CRA-Technische-Dokumentation: Welche Nachweise erforderlich sind und wann sie erstellt werden müssen

Die Anforderungen des CRA an die technische Dokumentation gehören zu den konkretesten Pflichten der Verordnung, werden aber häufig missverstanden. Hersteller behandeln die technische Dokumentation manchmal als ein Compliance-Ergebnis, das am Ende des Entwicklungsprozesses zu erstellen ist, zusammengesetzt aus den vorhandenen Artefakten. Die Verordnung behandelt sie als kontrollierte, lebendige Aufzeichnung, die fortlaufend erstellt, über den Produktlebenszyklus hinweg gepflegt und ab dem Moment des Inverkehrbringens auf Anfrage verfügbar sein muss.

Dieser Beitrag legt dar, was Anhang VII des CRA tatsächlich verlangt, welche unterschiedlichen Arten von Nachweisen er umfasst und welche zeitlichen Pflichten bestimmen, wann Dokumentation existieren muss.

Was Anhang VII verlangt

Anhang VII des CRA legt den Mindestinhalt der technischen Dokumentation fest, die erstellt werden muss, bevor ein Produkt mit digitalen Elementen in Verkehr gebracht wird. Die Dokumentation muss mindestens Folgendes enthalten:

• Eine allgemeine Beschreibung des Produkts, einschließlich seines bestimmungsgemäßen Zwecks, der Versionen und der vorgesehenen Nutzer.
• Design- und Entwicklungsdokumentation: die Produktarchitektur, sicherheitsrelevante Designentscheidungen und alle angewandten Normen oder Spezifikationen.
• Die nach Artikel 13 durchgeführte Cybersicherheits-Risikobewertung.
• Informationen über die umgesetzten Sicherheitseigenschaften und die zur Behandlung jeder grundlegenden Anforderung ergriffenen Maßnahmen.
• Testdokumentation: Testpläne, Ergebnisse und die Bestätigung, dass das Produkt die grundlegenden Anforderungen erfüllt.
• Eine Kopie der EU-Konformitätserklärung.
• Informationen über die Prozesse zur Behandlung von Schwachstellen, einschließlich der Frage, wie Schwachstellen während des Unterstützungszeitraums angenommen, triagiert und behandelt werden.
• Die Software-Stückliste für alle im Produkt enthaltenen Softwarekomponenten.

Die vollständige Liste ist detailliert und unterliegt für Produkte in Anhang III (wichtige Produkte) oder Anhang IV (kritische Produkte) je nach angewandtem Konformitätsbewertungsmodul zusätzlichen Anforderungen. Doch das Kernprinzip ist über alle Produktklassen hinweg konsistent: Die Dokumentation muss mit Nachweisen belegen, dass die grundlegenden Anforderungen erfüllt wurden.

Die drei Kategorien von Nachweisen

Die Anforderungen von Anhang VII fallen in drei breite Kategorien, die sich darin unterscheiden, wie sie erstellt werden und wann sie erstellt werden müssen.

Technische Dokumentation

Diese deckt die Produktarchitektur, Designentscheidungen, umgesetzte Sicherheitsmaßnahmen und Testergebnisse ab. Die technische Dokumentation wird während der Entwicklung erstellt und muss das Produkt widerspiegeln, wie es zum Zeitpunkt des Inverkehrbringens tatsächlich existiert. Sie kann nicht nachträglich als Rekonstruktion geschrieben werden; die Dokumentation muss zeitgleich mit den Entscheidungen entstehen, die sie festhält.

In der Praxis bedeutet das, dass die während des Designs getroffenen Entscheidungen der Sicherheitsarchitektur, das vor der Entwicklung erstellte Bedrohungsmodell und die vor der Veröffentlichung erzeugten Testergebnisse alle erfasst werden müssen, wenn sie geschehen, und als Teil des kontrollierten Dokumentationssatzes aufbewahrt werden müssen.

Nutzerinformationen

Artikel 13 verlangt von Herstellern, Nutzern ausreichende Informationen bereitzustellen, um das Produkt sicher zu verwenden. Dazu gehören Anleitungen zur sicheren Konfiguration, Anweisungen zur sicheren Installation, Informationen über den Unterstützungszeitraum und was geschieht, wenn er endet, sowie eine Kontaktstelle für die Meldung von Schwachstellen.

Nutzerinformationen unterscheiden sich von der technischen Dokumentation darin, dass sie für den Endnutzer gedacht sind und nicht für den Konformitätsbewertungsprozess. Beide müssen existieren. Die Nutzerinformationen müssen zum Zeitpunkt des Verkaufs verfügbar sein, nicht erst nach dem Kauf separat verteilt werden.

EU-Konformitätserklärung

Die Konformitätserklärung ist die förmliche Aussage des Herstellers, dass das Produkt die grundlegenden Anforderungen des CRA erfüllt. Sie muss von einer zur Vertretung des Herstellers befugten Person unterzeichnet werden, das Produkt und das angewandte Konformitätsbewertungsverfahren benennen und auf alle verwendeten harmonisierten Normen oder gemeinsamen Spezifikationen verweisen.

Die Konformitätserklärung muss existieren, bevor die CE-Kennzeichnung angebracht wird, und die CE-Kennzeichnung muss angebracht werden, bevor das Produkt auf den EU-Markt gebracht wird. Eine Konformitätserklärung, die unterzeichnet wird, nachdem das Produkt bereits verkauft wurde, ist nicht konform, unabhängig davon, ob das Produkt selbst die Anforderungen erfüllt.

Wann Dokumentation erstellt und aktualisiert werden muss

Der Zeitpunkt der Dokumentation ist einer der praktisch wichtigsten Aspekte der Anhang-VII-Anforderungen.

Vor dem Inverkehrbringen. Der vollständige Satz der technischen Dokumentation, einschließlich Risikobewertung, Designdokumentation, Testergebnissen, SBOM und Konformitätserklärung, muss existieren, bevor das Produkt in Verkehr gebracht wird. Für neue Produkte, die nach Dezember 2027 auf den EU-Markt kommen, ist das der Ausgangspunkt.

Wenn sich das Produkt ändert. Erhebliche Updates eines Produkts, einschließlich größerer Softwareveröffentlichungen, Änderungen an sicherheitsrelevanten Funktionen, Updates, die neue Netzwerkschnittstellen oder Datenverarbeitung einführen, und Änderungen, die das Risikoprofil beeinflussen, lösen eine Pflicht zur Überprüfung der Dokumentation aus. Die Risikobewertung muss aktualisiert werden, und wenn die Änderungen die Konformität betreffen, muss die Konformitätserklärung überarbeitet werden.

Wenn neue Schwachstellen identifiziert werden. Die Aufzeichnungen zur Schwachstellenbehandlung, die Teil der technischen Dokumentation sind, müssen aktualisiert werden, während Schwachstellen empfangen, triagiert und behoben werden. Diese Aufzeichnungen sind lebendige Dokumente, nicht einmal bei der Veröffentlichung abgeschlossen.

Über den gesamten Unterstützungszeitraum. Der vollständige Satz der technischen Dokumentation muss aufbewahrt und für die Inspektion verfügbar gehalten werden, und zwar zehn Jahre lang nach dem Inverkehrbringen des Produkts oder für die Dauer des Unterstützungszeitraums, falls dieser länger ist. Am Ende des Unterstützungszeitraums, wenn der Hersteller die Nutzer darüber informiert, dass keine weiteren Sicherheitsupdates bereitgestellt werden, muss die Dokumentation diese Entscheidung und ihr Datum widerspiegeln.

Dokumentation mit Risikobewertungen und Lebenszyklusentscheidungen verknüpfen

Eines der häufigsten strukturellen Probleme bei der technischen CRA-Dokumentation ist, dass die Dokumentationselemente unabhängig voneinander gepflegt werden, ohne klare Verbindungen dazwischen. Eine Risikobewertung existiert in einem Dokument. Testergebnisse existieren in einem anderen. Die in der technischen Dokumentation beschriebenen Sicherheitsmaßnahmen verweisen nicht auf die Risiken, die sie adressieren. Das SBOM wird getrennt von den Schwachstellenaufzeichnungen der darin enthaltenen Komponenten gepflegt.

Die Verordnung schreibt keine Dokumentationsstruktur vor, aber Marktüberwachungsbehörden und notifizierte Stellen werden erwarten, von einem Risiko zur adressierenden Kontrolle, von einer Kontrolle zum Nachweis ihrer Umsetzung und von einer Schwachstelle zur getroffenen Behebungsentscheidung navigieren zu können. Ein Dokumentationssatz, bei dem diese Verbindungen vom Prüfer rekonstruiert werden müssen, ist schwerer zu bewerten und löst eher Rückfragen aus.

Ausdrückliche Verbindungen zwischen Einträgen der Risikobewertung und den spezifischen Dokumentationselementen, die sie adressieren, aufzubauen, lohnt den Aufwand bei der ersten Erstellung der Dokumentation. Diese Verbindungen nachträglich hinzuzufügen, ist erheblich aufwändiger.

Einen einzigen, kontrollierten Dokumentationssatz aufbauen

Die praktische Herausforderung für die meisten Hersteller besteht nicht im Erstellen der Dokumentation, sondern darin, sie als kohärenten, kontrollierten Satz über mehrere Produkte und mehrere Produktversionen hinweg zu verwalten.

Ein kontrollierter Dokumentationssatz hat drei Eigenschaften. Erstens hat jedes Dokument einen festgelegten Speicherort und eine Versionshistorie. Zweitens ist der Zugriff zum Erstellen oder Ändern von Dokumenten kontrolliert, und Änderungen werden protokolliert. Drittens ist die aktuelle Version jedes erforderlichen Dokuments eindeutig erkennbar.

Verstreute Dokumentation, bei der verschiedene Artefakte in verschiedenen Systemen von verschiedenen Teams gepflegt werden, besteht diese Tests nicht. Die Dokumentation existiert in der Summe, ist aber kein kontrollierter Satz. Wenn sie für eine Konformitätsbewertung oder ein Audit erstellt werden muss, ist der Zusammenstellungsprozess selbst ein Risiko.

Die Investition, die zum Aufbau einer kontrollierten Dokumentationsinfrastruktur nötig ist, ist bescheiden. Die Kosten, keine zu haben, treten zum denkbar schlechtesten Zeitpunkt zutage.

Dokumentation verhältnismäßig halten

Die Anforderungen des CRA an die technische Dokumentation sind erheblich, aber die Verordnung verlangt ausdrücklich, dass die Dokumentation zum betreffenden Produkt verhältnismäßig ist. Ein kleiner vernetzter Sensor hat andere Dokumentationspflichten als ein komplexes industrielles Steuerungssystem, das als wichtiges Produkt nach Anhang III eingestuft ist.

Die Verhältnismäßigkeit gilt für die Tiefe, nicht für die Abdeckung. Eine verhältnismäßige Risikobewertung für ein einfaches Produkt ist gründlich, aber knapp. Sie deckt alle erforderlichen Elemente ab, führt aber keine Analyse ein, die für das tatsächliche Risikoprofil des Produkts nicht relevant ist. Dasselbe gilt für andere Dokumentationselemente.

Verhältnismäßigkeit ist kein Freibrief, erforderliche Elemente wegzulassen. Sie ist die Erlaubnis, die Tiefe jedes Elements auf die Komplexität und das Risiko des Produkts abzustimmen. Diese Abstimmung richtig hinzubekommen, ist eine der praktischen Fähigkeiten, die Hersteller, die funktionierende Compliance-Programme aufbauen, von jenen unterscheidet, die Dokumentation erstellen, die eine Checkliste erfüllt, aber die Entscheidungen, die sie festhalten soll, nicht tatsächlich stützt.