Clasificación de productos
Los productos CRA con elementos digitales se clasifican en cuatro niveles. La clasificación determina qué ruta de evaluación de conformidad se aplica. La mayoría de los productos son por Defecto. Solo los incluidos explícitamente en los Anexos III y IV son Importantes o Críticos.
Default
Cualquier producto con elementos digitales no incluido en los Anexos III o IV. La gran mayoría de IoT para consumidores, software empresarial y dispositivos industriales cae en esta categoría.
Evaluación de conformidad
Módulo A (autoevaluación)
Productos de ejemplo
- Electrodomésticos inteligentes no incluidos en el Anexo III
- Aplicaciones móviles para consumidores (funciones no incluidas en el Anexo III)
- Software de servidor de propósito general
- Sensores industriales sin función de infraestructura crítica
Important — Class I
Productos incluidos en el Anexo III, Clase I — aquellos que presentan un riesgo significativo de ciberseguridad para la UE. Incluye software de gestión de identidades, navegadores, gestores de contraseñas y herramientas de gestión de red.
Evaluación de conformidad
Módulo A (si se aplican normas armonizadas); de lo contrario Módulo B+C o H
Productos de ejemplo
- Software de gestión de identidades y acceso privilegiado
- Navegadores autónomos e integrados
- Gestores de contraseñas
- Cortafuegos de red y aplicaciones (nivel inferior)
- Microcontroladores y microprocesadores (uso general)
- Controladores de interfaz de red físicos y virtuales (NICs)
- Sistemas operativos de uso general
Important — Class II
Productos de mayor riesgo incluidos en el Anexo III, Clase II — incluidos hipervisores, TPMs, pasarelas de contadores inteligentes y dispositivos adyacentes a infraestructuras críticas. Siempre debe intervenir un organismo notificado.
Evaluación de conformidad
Módulo B+C o H (organismo notificado requerido)
Productos de ejemplo
- Hipervisores y motores de tiempo de ejecución de contenedores
- Módulos de plataforma de confianza (TPMs)
- Cortafuegos e IDS/IPS para uso industrial/infraestructura crítica
- Elementos seguros
- Pasarelas de contadores inteligentes
- Software de sistemas de automatización y control industrial
- Software de acceso remoto
Critical
Los productos de mayor riesgo incluidos en el Anexo IV — dispositivos de hardware con cajas de seguridad, tarjetas inteligentes y módulos de seguridad de hardware especializados. Sujetos a los requisitos de evaluación de conformidad más estrictos.
Evaluación de conformidad
Módulo B+C o H (organismo notificado requerido) — o certificación EU de ciberseguridad
Productos de ejemplo
- Módulos de seguridad de hardware (HSMs)
- Tarjetas inteligentes y lectores de tarjetas inteligentes
- Dispositivos de hardware con cajas de seguridad (resistentes a manipulaciones)
- Procesadores criptográficos especializados
Rutas de evaluación de conformidad
| Clase | Módulo A | Módulo B+C / H | Certificación EU de ciberseguridad |
|---|---|---|---|
| Default | ✓ Siempre disponible | Opcional | Opcional |
| Important — Class I | Si se aplican normas armonizadas | Requerido sin normas armonizadas | Alternativa |
| Important — Class II | ✗ No disponible | ✓ Requerido | Alternativa |
| Critical | ✗ No disponible | ✓ Requerido | Alternativa (cuando se adopte) |
Los esquemas de certificación EU de ciberseguridad en virtud del Reglamento (UE) 2019/881 (EUCC etc.) pueden sustituir al Módulo B+C/H una vez que se adopte el acto de ejecución pertinente.