Produit critique comportant des éléments numériques
Un produit dont la fonctionnalité principale relève de l'Annexe IV du CRA. Actuellement trois catégories : dispositifs matériels avec boîtiers de sécurité, passerelles de compteurs intelligents et cartes à puce/éléments sécurisés. Les produits critiques sont soumis aux exigences de conformité les plus strictes et doivent, une fois les actes délégués de la Commission en vigueur, obtenir une certification européenne de cybersécurité (EUCC).
Citations sources
Voir aussi
Texte réglementaire
L'article 8(1) du règlement (UE) 2024/2847 habilite la Commission à désigner des produits critiques et à exiger qu'ils obtiennent :
« un certificat européen de cybersécurité au niveau d'assurance au moins "substantiel" dans le cadre d'un schéma de certification de cybersécurité adopté conformément au règlement (UE) 2019/881 »
Jusqu'à l'adoption des actes délégués, le dernier paragraphe de l'Art. 8(1) impose aux produits critiques de se conformer à l'article 32(3) (la procédure d'évaluation de la conformité par tierce partie la plus stricte).
Catégories de l'Annexe IV (actuelles)
- Dispositifs matériels avec boîtiers de sécurité
- Passerelles de compteurs intelligents et autres dispositifs à des fins de sécurité avancée, y compris les cryptoprocesseurs sécurisés
- Cartes à puce ou dispositifs similaires, y compris les éléments sécurisés
Distinction avec les produits importants
Les produits critiques représentent le niveau de risque le plus élevé :
| Important (Classe II) | Critique (Annexe IV) | |
|---|---|---|
| Organisme notifié requis ? | Oui | Oui |
| Schéma de certification requis ? | EUCC optionnel | EUCC obligatoire (après acte délégué) |