关键产品
因其网络安全风险极高而被列入《网络弹性法》附件三II类的数字元素产品。关键 产品须接受最严格的合格评定程序,要求通报机构全面参与或取得欧洲网络安全认证 体系的认证。
来源引用
法律依据
欧盟法规2024/2847第8条(3)款及附件三II类定义关键产品及其范围。
关键产品示例(附件三II类)
- 硬件安全设备(HSM、TPM)
- 操作系统(通用及实时操作系统)
- 防火墙及入侵检测/防御系统
- 安全路由器和交换机(用于工业或关键基础设施)
- 智能电表及相关基础设施
- 工业控制系统(PLC、SCADA组件)
合格评定要求
关键产品制造商须使用:
- 欧洲网络安全认证体系——由欧盟网络安全局(ENISA)认可的体系,或
- 模块B+C或H——由通报机构参与执行
不允许自我评估。
与重要产品的比较
| 产品类别 | 评定要求 | 认证级别 |
|---|---|---|
| 默认产品 | 自我评估 | 低 |
| 重要产品(I类) | 通报机构参与 | 中 |
| 关键产品(II类) | 认证或通报机构 | 高 |