Klasyfikacja produktów
Produkty CRA z elementami cyfrowymi klasyfikowane są w czterech poziomach. Klasyfikacja określa, która ścieżka oceny zgodności ma zastosowanie. Większość produktów należy do kategorii Domyślny. Tylko te wyraźnie wymienione w Załącznikach III i IV są Ważne lub Krytyczne.
Default
Każdy produkt z elementami cyfrowymi nieumieszczony w Załącznikach III lub IV. Zdecydowana większość konsumenckich urządzeń IoT, oprogramowania dla przedsiębiorstw i urządzeń przemysłowych należy do tej kategorii.
Ocena zgodności
Moduł A (samoocena)
Przykładowe produkty
- Inteligentne urządzenia AGD nieumieszczone w Załączniku III
- Konsumenckie aplikacje mobilne (funkcje spoza Załącznika III)
- Oprogramowanie serwera ogólnego przeznaczenia
- Czujniki przemysłowe bez roli infrastruktury krytycznej
Important — Class I
Produkty wymienione w Załączniku III, Klasa I — te stanowiące znaczące ryzyko cyberbezpieczeństwa dla UE. Obejmuje oprogramowanie do zarządzania tożsamością, przeglądarki, menedżery haseł i narzędzia do zarządzania siecią.
Ocena zgodności
Moduł A (w przypadku zastosowania norm zharmonizowanych); w przeciwnym razie Moduł B+C lub H
Przykładowe produkty
- Oprogramowanie do zarządzania tożsamością i uprzywilejowanym dostępem
- Przeglądarki autonomiczne i wbudowane
- Menedżery haseł
- Zapory sieciowe i aplikacyjne (niższy poziom)
- Mikrokontrolery i mikroprocesory (ogólnego przeznaczenia)
- Fizyczne i wirtualne kontrolery interfejsu sieciowego (NIC)
- Systemy operacyjne do użytku ogólnego
Important — Class II
Produkty o podwyższonym ryzyku wymienione w Załączniku III, Klasa II — w tym hiperwizory, TPM, bramy inteligentnych liczników i urządzenia sąsiadujące z infrastrukturą krytyczną. Jednostka notyfikowana musi być zawsze zaangażowana.
Ocena zgodności
Moduł B+C lub H (wymagana jednostka notyfikowana)
Przykładowe produkty
- Hiperwizory i silniki uruchomieniowe kontenerów
- Moduły Trusted Platform Module (TPM)
- Zapory sieciowe i IDS/IPS do użytku przemysłowego/infrastruktury krytycznej
- Bezpieczne elementy
- Bramy inteligentnych liczników
- Oprogramowanie systemów automatyki i sterowania przemysłowego
- Oprogramowanie do zdalnego dostępu
Critical
Produkty o najwyższym ryzyku wymienione w Załączniku IV — urządzenia sprzętowe z sejfami bezpieczeństwa, karty inteligentne i specjalistyczne sprzętowe moduły bezpieczeństwa. Podlegają najostrzejszym wymaganiom oceny zgodności.
Ocena zgodności
Moduł B+C lub H (wymagana jednostka notyfikowana) — lub certyfikacja EU w zakresie cyberbezpieczeństwa
Przykładowe produkty
- Sprzętowe moduły bezpieczeństwa (HSM)
- Karty inteligentne i czytniki kart inteligentnych
- Urządzenia sprzętowe z sejfami bezpieczeństwa (odporne na manipulację)
- Specjalistyczne procesory kryptograficzne
Ścieżki oceny zgodności
| Klasa | Moduł A | Moduł B+C / H | Certyfikacja EU w zakresie cyberbezpieczeństwa |
|---|---|---|---|
| Default | ✓ Zawsze dostępny | Opcjonalny | Opcjonalna |
| Important — Class I | W przypadku zastosowania norm zharmonizowanych | Wymagany bez norm zharmonizowanych | Alternatywa |
| Important — Class II | ✗ Niedostępny | ✓ Wymagany | Alternatywa |
| Critical | ✗ Niedostępny | ✓ Wymagany | Alternatywa (po przyjęciu) |
Europejskie programy certyfikacji cyberbezpieczeństwa na mocy Rozporządzenia (UE) 2019/881 (EUCC itp.) mogą zastąpić Moduł B+C/H po przyjęciu odpowiedniego aktu wykonawczego.