Classificazione dei prodotti
I prodotti CRA con elementi digitali sono classificati in quattro livelli. La classificazione determina quale percorso di valutazione della conformità si applica. La maggior parte dei prodotti è nella categoria Standard. Solo quelli esplicitamente elencati negli Allegati III e IV sono Importanti o Critici.
Default
Qualsiasi prodotto con elementi digitali non elencato negli Allegati III o IV. La grande maggioranza dei dispositivi IoT consumer, software aziendale e dispositivi industriali rientra in questa categoria.
Valutazione della conformità
Modulo A (autovalutazione)
Prodotti di esempio
- Elettrodomestici intelligenti non elencati nell'Allegato III
- App mobile consumer (funzioni non nell'Allegato III)
- Software server per uso generale
- Sensori industriali senza ruolo di infrastruttura critica
Important — Class I
Prodotti elencati nell'Allegato III, Classe I — quelli che presentano un rischio significativo di cybersicurezza per l'UE. Include software di gestione dell'identità, browser, gestori di password e strumenti di gestione della rete.
Valutazione della conformità
Modulo A (se applicate norme armonizzate); altrimenti Modulo B+C o H
Prodotti di esempio
- Software di gestione delle identità e degli accessi privilegiati
- Browser autonomi e integrati
- Gestori di password
- Firewall di rete e applicativi (livello inferiore)
- Microcontrollori e microprocessori (uso generale)
- Controller di interfaccia di rete fisici e virtuali (NIC)
- Sistemi operativi per uso generale
Important — Class II
Prodotti ad alto rischio elencati nell'Allegato III, Classe II — inclusi hypervisor, TPM, gateway per contatori intelligenti e dispositivi adiacenti a infrastrutture critiche. Un organismo notificato deve sempre essere coinvolto.
Valutazione della conformità
Modulo B+C o H (organismo notificato richiesto)
Prodotti di esempio
- Hypervisor e motori di runtime per container
- Trusted Platform Module (TPM)
- Firewall e IDS/IPS per uso industriale/infrastrutture critiche
- Elementi sicuri
- Gateway per contatori intelligenti
- Software per sistemi di automazione e controllo industriale
- Software di accesso remoto
Critical
I prodotti a rischio più elevato elencati nell'Allegato IV — dispositivi hardware con box di sicurezza, smart card e moduli hardware di sicurezza specializzati. Soggetti ai requisiti di valutazione della conformità più severi.
Valutazione della conformità
Modulo B+C o H (organismo notificato richiesto) — o certificazione UE di cybersicurezza
Prodotti di esempio
- Moduli hardware di sicurezza (HSM)
- Smart card e lettori di smart card
- Dispositivi hardware con box di sicurezza (antimanomissione)
- Processori crittografici specializzati
Percorsi di valutazione della conformità
| Classe | Modulo A | Modulo B+C / H | Certificazione UE di cybersicurezza |
|---|---|---|---|
| Default | ✓ Sempre disponibile | Opzionale | Opzionale |
| Important — Class I | Se applicate norme armonizzate | Richiesto senza norme armonizzate | Alternativa |
| Important — Class II | ✗ Non disponibile | ✓ Richiesto | Alternativa |
| Critical | ✗ Non disponibile | ✓ Richiesto | Alternativa (quando adottata) |
I regimi di certificazione UE di cybersicurezza ai sensi del Regolamento (UE) 2019/881 (EUCC ecc.) possono sostituire il Modulo B+C/H una volta adottato il pertinente atto di esecuzione.