Kritisches Produkt mit digitalen Elementen
Ein Produkt, dessen Kernfunktionalität unter Anhang IV des CRA fällt. Derzeit umfasst dies drei Kategorien: Hardware-Geräte mit Sicherheitsboxen, Smart-Meter-Gateways und Smartcards/Sicherheitselemente. Kritische Produkte unterliegen den strengsten Konformitätsanforderungen und müssen nach In-Kraft-Treten der delegierten Rechtsakte der Kommission eine formelle europäische Cybersicherheitszertifizierung (EUCC) erhalten.
Quellenangaben
Regulierungstext
Artikel 8(1) der Verordnung (EU) 2024/2847 ermächtigt die Kommission, kritische Produkte zu benennen und zu verlangen, dass sie erhalten:
„ein europäisches Cybersicherheitszertifikat auf dem Vertrauenswürdigkeitsniveau mindestens ‚substantiell' im Rahmen eines europäischen Cybersicherheits- Zertifizierungsschemas gemäß der Verordnung (EU) 2019/881"
Bis zur Verabschiedung der delegierten Rechtsakte schreibt Art. 8(1) letzter Absatz vor, dass kritische Produkte Artikel 32(3) (das strengste Drittpartei-Konformitätsbewertungsverfahren) einhalten müssen.
Anhang-IV-Kategorien (aktuell)
- Hardware-Geräte mit Sicherheitsboxen
- Smart-Meter-Gateways und andere Geräte für erweiterte Sicherheitszwecke, einschließlich sicherer Kryptoprozessoren
- Smartcards oder ähnliche Geräte, einschließlich Sicherheitselemente
Abgrenzung von wichtigen Produkten
Kritische Produkte bilden die höchste Risikostufe. Die wichtigsten Unterschiede:
| Wichtig (Klasse II) | Kritisch (Anhang IV) | |
|---|---|---|
| Notifizierte Stelle erforderlich? | Ja | Ja |
| Zertifizierungsschema erforderlich? | Optionale EUCC | Verbindliche EUCC (nach delegiertem Rechtsakt) |