CRA End-of-Life-Planung: Verantwortungsvolle Produktübergänge

Der Supportzeitraum Ihres Produkts wird enden. Unter dem CRA beeinflusst die Art, wie Sie diesen Übergang handhaben, sowohl Compliance als auch Kundenbeziehungen. Ein schlecht gemanagtes EOL hinterlässt Kunden mit anfälligen Produkten und Sie mit potenzieller Haftung.

Dieser Leitfaden behandelt verantwortungsvolle End-of-Life-Planung: Zeitpläne, Kommunikation und was nach dem Supportende passiert.

EOL unter CRA: Was erforderlich ist

Der CRA schreibt EOL-Verfahren nicht explizit vor, aber mehrere Anforderungen beeinflussen, wie Sie End-of-Life handhaben:

Supportzeitraum-Verpflichtung

Artikel 13 verlangt Sicherheitsupdates für den Supportzeitraum (mindestens 5 Jahre oder erwartete Produktlebensdauer). Wenn dieser Zeitraum endet, endet Ihre Update-Verpflichtung, aber nicht Ihre Verantwortung, dafür geplant zu haben.

Kundeninformation

Anhang I verlangt Informationen über den Supportzeitraum. Kunden sollten beim Kauf wissen, wann der Support endet.

Dokumentationsaufbewahrung

Technische Dokumentation muss 10 Jahre nach der letzten auf dem Markt bereitgestellten Einheit aufbewahrt werden. EOL beendet nicht die Dokumentationsverpflichtungen.

Umgang mit Nicht-Konformität

Wenn Sie bei EOL wissen, dass das Produkt unbehobene Schwachstellen hat, können Sie Benachrichtigungspflichten unter Marktüberwachungsbestimmungen haben.

EOL-Zeitrahmenwerk

18 Monate vor EOL: Planung

EOL-PLANUNGSPHASE (18 Monate vorher)

Intern:
[ ] EOL-Datum basierend auf Marktbereitstellung + Supportzeitraum bestätigen
[ ] Ausstehende Schwachstellen bewerten
[ ] Letzte Sicherheitsupdates planen
[ ] Nachfolgeprodukte/Migrationspfade identifizieren
[ ] Kundenkommunikationsmaterialien vorbereiten
[ ] Support-Teams briefen

Extern:
[ ] Beginnen, EOL in Produkt-Roadmap-Kommunikation zu erwähnen
[ ] Produktdokumentation mit EOL-Datum aktualisieren
[ ] Große Kunden für proaktive Ansprache identifizieren

12 Monate vor EOL: Erste Benachrichtigung

Dies ist Ihre formelle EOL-Ankündigung.

12-MONATE-EOL-BENACHRICHTIGUNG

Empfänger:
- Alle registrierten Kunden
- Vertriebspartner
- Auf Produktseiten veröffentlicht

Inhalt:
- Produktname und Version
- Support-Enddatum
- Was "End of Support" bedeutet
- Migrationsoptionen
- Zeitplan für verbleibende Updates
- Kontakt für Fragen

Kanäle:
- E-Mail an registrierte Nutzer
- Produkt-Update-Benachrichtigung (In-App)
- Website-Ankündigung
- Pressemitteilung (für bedeutende Produkte)
- Partner-Kommunikation

Vorlage: 12-Monate-Mitteilung

Betreff: Wichtig: [Produktname] End-of-Support-Mitteilung

Sehr geehrte/r [Kunde],

diese Mitteilung bestätigt, dass [Produktname vX.X]
am [Datum] das Supportende erreicht.

WAS DAS BEDEUTET:
- Nach [Datum] stellen wir keine Sicherheitsupdates
  mehr für [Produktname vX.X] bereit
- Technischer Support endet
- Das Produkt funktioniert weiterhin, kann aber anfällig
  für Sicherheitsprobleme werden, die nach [Datum] entdeckt werden

ZEITPLAN:
- Heute: Diese Ankündigung
- [Datum - 6 Monate]: Erinnerungsmitteilung
- [Datum - 1 Monat]: Letzte Mitteilung und letztes Sicherheitsupdate
- [Datum]: End of Support

IHRE OPTIONEN:
Option 1: Upgrade auf [Produktname v2.0]
- [Vorteile des Upgrades]
- Upgrade-Preise: [Details]
- Migrationsleitfaden: [Link]

Option 2: Wechsel zu [Alternativprodukt]
- [Kurze Beschreibung]
- [Link zum Vergleich]

Option 3: Nicht unterstützte Version weiter nutzen
- Nicht empfohlen
- Produkt funktioniert, aber keine Sicherheitsupdates
- Sie akzeptieren Sicherheitsrisiken

MIGRATIONSUNTERSTÜTZUNG:
Wir helfen Ihnen bei Ihrem Übergang:
- Migrationsdokumentation: [Link]
- Support-Team: [Kontakt]
- Webinar am [Datum]: "Migration von [Produkt vX] zu [v2]"

Fragen? Kontaktieren Sie [Support-E-Mail/Telefon]

Vielen Dank, dass Sie [Produktname]-Kunde sind.

[Firmenname] Produktteam

6 Monate vor EOL: Erinnerung

Die Botschaft verstärken und aktualisierte Migrationsinformationen bereitstellen.

6-MONATE-EOL-ERINNERUNG

Updates seit 12-Monate-Mitteilung:
- Migrationstools verfügbar
- Werbepreise für Upgrades
- Erfolgsgeschichten von frühen Migranten
- Aktualisierte FAQ

Zusätzliche Kanäle:
- In-Produkt-Banner/Benachrichtigung
- Login-Seiten-Hinweis
- Social-Media-Erinnerung

Vorlage: 6-Monate-Erinnerung

Betreff: Erinnerung: [Produktname] Support endet in 6 Monaten

Sehr geehrte/r [Kunde],

dies ist eine Erinnerung, dass [Produktname vX.X]
am [Datum], also in sechs Monaten, das Supportende erreicht.

STATUSUPDATE:
- X Kunden sind bereits auf [v2.0] migriert
- Migrationstools sind jetzt verfügbar
- Spezielle Upgrade-Preise gültig bis [Datum]

WAS NEU IST:
- Selbstbedienungs-Migrationsassistent: [Link]
- Migrations-Webinar-Aufzeichnung: [Link]
- Upgrade-FAQ: [Link]

VERBLEIBENDE UPDATES:
Wir werden etwa einen Monat vor Supportende ein letztes
Sicherheitsupdate veröffentlichen, das alle zu diesem
Zeitpunkt bekannten Schwachstellen adressiert.

WARTEN SIE NICHT:
Wir empfehlen, Ihre Migration jetzt zu starten, um:
- Last-Minute-Probleme zu vermeiden
- Von Upgrade-Preisen zu profitieren
- Ununterbrochene Sicherheitsabdeckung zu gewährleisten

Brauchen Sie Hilfe? Kontaktieren Sie [Migrationssupport-Kontakt]

[Firmenname] Produktteam

1 Monat vor EOL: Letzte Mitteilung

Die letzte Erinnerung vor Supportende.

1-MONAT-LETZTE-MITTEILUNG

Kritischer Inhalt:
- Dies ist die letzte Mitteilung
- Letztes Sicherheitsupdate veröffentlicht (oder wird jetzt veröffentlicht)
- Support-Kanäle-Schließungsverfahren
- Letzte Migrationsgelegenheit

Dringlichkeitselemente:
- Klare Fristbetonung
- Bekannte Schwachstellen-Offenlegung (falls welche unbehoben bleiben)
- Konsequenzen von Untätigkeit

Vorlage: 1-Monat-Letzte-Mitteilung

Betreff: Letzte Mitteilung: [Produktname] Support endet [Datum]

Sehr geehrte/r [Kunde],

dies ist die LETZTE Mitteilung, bevor [Produktname vX.X]
am [Datum] das Supportende erreicht.

LETZTES SICHERHEITSUPDATE:
Wir veröffentlichen heute das letzte Sicherheitsupdate. Dieses
Update adressiert alle bekannten Schwachstellen zum heutigen
Datum. Wir empfehlen dringend, dieses Update anzuwenden.

Download: [Link]
Installationsanleitung: [Link]

NACH [DATUM]:
- Keine weiteren Sicherheitsupdates werden veröffentlicht
- Technischer Support ist nicht mehr verfügbar
- Schwachstellen, die nach diesem Datum entdeckt werden,
  werden nicht gepatcht

LETZTE CHANCE ZUR MIGRATION:
Dies ist Ihre letzte Gelegenheit, unseren unterstützten
Migrationssupport zu nutzen.

- Upgrade auf [v2.0]: [Link]
- Migrationsunterstützung: [Kontakt]
- Upgrade-Preise enden: [Datum]

WEITERNUTZUNG VON [PRODUKT vX.X]:
Wenn Sie [Produktname vX.X] nach [Datum] weiter nutzen:
- Das Produkt funktioniert weiterhin
- Sie akzeptieren Sicherheitsrisiken durch unbehobene Schwachstellen
- Sie sollten kompensierende Kontrollen implementieren
- Erwägen Sie Netzwerkisolierung und Überwachung

Wir schätzen Ihr Geschäft und hoffen, Sie weiterhin
mit [v2.0] oder [Alternativprodukt] bedienen zu können.

[Firmenname] Produktteam

EOL-Datum: Support endet

EOL-DATUM-AKTIONEN

Ausführen:
[ ] Support-Kanäle geschlossen/umgeleitet
[ ] Produktdokumentation aktualisiert auf "nicht mehr unterstützt"
[ ] Automatische Update-Prüfungen deaktiviert (oder zeigt "kein Update verfügbar")
[ ] Download-Seiten mit EOL-Hinweis aktualisiert
[ ] Produkt in internen Systemen archiviert

Kommunizieren:
[ ] Letzte Bestätigungs-E-Mail an verbleibende Nutzer
[ ] Website-Banner/Hinweis
[ ] Support-Umleitungsnachricht

Aufbewahren:
[ ] Technische Dokumentation (10-Jahre-Aufbewahrung läuft weiter)
[ ] Kundenkommunikationsaufzeichnungen
[ ] Liste bekannter Schwachstellen bei EOL

Vorlage: EOL-Bestätigung

Betreff: [Produktname] hat End of Support erreicht

Sehr geehrte/r [Kunde],

ab heute, [Datum], hat [Produktname vX.X] das
Supportende erreicht.

WAS DAS JETZT BEDEUTET:
- Keine weiteren Sicherheitsupdates werden bereitgestellt
- Technischer Support ist nicht mehr verfügbar
- Produktdokumentation bleibt zugänglich unter [Link]

WENN SIE NOCH [PRODUKT vX.X] NUTZEN:
Wir empfehlen:
1. Upgrade auf [v2.0]: [Link]
2. Kompensierende Sicherheitskontrollen implementieren
3. Netzwerkisolierung erwägen

SICHERHEITSKONTAKT:
Obwohl wir keine Updates mehr bereitstellen, pflegen wir
einen Sicherheitskontakt für verantwortungsvolle
Schwachstellenoffenlegung: security@company.com

Wenn Sie eine Schwachstelle entdecken, melden Sie diese bitte.
Wir werden beurteilen, ob außergewöhnliche Umstände
Maßnahmen rechtfertigen, und betroffene Nutzer benachrichtigen,
wenn erhebliche Risiken entdeckt werden.

DOKUMENTATION:
Produktdokumentation bleibt verfügbar unter: [Link]
Diese Dokumentation wird für regulatorische Zwecke aufbewahrt.

Vielen Dank, dass Sie [Produktname]-Kunde waren. Wir hoffen,
Sie mit [Nachfolgeprodukt] oder anderen Lösungen bedienen zu können.

[Firmenname] Produktteam

Migrationspfad-Planung

Migrationsoptionen definieren

Kunden brauchen klare Alternativen:

MIGRATIONSOPTIONEN-RAHMENWERK

OPTION 1: Direktes Upgrade
├── Neue Version desselben Produkts
├── Datenmigration unterstützt
├── Feature-Parität (oder besser)
└── Preise: [Upgrade-Preise]

OPTION 2: Alternativprodukt
├── Anderes Produkt, das gleiche Bedürfnisse erfüllt
├── Kann Workflow-Änderungen erfordern
├── Migrationstools verfügbar
└── Preise: [Neukunden-Preise]

OPTION 3: Konkurrenzprodukt
├── Ehrlich sein, wenn Ihre Lösung nicht passt
├── Datenexport-Fähigkeit bereitstellen
└── Kunden nicht einsperren

OPTION 4: Nicht unterstützt weiter nutzen
├── Risiken klar dokumentieren
├── Anleitung für kompensierende Kontrollen geben
├── Kein Support, keine Updates
└── Kunde übernimmt Verantwortung

Migrationsunterstützungs-Ressourcen

Vor Beginn der EOL-Kommunikation vorbereiten:

Umgang mit Kunden, die nicht migrieren

Einige Kunden werden nicht unterstützte Produkte weiter nutzen. Ihre Verantwortlichkeiten:

Tun:

• Risiken klar kommunizieren
• Letztes Sicherheitsupdate bereitstellen
• Ihre Wahl dokumentieren (für Ihre Aufzeichnungen)
• Sicherheitskontakt für kritische Offenlegungen pflegen
• Dokumentation zugänglich halten

Nicht tun:

• Produkt zum Aufhören zwingen (in den meisten Fällen)
• Kundendaten ohne Vorankündigung löschen
• Sicherheitskontakt komplett aufgeben
• Dokumentation entfernen

Verantwortlichkeiten nach EOL

Dokumentationsaufbewahrung

Ihre Dokumentationsverpflichtungen enden nicht mit Support:

DOKUMENTATIONSANFORDERUNGEN NACH EOL

Technische Dokumentation:
- 10 Jahre ab letzter auf Markt gebrachter Einheit aufbewahren
- Muss für Marktüberwachungsbehörden verfügbar sein
- Finalen Stand bei EOL einbeziehen

Aufzubewahrende Aufzeichnungen:
- EU-Konformitätserklärung
- Risikobewertungen
- Testergebnisse
- SBOM (finale Version)
- Konformitätsbewertungsnachweise
- Kundenkommunikation

Hinweis: Wenn Produkt 3 Jahre auf dem Markt war und
Supportzeitraum 5 Jahre betrug, läuft Dokumentationsaufbewahrung
10 Jahre ab Jahr 3, nicht ab Jahr 8.

Umgang mit bekannten Schwachstellen

Was, wenn Schwachstellen nach EOL entdeckt werden?

Für extern gemeldete Schwachstellen:

• Schweregrad und Auswirkung bewerten
• Bei kritischen, aktiv ausgenutzten Schwachstellen, die viele Nutzer betreffen, erwägen:
  • Außerordentliches Sicherheitsupdate (nicht erforderlich, aber verantwortungsvoll)
  • Kundenbenachrichtigung mit Mitigationsanleitung
  • Öffentliches Advisory

Für intern entdeckte Schwachstellen:

• Gleicher Bewertungsprozess
• Entscheidung und Begründung dokumentieren

Dokumentation:

SCHWACHSTELLENPROTOKOLL NACH EOL

Schwachstelle: ________________________________
Gemeldet/Entdeckt: __________________________
Schweregrad: ____________________________________
Betroffene Versionen: ____________________________
Ausnutzungsstatus: ___________________________

Entscheidung:
[ ] Keine Maßnahme (Standard nach EOL)
[ ] Nur Kundenbenachrichtigung
[ ] Außerordentliches Update veröffentlicht
[ ] Öffentliches Advisory veröffentlicht

Begründung:
______________________________________________

Entschieden von: __________________________________
Datum: _______________________________________

Kooperation mit Marktüberwachung

Auch nach EOL müssen Sie mit Marktüberwachungsbehörden kooperieren, wenn diese Ihr Produkt untersuchen. Aufzeichnungen zugänglich halten.

Besondere EOL-Szenarien

Frühes EOL (Vor 5 Jahren)

Können Sie Support vor der Mindestfrist beenden?

Generell nein. Der CRA verlangt mindestens 5 Jahre Support. Früher zu beenden wäre Nicht-Compliance.

Ausnahmen:

• Erwartete Produktlebensdauer tatsächlich kürzer als 5 Jahre (selten, muss dokumentiert und beim Verkauf kommuniziert werden)
• Außergewöhnliche Umstände (Unternehmensinsolvenz usw.)

Bei erzwungenem frühen EOL:

• Transparent kommunizieren
• Erwägen, Open-Source zu machen, um Community-Pflege zu ermöglichen
• Wenn möglich, erweiterte Sicherheitsupdate-Zusage geben
• Akquisition/Übergabe an andere Einheit prüfen

Übernommenes Produkt EOL

Sie übernehmen ein Unternehmen mit Produkten nahe EOL:

UMGANG MIT ÜBERNOMMENEM PRODUKT EOL

Bewertung:
[ ] Wann wurde Produkt erstmals auf EU-Markt gebracht?
[ ] Welcher Supportzeitraum wurde kommuniziert?
[ ] Was ist die verbleibende Verpflichtung?

Optionen:
1. Ursprüngliche Zusage einhalten
   - Support bis zum ursprünglichen Enddatum pflegen
   - In Ihre Support-Infrastruktur integrieren

2. Support verlängern
   - Uhr zurücksetzen (Kundennutzen)
   - Verlängerung positiv kommunizieren

3. Migration beschleunigen
   - Überzeugende Migration zu Ihrem Produkt anbieten
   - Support nicht verkürzen

Niemals:
- Support früher als zugesagt beenden
- Ohne Migrationspfad verlassen
- Kunden schlechter stellen als vor Übernahme

Multi-Versions-EOL

Mehrere Versionen erreichen EOL etwa zur gleichen Zeit:

MULTI-VERSIONS-EOL-KOORDINATION

Wenn möglich staffeln:
- v1.0 EOL: Jan 2028
- v1.1 EOL: Jul 2028
- v2.0 EOL: Jan 2029

Vorteile der Staffelung:
- Reduziert Support-Belastung zu jedem Zeitpunkt
- Gibt Kunden klaren Upgrade-Pfad
- Verteilt Migrationssupport-Last

Klar kommunizieren:
- Versionsspezifische EOL-Daten
- Migrationspfad zwischen Versionen
- Empfohlene Zielversion

Kundenkommunikationsprinzipien

Transparenz

• Kunden nie mit EOL überraschen
• Daten so früh wie möglich kommunizieren
• Klar machen, was "End of Support" bedeutet

Respekt

• Kunden haben in Ihr Produkt investiert
• Ausreichend Zeit für Migration geben
• Echte Alternativen bieten

Unterstützung

• Migration so einfach wie möglich machen
• Hilfe während des Übergangs anbieten
• Langzeitkunden nicht bestrafen

Kontinuität

• Datenexport muss möglich sein
• Dokumentation sollte zugänglich bleiben
• Sicherheitskontakt sollte bestehen bleiben (auch wenn begrenzt)

EOL-Planungs-Checkliste

EOL-PLANUNGS-CHECKLISTE

18 MONATE VORHER:
[ ] EOL-Datum bestätigt
[ ] Nachfolgeprodukt identifiziert
[ ] Migrationstools geplant
[ ] Kommunikationszeitplan festgelegt
[ ] Support-Team gebrieft
[ ] Dokumentation mit EOL-Datum aktualisiert

12 MONATE VORHER:
[ ] Formelle EOL-Ankündigung gesendet
[ ] Website aktualisiert
[ ] Produktdokumentation aktualisiert
[ ] Migrationsleitfaden veröffentlicht
[ ] Upgrade-Preise festgelegt
[ ] Support-Kanäle vorbereitet

6 MONATE VORHER:
[ ] Erinnerungsmitteilung gesendet
[ ] In-Produkt-Benachrichtigung aktiv
[ ] Migrationstools verfügbar
[ ] Webinar/Schulung angeboten
[ ] Großkunden-Ansprache

1 MONAT VORHER:
[ ] Letzte Mitteilung gesendet
[ ] Letztes Sicherheitsupdate veröffentlicht
[ ] Support-Schließung angekündigt
[ ] Migrationsfrist betont
[ ] Dokumentation finalisiert

EOL-DATUM:
[ ] Support-Kanäle geschlossen/umgeleitet
[ ] Website-EOL-Hinweis live
[ ] Download-Seiten aktualisiert
[ ] Dokumentation archiviert (aber zugänglich)
[ ] Interne Systeme aktualisiert

NACH EOL:
[ ] Bestätigung an verbleibende Nutzer gesendet
[ ] Dokumentationsaufbewahrung bestätigt
[ ] Sicherheitskontakt gepflegt
[ ] Schwachstellenprotokoll initiiert
[ ] 10-Jahre-Aufbewahrungstimer gestartet

Verwandte Leitfäden

• CRA-Supportzeitraum-Planung: 5 Jahre Sicherheitsupdates
• CRA-Implementierungszeitplan 2025-2027
• CRA-Strafen und Durchsetzungsleitfaden

Wie CRA Evidence hilft

CRA Evidence unterstützt EOL-Planung:

• Supportzeitraum-Tracking: Automatische EOL-Datumberechnung
• Kundenregister: Verfolgen, wer Benachrichtigung braucht
• Kommunikationsvorlagen: EOL-Mitteilungsvorlagen
• Dokumentationsarchiv: Aufbewahrte Technische Dokumentationen
• Schwachstellenprotokoll: Schwachstellenverfolgung nach EOL

Planen Sie Ihre Produktübergänge mit app.craevidence.com.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.