產品分類
CRA數位化產品分為四個等級。分類決定適用哪種合規評估路徑。大多數產品屬於預設類別。只有附件III和IV中明確列出的產品才屬於重要或關鍵類別。
Default
Default
附件III或IV中未列出的任何數位化產品。絕大多數消費者物聯網、企業軟體和工業設備屬於此類。
合規評估
模組A(自我評估)
示例產品
- 不在附件III中的智慧家電
- 消費者行動應用(非附件III功能)
- 通用伺服器軟體
- 無關鍵基礎設施職能的工業感測器
Important — Class IAnnex III, Class I
Important — Class I
附件III第I類產品 — 對歐盟構成重大網路安全風險的產品。包括身份管理軟體、瀏覽器、密碼管理器(輕量級)和網路管理工具。
合規評估
模組A(如適用協調標準);否則模組B+C或H
示例產品
- 身份管理和特權存取管理軟體
- 獨立和嵌入式瀏覽器
- 密碼管理器
- 網路和應用防火牆(低級別)
- 微控制器和微處理器(通用)
- 實體和虛擬網路介面控制器(NIC)
- 通用作業系統
Important — Class IIAnnex III, Class II
Important — Class II
附件III第II類高風險產品 — 包括虛擬機器監控程式、TPM、智慧電表閘道器及工業/關鍵基礎設施鄰近設備。必須始終有通知機構參與。
合規評估
模組B+C或H(需要通知機構)
示例產品
- 虛擬機器監控程式和容器執行時期引擎
- 可信賴平台模組(TPM)
- 工業/關鍵基礎設施防火牆和IDS/IPS
- 安全元件
- 智慧電表閘道器
- 工業自動化和控制系統軟體
- 遠端存取軟體
CriticalAnnex IV
Critical
附件IV中列出的最高風險產品 — 帶安全箱的硬體設備、智慧卡和專用硬體安全模組。需滿足最嚴格的合規評估要求。
合規評估
模組B+C或H(需要通知機構)— 或歐盟網路安全認證
示例產品
- 硬體安全模組(HSM)
- 智慧卡和智慧卡讀卡機
- 帶安全箱的硬體設備(防篡改)
- 專用密碼處理器
合規評估路徑
| 類別 | 模組A | 模組B+C / H | 歐盟網路安全認證 |
|---|---|---|---|
| Default | ✓ 始終可用 | 可選 | 可選 |
| Important — Class I | 如適用協調標準 | 無協調標準時需要 | 替代方案 |
| Important — Class II | ✗ 不適用 | ✓ 必需 | 替代方案 |
| Critical | ✗ 不適用 | ✓ 必需 | 替代方案(通過後) |
根據法規(EU)2019/881(EUCC等)的歐盟網路安全認證方案,一旦相關實施法案通過,可替代模組B+C/H。