Ermitteln, ob Ihr Produkt ein „kritisches Produkt" ist, und die europäische Cybersicherheitszertifizierung erlangen
- Gilt für
- Manufacturer
- Quellenangaben
- Art. 8(1)Art. 32(4)Annex IV
- Produktklassen
- Critical
Einfache Sprache
Anhang IV listet derzeit drei Produktkategorien als kritisch: Hardware-Geräte mit Sicherheitsboxen, Smart-Meter-Gateways und Smartcards/Secure Elements. Fällt Ihr Produkt in eine dieser Kategorien, werden Sie langfristig eine formelle europäische Cybersicherheitszertifizierung (EUCC) benötigen – keine Selbstbewertung. Die Kommission wird dies per delegiertem Rechtsakt auslösen. Bis dahin müssen Sie dennoch eine Konformitätsbewertung durch Dritte (Modul B+C oder H) absolvieren.
Rechtstext
Artikel 8(1) der Verordnung (EU) 2024/2847 ermächtigt die Kommission, delegierte Rechtsakte zu erlassen, nach denen Produkte mit der Kernfunktionalität einer Anhang-IV-Kategorie Folgendes erlangen müssen:
ein europäisches Cybersicherheitszertifikat der Vertrauenswürdigkeitsstufe mindestens „substantiell" im Rahmen eines europäischen Cybersicherheitszertifizierungsschemas gemäß der Verordnung (EU) 2019/881.
Bis zum Erlass des delegierten Rechtsakts müssen kritische Produkte das Konformitätsbewertungsverfahren gemäß Artikel 32(3) absolvieren (Modul B+C oder H oder ein europäisches Cybersicherheitszertifizierungsschema).
Kategorien des Anhangs IV (aktuell)
- Hardware-Geräte mit Sicherheitsboxen
- Smart-Meter-Gateways in intelligenten Messsystemen und andere Geräte für fortgeschrittene Sicherheitszwecke, einschließlich sicherer Kryptoprozessoren
- Smartcards oder ähnliche Geräte, einschließlich Secure Elements
Aktuelle Pflicht (bis zum Erlass des delegierten Rechtsakts)
Bis zur Verabschiedung des delegierten Rechtsakts müssen Hersteller kritischer Produkte ein Konformitätsbewertungsverfahren durch eine notifizierte Stelle (Modul B+C oder Modul H) oder ein europäisches Cybersicherheitszertifizierungsschema der Stufe „substantiell" absolvieren.