
  9. Häufige Fragen
  10. Was sind die Nutzerinformationen nach Anhang II?
  11. Reicht ein normales Handbuch oder README aus?
  12. Tritt Dernium als Aussteller der Beilage auf?
  13. Was bedeutet "sichere Außerbetriebnahme" in den Anleitungen?
  14. Mehr aus unserer CRA-Reihe

Problem

Die Sicherheit steckt im Produkt, aber der CRA prüft auch, was Ihrem Produkt beiliegt: neun Pflichtangaben, an die im Alltag niemand denkt, bis eine davon fehlt. Der Cyber Resilience Act verlangt nicht nur Sicherheit im Produkt, sondern auch klare Informationen und Anleitungen für die Nutzer - die Nutzerinformationen nach Anhang II (die gesetzliche Pflichtangaben-Liste). Eine eigene Pflicht mit neun festen Punkten: Hersteller-Kontakt, Meldestelle für Schwachstellen, Produktidentifikation, Verwendungszweck und Sicherheitseigenschaften, bekannte Risiken, Fundstelle der EU-Konformitätserklärung, Art und Enddatum des Supports, detaillierte Anleitungen (Inbetriebnahme, Updates, sichere Außerbetriebnahme u.a.) sowie Bezugsort der Software-Stückliste (SBOM, die Liste aller verbauten Software-Bausteine). Als formloses README (eine formlose Begleitdatei) übersieht man leicht Punkte - die fehlen dann im Prüffall.

Für wen ist das? Für Hersteller, die die CRA-Pflicht-Nutzerinformationen erstellen müssen.

Kurze Antwort

Dernium CRA hat dafür einen Generator. Im Kern:

  • Neun feste Felder: Sie füllen die neun Anhang-II-Punkte strukturiert aus, in der Reihenfolge des Gesetzestextes.
  • Sichtbare Lücken: Leere Pflichtteile erscheinen im PDF deutlich als "zu ergänzen", statt still zu fehlen.
  • Eine Quelle je Angabe: Wiederkehrendes übernimmt das Werkzeug aus dem, was Sie ohnehin pflegen - der Hersteller-Kontakt (solange leer) aus Ihrer EU-Konformitätserklärung, das Support-Enddatum aus der Support-Verwaltung.
  • Ihr Dokument: Heraus fällt ein PDF mit Ihrem Briefkopf; Dernium erscheint nur als dezenter Werkzeug-Vermerk.
  • Assist-only: Dernium stellt nichts in Ihrem Namen aus und gibt keine Konformitätsbewertung ab; Inhalt und Verantwortung bleiben bei Ihnen.

Tiefgang

Die neun Anhang-II-Punkte werden zu einem strukturierten PDF mit Ihrem Briefkopf, in dem offene Pflichtteile sichtbar markiert sind.
Die neun Anhang-II-Punkte werden zu einem strukturierten PDF mit Ihrem Briefkopf, in dem offene Pflichtteile sichtbar markiert sind.

Die neun Punkte als feste Struktur. Das Formular bildet Anhang II ab: (1) Hersteller, (2) zentrale Meldestelle für Schwachstellen samt Fundort der Offenlegungs-Richtlinie, (3) Produktidentifikation, (4) Verwendungszweck, Sicherheitsumgebung und wesentliche Sicherheitseigenschaften, (5) bekannte und vorhersehbare Risiken, (6) Internetadresse der Konformitätserklärung, (7) Art und Enddatum des Supports, (8) detaillierte Anleitungen, Unterpunkte a bis f (Inbetriebnahme, Auswirkung von Änderungen auf die Datensicherheit, Update-Installation, sichere Außerbetriebnahme samt Datenlöschung, Abschalten automatischer Updates, Hinweise für Integratoren), und (9) Bezugsort der Stückliste. Die PDF-Nummerierung folgt dem Gesetzestext.

Ein Dokument von Ihnen, nicht von Dernium. Wie die EU-Konformitätserklärung trägt die Beilage Ihren Briefkopf; Dernium erscheint nur als dezenter Werkzeug-Vermerk im Fuß. Sie geht mit dem Produkt an die Nutzer - als Ihre.

Eine Quelle je Angabe. Dieselbe Angabe an zwei Stellen läuft leicht auseinander. Deshalb wird das Support-Enddatum (Nr. 7) nicht erneut erfasst, sondern aus der Support-Verwaltung gezogen; ändert es sich dort, stimmt es auch hier. Ebenso der Hersteller-Kontakt aus der Konformitätserklärung - einmal gepflegt.

Sichtbare Lücken statt stiller. Ein offener Pflichtpunkt steht im PDF deutlich als "zu ergänzen". So sehen Sie beim Korrekturlesen, was vor Auslieferung fehlt.

Abgelehnte Alternativen

  • Formloses README/Handbuch. Erfüllt die Punkte vielleicht zufällig, aber ohne Struktur fehlt der Nachweis, dass alle neun Anhang-II-Angaben enthalten sind.
  • Hersteller-Kontakt und Support-Ende erneut eintippen. Doppelte Pflege läuft auseinander; wir ziehen beides aus der Quelle.
  • "Wir erstellen die Beilage für Sie". Bewusst nicht: die Richtigkeit der Anleitungen ist Herstellerwissen und -pflicht. Eine Stellvertretung wäre haftungs- und RDG-kritisch (das Rechtsdienstleistungsgesetz beschränkt, wer fremde Rechtsangelegenheiten besorgen darf).

Verifikation

Die Pflicht, dem Produkt Informationen und Anleitungen beizulegen, steht in Artikel 13 der CRA-Verordnung; die neun erforderlichen Angaben sind in Anhang II abschließend aufgezählt.

Was Sie jetzt tun sollten

  1. Die neun Punkte gegen Ihr Produkt durchgehen. Prüfen Sie der Reihe nach, welche Angabe Sie schon haben und welche fehlt - besonders die detaillierten Anleitungen unter Punkt 8 werden oft unvollständig gelassen.
  2. Quellen einmal sauber pflegen. Tragen Sie Hersteller-Kontakt und Support-Enddatum an genau einer Stelle ein, damit die Beilage nicht von der Konformitätserklärung abweicht.
  3. Die sichere Außerbetriebnahme beschreiben. Punkt 8 verlangt einen Hinweis, wie Nutzer das Produkt sicher stilllegen und ihre Daten löschen - das wird leicht vergessen.
  4. Die Beilage vor Auslieferung korrekturlesen. Achten Sie auf alle "zu ergänzen"-Markierungen im PDF und schließen Sie sie, bevor das Produkt in den Verkehr geht.
  5. Bezugsort der Stückliste festlegen. Klären Sie, wo Nutzer die SBOM beziehen können (Punkt 9), und tragen Sie die Fundstelle ein.

Wie Dernium hilft

Sie pflegen Produkt, Konformitätserklärung und Support-Zeitraum wie gewohnt; die Nutzerinformationen fallen als strukturiertes PDF daraus ab. Eine Erklärschicht benennt je Punkt, was hineingehört; ein Hinweis trennt, was wir beisteuern, von dem, was Sie verantworten. So liefern Sie eine Anhang-II-Beilage aus, ohne sie kurz vor der Markteinführung zusammenzusuchen.

Offene Punkte

  • Richtigkeit und Vollständigkeit der Anleitungen bleiben Ihre Aufgabe als Hersteller. Das Werkzeug strukturiert, befüllt vor und erinnert; es bewertet nicht und ist keine Rechtsberatung.

Häufige Fragen

Was sind die Nutzerinformationen nach Anhang II?

Das ist die gesetzliche Liste von Angaben und Anleitungen, die der CRA jedem Produkt mit digitalen Elementen beilegen lässt. Sie umfasst neun feste Punkte - vom Hersteller-Kontakt über bekannte Risiken und das Support-Enddatum bis zu Anleitungen für Inbetriebnahme, Updates und sichere Außerbetriebnahme. Die Pflicht steht in Artikel 13, die Punkte sind in Anhang II abschließend aufgezählt.

Reicht ein normales Handbuch oder README aus?

Nur, wenn es zufällig alle neun Punkte abdeckt - und dann fehlt trotzdem der Nachweis, dass nichts ausgelassen wurde. Eine strukturierte Vorlage, die jeden Pflichtpunkt einzeln führt und Lücken sichtbar macht, ist im Prüffall deutlich belastbarer als ein formloser Fließtext.

Tritt Dernium als Aussteller der Beilage auf?

Nein. Das Dokument trägt Ihren Briefkopf und geht als Ihre Beilage an die Nutzer; Dernium erscheint nur als dezenter Werkzeug-Vermerk im Fuß. Dernium stellt nichts in Ihrem Namen aus und gibt keine Konformitätsbewertung ab - Inhalt und Verantwortung bleiben bei Ihnen.

Was bedeutet "sichere Außerbetriebnahme" in den Anleitungen?

Punkt 8 verlangt einen Hinweis, wie Nutzer das Produkt am Lebensende sicher stilllegen und dabei ihre Daten zuverlässig löschen. Gemeint ist also nicht nur das Abschalten, sondern auch, dass keine sensiblen Daten zurückbleiben, etwa beim Weiterverkauf oder der Entsorgung eines Geräts.

Mehr aus unserer CRA-Reihe