Produktklassifizierung
CRA-Produkte mit digitalen Elementen werden in vier Stufen eingeteilt. Die Einstufung bestimmt, welcher Konformitätsbewertungsweg gilt. Die meisten Produkte sind Standard. Nur die in den Anhängen III und IV ausdrücklich aufgeführten Produkte sind als Wichtig oder Kritisch eingestuft.
Default
Any product with digital elements not listed in Annexes III or IV. The vast majority of consumer IoT, enterprise software, and industrial devices fall here.
Konformitätsbewertung
Module A (self-assessment)
Beispielprodukte
- Smart home appliances not in Annex III
- Consumer mobile apps (non-Annex-III functions)
- General-purpose server software
- Industrial sensors without critical infrastructure role
Important — Class I
Products listed in Annex III, Class I — those posing a significant cybersecurity risk to the EU. Includes identity management software, browsers, password managers (lightweight variant), and network management tools.
Konformitätsbewertung
Module A (if harmonised standards applied); otherwise Module B+C or H
Beispielprodukte
- Identity management and privileged access management software
- Standalone and embedded browsers
- Password managers
- Network and application firewalls (lower tier)
- Microcontrollers and microprocessors (general purpose)
- Physical and virtual network interface controllers (NICs)
- Operating systems for general use
Important — Class II
Higher-risk products listed in Annex III, Class II — including hypervisors, TPMs, smart meter gateways, and industrial/critical-infrastructure-adjacent devices. A notified body must always be involved.
Konformitätsbewertung
Module B+C or H (notified body required)
Beispielprodukte
- Hypervisors and container runtime engines
- Trusted Platform Modules (TPMs)
- Firewalls and IDS/IPS for industrial/critical infrastructure use
- Secure elements
- Smart meter gateways
- Industrial automation and control system software
- Remote access software
Critical
The highest-risk products listed in Annex IV — hardware devices with security boxes, smart cards, and specialised hardware security modules. Subject to the strictest conformity assessment requirements.
Konformitätsbewertung
Module B+C or H (notified body required) — or EU cybersecurity certification
Beispielprodukte
- Hardware security modules (HSMs)
- Smart cards and smart card readers
- Hardware devices with security boxes (tamper-evident/tamper-resistant)
- Specialised cryptographic processors
Konformitätsbewertungsrouten
| Klasse | Modul A | Modul B+C / H | EU-Cybersicherheitszertifizierung |
|---|---|---|---|
| Default | ✓ Immer verfügbar | Optional | Optional |
| Important — Class I | Wenn harmonisierte Normen angewendet | Erforderlich ohne harmonisierte Normen | Alternative |
| Important — Class II | ✗ Nicht verfügbar | ✓ Erforderlich | Alternative |
| Critical | ✗ Nicht verfügbar | ✓ Erforderlich | Alternative (wenn angenommen) |
EU-Cybersicherheitszertifizierungsschemata gemäß Verordnung (EU) 2019/881 (EUCC usw.) können Modul B+C/H ersetzen, sobald der entsprechende Durchführungsrechtsakt angenommen wird.