Was ist Gegenstand der technischen Dokumentation im Sinne des Cyber Resilience Act 2024/2847 (CRA)?
Die technische Dokumentation im CRA ist ein umfassendes, rechtlich verpflichtendes Dossier, das alle Sicherheitsanforderungen und -prozesse beschreibt, Risikobewertung und Sicherheitsarchitektur nachweist.
Die Grundlage der CE‑Konformität bildet, 10 Jahre lang vorgehalten werden muss und von Behörden sowie Notified Bodies geprüft werden kann.
Basierend auf CRA‑Vorgaben gehören in die technische Dokumentation:
-Produktbeschreibung & Zweck
-Architekturdiagramme
-Bedrohungs- und Risikobewertung gemäß Art. 13
-Sicherheitsfunktionen (Kryptografie, Authentifizierung, Hardening)
-Software Bill of Materials (SBOM)
-Update- und Patch-Prozesse
-Testberichte (z. B. Penetrationstests)
-Protokolle des Schwachstellenmanagements
-Sicherheitsrelevante Logs & Nachweise