クリティカル製品
その機能または用途により特に高いサイバーセキュリティリスクをもたらすと みなされ、CRA附属書IIIクラスIIに列挙されているデジタル要素を含む製品。 クリティカル製品は第三者機関による強制的な適合性評価、すなわち欧州 サイバーセキュリティ認証スキームによる認証が必要である。
出典引用
法的根拠
規則(EU)2024/2847第8条(2)および附属書IIIクラスIIがクリティカル製品と その範囲を定義している。
クリティカル製品の例(附属書IIIクラスII)
- ハードウェアセキュリティモジュール(HSM)
- スマートカードおよび類似のセキュアエレメントデバイス
- 高度なセキュリティ機能を持つ機密用途向けプロセッサ
- 認証済みカードリーダーまたはトークン
- 電子投票・入札ハードウェア
- EUCC認証またはCC EAL 4+取得製品
クリティカル製品の適合性評価要件
クリティカル製品の製造業者は:
- 欧州委員会が指定する欧州サイバーセキュリティ認証スキームによる認証 を取得する必要がある
- そのスキームが利用できない場合は、第三者機関による適合性評価モジュール (B+H)を使用する
クリティカル製品と重要製品の比較
| 特性 | 重要製品 | クリティカル製品 |
|---|---|---|
| CRAカテゴリ | 附属書IIIクラスI | 附属書IIIクラスII |
| 適合性評価 | 第三者機関または認証 | 強制認証 |