Produkt krytyczny
Produkt z elementami cyfrowymi stwarzający szczególnie wysokie ryzyko dla cyberbezpieczeństwa ze względu na swoją funkcjonalność lub przeznaczenie, wymieniony w Załączniku III Klasa II CRA. Produkty krytyczne wymagają obowiązkowej oceny zgodności przez stronę trzecią, a mianowicie certyfikacji w ramach europejskiego schematu certyfikacji cyberbezpieczeństwa.
Cytowania źródeł
Podstawa prawna
Artykuł 8(2) oraz Załącznik III Klasa II Rozporządzenia (UE) 2024/2847 definiują produkty krytyczne i ich zakres.
Przykłady produktów krytycznych (Załącznik III Klasa II)
- Sprzętowe moduły bezpieczeństwa (HSM)
- Karty inteligentne i podobne urządzenia bezpiecznego elementu
- Procesory z funkcjami bezpieczeństwa przeznaczone do zastosowań wrażliwych
- Certyfikowane czytniki kart lub tokeny
- Sprzęt do głosowania lub licytacji
- Produkty z certyfikatem w ramach EUCC lub CC EAL 4+
Wymagania dotyczące oceny zgodności dla produktów krytycznych
Producenci produktów krytycznych muszą:
- Uzyskać certyfikację w ramach europejskiego schematu certyfikacji cyberbezpieczeństwa wyznaczonego przez Komisję Europejską
- Jeśli taki schemat jest niedostępny — skorzystać z modułu oceny zgodności przez stronę trzecią (moduł B+H)
Produkty krytyczne vs. ważne produkty
| Cecha | Ważne produkty | Produkty krytyczne |
|---|---|---|
| Kategoria CRA | Załącznik III Klasa I | Załącznik III Klasa II |
| Ocena zgodności | Strona trzecia lub certyfikacja | Obowiązkowa certyfikacja |