产品分类
CRA数字化产品分为四个等级。分类决定适用哪种合规评估路径。大多数产品属于默认类别。只有附件III和IV中明确列出的产品才属于重要或关键类别。
Default
Default
附件III或IV中未列出的任何数字化产品。绝大多数消费者物联网、企业软件和工业设备属于此类。
合规评估
模块A(自我评估)
示例产品
- 不在附件III中的智能家电
- 消费者移动应用(非附件III功能)
- 通用服务器软件
- 无关键基础设施职能的工业传感器
Important — Class IAnnex III, Class I
Important — Class I
附件III第I类产品 — 对欧盟构成重大网络安全风险的产品。包括身份管理软件、浏览器、密码管理器(轻量级)和网络管理工具。
合规评估
模块A(如适用协调标准);否则模块B+C或H
示例产品
- 身份管理和特权访问管理软件
- 独立和嵌入式浏览器
- 密码管理器
- 网络和应用防火墙(低级别)
- 微控制器和微处理器(通用)
- 物理和虚拟网络接口控制器(NIC)
- 通用操作系统
Important — Class IIAnnex III, Class II
Important — Class II
附件III第II类高风险产品 — 包括虚拟机监控程序、TPM、智能电表网关及工业/关键基础设施邻近设备。必须始终有通知机构参与。
合规评估
模块B+C或H(需要通知机构)
示例产品
- 虚拟机监控程序和容器运行时引擎
- 可信平台模块(TPM)
- 工业/关键基础设施防火墙和IDS/IPS
- 安全元件
- 智能电表网关
- 工业自动化和控制系统软件
- 远程访问软件
CriticalAnnex IV
Critical
附件IV中列出的最高风险产品 — 带安全箱的硬件设备、智能卡和专用硬件安全模块。需满足最严格的合规评估要求。
合规评估
模块B+C或H(需要通知机构)— 或欧盟网络安全认证
示例产品
- 硬件安全模块(HSM)
- 智能卡和智能卡读卡器
- 带安全箱的硬件设备(防篡改)
- 专用密码处理器
合规评估路径
| 类别 | 模块A | 模块B+C / H | 欧盟网络安全认证 |
|---|---|---|---|
| Default | ✓ 始终可用 | 可选 | 可选 |
| Important — Class I | 如适用协调标准 | 无协调标准时需要 | 替代方案 |
| Important — Class II | ✗ 不适用 | ✓ 必需 | 替代方案 |
| Critical | ✗ 不适用 | ✓ 必需 | 替代方案(通过后) |
根据法规(EU)2019/881(EUCC等)的欧盟网络安全认证方案,一旦相关实施法案通过,可替代模块B+C/H。