CRA Anhang II: die Nutzerinformationen, die Ihrem Produkt beiliegen müssen

30. Mai 2026 3 Min Lesezeit Serie: compliance #compliance #cra #nutzerinformationen #anhang-ii #dokumentation #support

Der Cyber Resilience Act verlangt, dass jedem Produkt strukturierte Informationen und Anleitungen für die Nutzer beiliegen (Anhang II) - neun feste Punkte von Hersteller-Kontakt über Support-Ende bis zu Update- und Außerbetriebnahme-Anleitungen. Dernium CRA-Nachweis hat dafür einen Generator: Sie füllen die Punkte aus, wiederkehrende Angaben kommen aus dem, was Sie ohnehin pflegen, leere Pflichtteile erscheinen sichtbar als „zu ergänzen", und heraus fällt ein PDF mit Ihrem Briefkopf. Dieser Beitrag zeigt die Bausteine und wo bewusst die Verantwortung beim Hersteller bleibt.

Problem

Der Cyber Resilience Act verlangt nicht nur Sicherheit im Inneren des Produkts, sondern auch, dass dem Produkt klare Informationen und Anleitungen für die Nutzer beiliegen (Anhang II). Das ist eine eigene Pflicht mit neun festen Punkten: Hersteller-Kontakt, Meldestelle für Schwachstellen, Produktidentifikation, Verwendungszweck und Sicherheitseigenschaften, bekannte Risiken, Fundstelle der EU-Konformitätserklärung, Art und Enddatum des Supports, detaillierte Anleitungen (Inbetriebnahme, Updates, sichere Außerbetriebnahme und weitere) sowie der Bezugsort der Software-Stückliste. Wer das als formloses README behandelt, übersieht einzelne Punkte - und genau die fehlen dann im Prüffall.

Kurze Antwort

Dernium CRA-Nachweis hat dafür einen Generator. Sie füllen die neun Anhang-II-Punkte strukturiert aus; leer gelassene Pflichtteile erscheinen im erzeugten PDF sichtbar als „zu ergänzen", damit nichts untergeht. Wiederkehrende Angaben zieht das Werkzeug aus dem, was Sie ohnehin pflegen: der Hersteller-Kontakt kommt - solange das Feld leer ist - aus Ihrer EU-Konformitätserklärung, das Support-Enddatum aus der Support-Verwaltung des Produkts. Heraus fällt ein Dokument mit Ihrem Briefkopf. Dernium stellt nichts in Ihrem Namen aus und gibt keine Konformitätsbewertung ab; Inhalt und Verantwortung bleiben bei Ihnen.

Tiefgang

Die neun Punkte als feste Struktur. Das Formular bildet Anhang II eins zu eins ab: (1) Hersteller, (2) zentrale Meldestelle für Schwachstellen samt Fundort der Offenlegungs-Richtlinie, (3) Produktidentifikation, (4) Verwendungszweck, Sicherheitsumgebung und wesentliche Sicherheitseigenschaften, (5) bekannte und vorhersehbare Risiken, (6) Internetadresse der Konformitätserklärung, (7) Art des Supports und Enddatum des Support-Zeitraums, (8) detaillierte Anleitungen mit den Unterpunkten a bis f (Inbetriebnahme, Auswirkung von Änderungen auf die Datensicherheit, Update-Installation, sichere Außerbetriebnahme samt Datenlöschung, Abschalten automatischer Updates, Hinweise für Integratoren) und (9) Bezugsort der Stückliste. Die Nummerierung im PDF folgt dem Gesetzestext.

Ein Dokument des Herstellers, nicht von Dernium. Wie die EU-Konformitätserklärung trägt die Beilage Ihren Briefkopf; Dernium erscheint nur als dezenter Werkzeug-Vermerk im Fuß. Das Dokument soll mit dem Produkt ausgeliefert werden - es ist Ihres.

Eine Quelle je Angabe. Doppelte Pflege ist die häufigste Drift-Quelle. Deshalb wird das Support-Enddatum (Nr. 7) nicht hier dupliziert, sondern aus der Support-Verwaltung des Produkts gezogen; ändert es sich dort, stimmt es auch hier. Der Hersteller-Kontakt wird, solange leer, aus der Konformitätserklärung übernommen - einmal gepflegt, überall konsistent.

Sichtbare Lücken statt stiller. Ein Pflichtpunkt, den Sie noch nicht ausgefüllt haben, verschwindet nicht, sondern steht im PDF deutlich als „zu ergänzen". So wird beim Korrekturlesen sofort sichtbar, was vor der Auslieferung noch fehlt.

Abgelehnte Alternativen

Formloses README/Handbuch. Erfüllt die Punkte vielleicht zufällig, aber ohne Struktur fehlt der Nachweis, dass alle neun Anhang-II-Angaben enthalten sind.
Hersteller-Kontakt und Support-Ende erneut eintippen. Doppelte Pflege driftet auseinander; wir ziehen beides aus der vorhandenen Quelle.
„Wir erstellen die Beilage für Sie". Bewusst nicht: die Richtigkeit der Anleitungen und Angaben ist Herstellerwissen und Herstellerpflicht. Eine Stellvertretung wäre haftungs- und RDG-kritisch.

Wie Dernium hilft

Sie pflegen Produkt, Konformitätserklärung und Support-Zeitraum wie gewohnt; die Nutzerinformationen fallen als strukturiertes PDF daraus ab. Eine Erklärschicht benennt zu jedem der neun Punkte, was hineingehört, und ein klarer Hinweis trennt, was wir automatisch beisteuern, von dem, was Sie als Hersteller verantworten. So liefern Sie eine vollständige Anhang-II-Beilage aus, ohne sie kurz vor der Markteinführung von Grund auf zusammenzusuchen.

Offene Punkte

Die inhaltliche Richtigkeit und Vollständigkeit der Anleitungen bleibt Ihre Aufgabe als Hersteller. Das Werkzeug strukturiert, befüllt vor und erinnert; es bewertet nicht und ist keine Rechtsberatung.

Verifikation

Die Pflicht, dem Produkt Informationen und Anleitungen beizulegen, steht in Artikel 13 der CRA-Verordnung; die neun erforderlichen Angaben sind in Anhang II abschließend aufgezählt.

Mehr aus unserer CRA-Reihe

Redaktioneller Hinweis

Die Inhalte dieses TechTalks wurden nach bestem Wissen und Gewissen erstellt und aufwendig recherchiert. Sie stellen grundsätzlich nur den Stand zum Zeitpunkt der redaktionellen Veröffentlichung dar. Sollte es wichtige Änderungen geben, verlinken wir kurze Aktualisierungsartikel zumeist direkt aus den Bezugsartikeln heraus; für ein vollständiges Bild sollten dann alle zusammengehörigen Artikel gelesen werden.

Wir bitten von konkreten Anfragen zu unseren Artikeln abzusehen (Ausnahme: Hinweise auf Fehler, die korrigiert werden sollten), da wir zu den hier aufgegriffenen Themen keine Beratungsleistungen anbieten können, insbesondere keine juristischen. Inwiefern Dernium Produkte in den hier beschriebenen Kontexten helfen können, ist in den Artikeln jeweils kurz umrissen, aber typischerweise nicht der Fokus dieser allgemeinen Informationsartikel.