製品分類
CRAのデジタル要素を含む製品は4つの階層に分類されます。分類によって適用される適合性評価ルートが決まります。ほとんどの製品はデフォルトです。附属書IIIおよびIVに明示的に記載されているもののみが重要またはクリティカルです。
Default
Default
附属書IIIまたはIVに記載されていないデジタル要素を含むすべての製品。消費者向けIoT、エンタープライズソフトウェア、産業機器の大部分がここに該当します。
適合性評価
モジュールA(自己評価)
製品例
- 附属書IIIに含まれないスマート家電
- 消費者向けモバイルアプリ(附属書III対象外機能)
- 汎用サーバーソフトウェア
- 重要インフラの役割を持たない産業用センサー
Important — Class IAnnex III, Class I
Important — Class I
附属書III、クラスIに記載された製品 — EUに対して重大なサイバーセキュリティリスクをもたらすもの。アイデンティティ管理ソフトウェア、ブラウザ、パスワードマネージャー、ネットワーク管理ツールが含まれます。
適合性評価
モジュールA(調和規格適用の場合);それ以外はモジュールB+CまたはH
製品例
- アイデンティティ管理および特権アクセス管理ソフトウェア
- スタンドアロンおよび組み込みブラウザ
- パスワードマネージャー
- ネットワークおよびアプリケーションファイアウォール(下位層)
- マイクロコントローラーおよびマイクロプロセッサー(汎用)
- 物理および仮想ネットワークインターフェースコントローラー(NIC)
- 汎用オペレーティングシステム
Important — Class IIAnnex III, Class II
Important — Class II
附属書III、クラスIIに記載された高リスク製品 — ハイパーバイザー、TPM、スマートメーターゲートウェイ、産業/重要インフラ隣接デバイスを含む。認定機関は常に関与する必要があります。
適合性評価
モジュールB+CまたはH(認定機関が必要)
製品例
- ハイパーバイザーおよびコンテナーランタイムエンジン
- トラステッドプラットフォームモジュール(TPM)
- 産業/重要インフラ向けファイアウォールおよびIDS/IPS
- セキュアエレメント
- スマートメーターゲートウェイ
- 産業自動化・制御システムソフトウェア
- リモートアクセスソフトウェア
CriticalAnnex IV
Critical
附属書IVに記載された最高リスク製品 — セキュリティボックス付きハードウェアデバイス、スマートカード、特殊ハードウェアセキュリティモジュール。最も厳格な適合性評価要件の対象です。
適合性評価
モジュールB+CまたはH(認定機関が必要)— またはEUサイバーセキュリティ認証
製品例
- ハードウェアセキュリティモジュール(HSM)
- スマートカードおよびスマートカードリーダー
- セキュリティボックス付きハードウェアデバイス(改ざん防止)
- 特殊暗号化プロセッサー
適合性評価ルート
| クラス | モジュールA | モジュールB+C / H | EUサイバーセキュリティ認証 |
|---|---|---|---|
| Default | ✓ 常に利用可能 | 任意 | 任意 |
| Important — Class I | 調和規格適用の場合 | 調和規格なしの場合に必要 | 代替手段 |
| Important — Class II | ✗ 利用不可 | ✓ 必須 | 代替手段 |
| Critical | ✗ 利用不可 | ✓ 必須 | 代替手段(採択後) |
規則(EU)2019/881(EUCCなど)に基づくEUサイバーセキュリティ認証スキームは、関連実施法が採択されたらモジュールB+C/Hの代替として使用できます。