Ihr CRA-Konformitätsbewertungsweg hängt von der Produktklassifizierung ab. Standard-Produkte können in der Regel die interne Kontrolle nutzen. Wichtige und Kritische Produkte benötigen unter Umständen eine notifizierte Stelle oder, bei Kritischen Produkten unter den spezifischen Voraussetzungen der Verordnung, ein EU-Cybersicherheitszertifikat.
Zusammenfassung
- Die CRA-Klassifizierung beginnt mit dem Anwendungsbereich: Das Produkt muss digitale Elemente und eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz haben.
- Produkte, deren Kernfunktionalität in der Liste wichtiger Produkte aufgeführt ist, sind Wichtige Produkte, aufgeteilt in Klasse I und Klasse II.
- Produkte, deren Kernfunktionalität in die Liste kritischer Produkte aufgeführt ist, sind Kritische Produkte.
- Standard-Produkte können die interne Kontrolle auf Grundlage von Modul A nutzen.
- Wichtige Produkte der Klasse I können nur dann bei der internen Kontrolle bleiben, wenn die einschlägigen Normen, gemeinsamen Spezifikationen oder Zertifizierungsschemata vollständig angewendet werden.
- Kritische Produkte nutzen entweder den Zertifizierungsweg oder, wenn dieser Weg nicht verfügbar und anwendbar ist, die standardmäßigen Drittbewertungswege.
Tipp: Als Arbeitsschätzung, nicht als im CRA festgelegter Wert, fallen etwa 90 % der Produkte in die Kategorie Standard. Prüfen Sie zuerst die Listen für kritische und wichtige Produkte. Ist Ihr Produkt dort nicht aufgeführt, ist es meist Standard.
Starten Sie hier nur, wenn das Produkt digitale Elemente und eine direkte oder indirekte Datenverbindung hat.
Die höchste Risikostufe. Ein "Ja" bedeutet Zertifizierung oder einen der Drittbewertungswege.
Diese Produkte benötigen in der Regel einen Drittbewertungs- oder Zertifizierungsweg.
Diese Stufe umfasst außerdem Identitätssysteme, SIEM, PKI, Netzschnittstellen, sicherheitsfähige Chips, bestimmte Spielzeuge und bestimmte Wearables.
Für eine schnelle erste Einschätzung des Anwendungsbereichs nutzen Sie den kostenlosen CRA-Anwendbarkeits-Check. Behandeln Sie das Ergebnis als Ausgangspunkt und dokumentieren Sie die rechtliche Klassifizierung anschließend separat.
Die vier CRA-Produktkategorien
Der CRA klassifiziert Produkte mit digitalen Elementen in vier Stufen nach Cybersicherheitsrisiko: Standard, Wichtig Klasse I, Wichtig Klasse II und Kritisch. Die Stufenzuordnung hängt davon ab, ob die Kernfunktionalität des Produkts den Listen für wichtige oder kritische Produkte entspricht.
Interne Kontrolle auf Grundlage von Modul A ist verfügbar, wenn das Produkt sonst in den CRA-Anwendungsbereich fällt.
Keine wichtige oder kritische Kernfunktionalität.Modul A bleibt nur bei vollständiger Anwendung der einschlägigen Normen, Spezifikationen oder Schemata verfügbar.
Liste Wichtig Klasse I.Modul B+C, Modul H oder ein anwendbares Zertifizierungsschema nutzen.
Liste Wichtig Klasse II.Zertifizierung gilt, wenn die Voraussetzungen von Zertifizierungsvoraussetzungen erfüllt sind. Sonst gelten die Wege nach Drittprüfungswege.
Kritisch-Liste.Standard-Produkte
Die große Mehrheit der Produkte fällt hierunter. Liegt Ihr Produkt im CRA-Anwendungsbereich, ist seine Kernfunktionalität aber nicht in der Liste wichtiger Produkte oder die Liste kritischer Produkte aufgeführt, ist es Standard.
Konformitätsbewertung: Selbstbewertung (Modul A) ist ausreichend.
Beispiele:
- Einfache IoT-Sensoren
- Grundlegende Unterhaltungselektronik
- Standard-Business-Software
- Allzweck-Anwendungen
- Eingebettete Geräte, deren Zweckbestimmung oder vernünftigerweise vorhersehbare Verwendung eine Datenverbindung einschließt, aber keine Kernfunktionalität aus die Liste wichtiger Produkte oder die Liste kritischer Produkte aufweist
Wichtig Klasse I
Produkte mit erhöhtem Risiko aufgrund ihrer Funktion oder Nutzerbasis.
Konformitätsbewertung: Interne Kontrolle ist nur verfügbar, wenn Sie die einschlägigen harmonisierten Normen, gemeinsamen Spezifikationen oder europäischen Cybersicherheitszertifizierungsschemata mindestens der Vertrauenswürdigkeitsstufe „wesentlich" vollständig anwenden. Stehen diese nicht zur Verfügung oder wenden Sie sie nicht vollständig an, nutzen Sie Modul B+C oder Modul H.
Vollständige Liste Wichtig Klasse I:
- (1) Identitätsmanagementsysteme sowie Software und Hardware für die Verwaltung privilegierter Zugänge bzw. Zugriffe, einschließlich Lesegeräte für die Authentifizierung und Zugangskontrolle, auch biometrische Lesegeräte
- (2) Eigenständige und eingebettete Browser
- (3) Passwort-Manager
- (4) Software für die Suche, Entfernung und Quarantäne von Schadsoftware
- (5) Produkte mit digitalen Elementen mit der Funktion eines virtuellen privaten Netzes (VPN)
- (6) Netzmanagementsysteme
- (7) Systeme für die Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM)
- (8) Bootmanager
- (9) Public-Key-Infrastrukturen und Software für die Ausstellung digitaler Zertifikate
- (10) Physische und virtuelle Netzschnittstellen
- (11) Betriebssysteme
- (12) Router, Modems für die Internetanbindung und Switches
- (13) Mikroprozessoren mit sicherheitsrelevanten Funktionen
- (14) Mikrocontroller mit sicherheitsrelevanten Funktionen
- (15) Anwendungsspezifische integrierte Schaltungen (ASIC) und FPGA (Field Programmable Gate Array) mit sicherheitsrelevanten Funktionen
- (16) Virtuelle Assistenten für die intelligente häusliche Umgebung mit allgemeinem Zweck
- (17) Produkte für die intelligente häusliche Umgebung mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Sicherheitskameras, Babyüberwachungssysteme und Alarmanlagen
- (18) Mit dem Internet verbundenes Spielzeug, das unter die Richtlinie 2009/48/EG fällt und über Funktionen zur sozialen Interaktion (z. B. Sprechen oder Filmen) oder zur Ortung verfügt
- (19) Am Körper tragbare Produkte, die zum Zwecke der Gesundheitsüberwachung (z. B. Tracking) bestimmt sind und nicht unter die Verordnungen (EU) 2017/745 oder (EU) 2017/746 fallen, oder am Körper tragbare Produkte, die für die Verwendung durch und für Kinder bestimmt sind
Wichtig Klasse II
Produkte mit höherem Risiko, die eine obligatorische Drittbewertung erfordern.
Konformitätsbewertung: Nutzen Sie Modul B+C, Modul H oder, soweit verfügbar und anwendbar, ein europäisches Cybersicherheitszertifizierungsschema mindestens auf Vertrauenswürdigkeitsstufe substanziell.
Vollständige Liste Wichtig Klasse II:
- (1) Hypervisoren und Container-Runtime-Systeme, die eine virtualisierte Ausführung von Betriebssystemen und ähnlichen Umgebungen unterstützen
- (2) Firewalls, Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme
- (3) Manipulationssichere Mikroprozessoren
- (4) Manipulationssichere Mikrocontroller
Kritische Produkte
Die Kategorie mit dem höchsten Risiko umfasst Hardwaregeräte mit Sicherheitsboxen, Smart-Meter-Gateways und andere Geräte für fortgeschrittene Sicherheitszwecke sowie Chipkarten oder ähnliche Geräte.
Konformitätsbewertung: Nutzen Sie den Zertifizierungsweg, wenn die Zertifizierungsvoraussetzungen erfüllt sind. Andernfalls nutzen Sie die Drittprüfungswege.
Vollständige Liste Kritisch:
- (1) Hardwaregeräte mit Sicherheitsboxen
- (2) Smart-Meter-Gateways in intelligenten Messsystemen im Sinne von Nummer 23 der Richtlinie (EU) 2019/944 sowie andere Geräte für fortgeschrittene Sicherheitszwecke, einschließlich der sicheren Kryptoverarbeitung
- (3) Chipkarten oder ähnliche Geräte, einschließlich Sicherheitselemente
Konformitätsbewertungswege nach Kategorie
Jede Stufe ist einem bestimmten Satz von Konformitätsbewertungsmodulen zugeordnet: Standard nutzt in der Regel interne Kontrolle, Wichtig Klasse I nur bei vollständiger Normen- oder Schemaabdeckung, Wichtig Klasse II einen Drittprüfungs- oder Zertifizierungsweg und Kritisch die Zertifizierung, soweit verfügbar, oder die Drittprüfungswege.
Interne Fertigungskontrolle ist verfügbar, wenn das Produkt keinen Kernfunktionalitätstreffer in die Listen wichtiger oder kritischer Produkte hat.
Notifizierte Stelle: nicht erforderlichModul A gilt nur bei vollständiger Abdeckung durch Normen, gemeinsame Spezifikationen oder Zertifizierungsschemata. Andernfalls Modul B+C oder Modul H nutzen.
Notifizierte Stelle: erforderlich bei Modul B+C oder HDrittbewertungsweg oder anwendbares europäisches Cybersicherheitszertifizierungsschema mindestens auf Vertrauenswürdigkeitsstufe substanziell.
Notifizierte Stelle: erforderlich für B+C oder H; Schemaregeln gelten für ZertifizierungNutzen Sie den Zertifizierungsweg, wenn die Zertifizierungsvoraussetzungen erfüllt sind. Andernfalls nutzen Sie die Drittprüfungswege.
Notifizierte Stelle: hängt vom verfügbaren Weg abModul A ist interne Kontrolle: technische Dokumentation, EU-Konformitätserklärung, CE-Kennzeichnung. Kein externer Prüfer ist beteiligt.
Modul B+C teilt die Arbeit auf: Eine notifizierte Stelle prüft ein Baumuster und stellt ein Zertifikat aus (Modul B). Der Hersteller stellt anschließend sicher, dass die gesamte Produktion diesem Baumuster entspricht (Modul C).
Modul H ersetzt den produktbezogenen Ansatz durch eine Prüfung des Qualitätsmanagementsystems des Herstellers. Das passt besser zu großen Produktportfolios.
Bei Kritischen Produkten ist die Zertifizierung kein Zusatz zu Modul B+C oder Modul H. Sie ist der primäre Weg, wenn die Zertifizierungsvoraussetzungen erfüllt sind; andernfalls nutzt das Produkt die Drittprüfungswege.
Produkte klassifizieren, die in mehrere Kategorien fallen
Nicht jedes Produkt passt eindeutig in eine Kategorie. Das sind die häufigsten Grenzfälle.
Multifunktionsprodukte
Regel: Konzentrieren Sie sich auf die Kernfunktionalität des Produkts. Ein Produkt, dessen Kernfunktionalität einer Kategorie aus die Liste wichtiger Produkte entspricht, ist Wichtig. Die bloße Integration einer Klasse-I-Komponente in ein Host-Produkt macht dieses Host-Produkt aber nicht automatisch zu einem Wichtigen Produkt.
Beispiel: Ein Smart-Home-Hub umfasst:
- Grundlegende Automatisierungssteuerung (Standard)
- VPN-Funktionalität (Wichtig Klasse I)
- Sicherheitskamera-Integration (Wichtig Klasse I)
Klassifizierung: Wichtig Klasse I, wenn die VPN- oder Sicherheitskamera-Funktionalität zur Kernfunktionalität des Produkts gehört.
Eingebettete Komponenten
Regel: Prüfen Sie, ob sicherheitsrelevante Komponenten separat in Verkehr gebracht werden oder dem Host-Produkt die Kernfunktionalität einer Kategorie aus die Liste wichtiger Produkte verleihen.
Beispiel: Ein Verbrauchergerät enthält:
- Allzweck-Mikrocontroller -> Standard
- Mikrocontroller "mit sicherheitsrelevanten Funktionen" -> Wichtig Klasse I
Schlüsselfrage: Führt der Mikrocontroller Sicherheitsfunktionen aus, etwa Verschlüsselung, Authentifizierung oder Secure Boot?
Überlegungen zur Zweckbestimmung
Mehrere gelistete Kategorien nennen die Zweckbestimmung oder den Produktkontext, etwa Einträge zu "mit dem Internet verbundenem Spielzeug, das unter die Richtlinie 2009/48/EG fällt" oder zu am Körper tragbaren Produkten zur Gesundheitsüberwachung mit Bezug auf die Verordnungen 2017/745 und 2017/746.
Wenn Ihr Produkt in solchen Kontexten verwendet werden könnte, aber nicht speziell dafür bestimmt ist, gilt die Klassifizierung möglicherweise nicht. Dokumentieren Sie die Zweckbestimmung klar.
Betriebssysteme
Betriebssysteme sind in Liste Wichtig Klasse I aufgeführt. Die praktische Frage ist, ob das in Verkehr gebrachte Produkt ein Betriebssystem ist oder ob die Firmware nur Teil eines breiteren Produkts ist, dessen Kernfunktionalität etwas anderes ist:
| BS-Typ | Klassifizierung |
|---|---|
| Betriebssystem, das als Produkt in Verkehr gebracht wird | Wichtig Klasse I |
| Firmware in einem breiteren Produkt | Das breitere Produkt nach seiner Kernfunktionalität klassifizieren |
Beispiel: Eine als Betriebssystem verkaufte angepasste Linux-Distribution ist Wichtig Klasse I. Firmware in einem einfachen vernetzten Sensor kann den Sensor dennoch in Standard belassen, wenn keine Kernfunktionalität aus die Liste wichtiger Produkte oder die Liste kritischer Produkte vorliegt.
Software vs. Hardware
Die Klassifizierung betrachtet das Produkt so, wie es in Verkehr gebracht wird:
- Eigenständige Software: Klassifizierung nach Softwarefunktion
- Hardware mit eingebetteter Software: Klassifizierung nach kombinierter Funktionalität
- Separat verkaufte Softwarekomponente: Eigenständige Klassifizierung
Branchenspezifische Hinweise
Viele IoT-Geräte sind Standard, sofern ihre Kernfunktionalität keiner gelisteten Kategorie entspricht.
- VPN-Funktionalität: Wichtig Klasse I
- Smart-Home-Sicherheitsgeräte: Wichtig Klasse I
- Manipulationssichere Sicherheitsfunktionen: Wichtig Klasse II
Die meiste Software ist Standard, sofern das Produkt selbst keine gelistete Funktion bereitstellt.
- Browser, Passwort-Manager, Anti-Malware: Wichtig Klasse I
- Firewalls und IDS/IPS: Wichtig Klasse II
- Betriebssysteme: Wichtig Klasse I
Die Klassifizierung hängt von der Sicherheitsfunktion ab und davon, wie die Komponente in Verkehr gebracht wird.
- Sicherheitsfunktionen in Prozessoren und Mikrocontrollern prüfen
- Prüfen, ob die Komponente separat verkauft wird
- Prüfen, ob die Sicherheitsfunktion zur Kernfunktionalität des Produkts gehört
Produkte, die unter die MDR oder IVDR fallen, sind vom CRA-Anwendungsbereich ausgenommen. Begleitsoftware oder nichtmedizinische Funktionen können dennoch eine separate CRA-Anwendungsbereichsprüfung erfordern.
Häufige Klassifizierungsfehler
Wichtig: Die Klassifizierung basiert auf der Produktfunktion, nicht auf Marktsektor, Unternehmensgröße oder Produktkomplexität. Prüfen Sie immer die Listen wichtiger und kritischer Produkte.
Ein intelligentes Türschloss für Verbraucher kann trotzdem Wichtig Klasse I sein, weil die Klassifizierung der Funktion folgt, nicht dem Zielmarkt.
Geschäftliche oder industrielle Nutzung senkt die Stufe nicht. Entscheidend bleiben der CRA-Anwendungsbereich und die Kernfunktionalitätslisten in die Listen wichtiger oder kritischer Produkte.
Größe und Komplexität bestimmen die Klassifizierung nicht. Ein kleiner Sicherheits-Mikrocontroller kann Wichtig Klasse I sein, ein komplexes Produkt ohne gelistete Funktion Standard.
ISO 27001 ist ein organisatorischer Standard für das Informationssicherheitsmanagement. CRA-Klassifizierung und Konformitätsbewertung bleiben produktspezifisch.
Checkliste zur Produktklassifizierung
- Produkt hat digitale Elemente und eine direkte oder indirekte Datenverbindung
- Produkt wird auf dem EU-Markt bereitgestellt
- Produkt fällt nicht unter eine sektorale oder sicherheitsbezogene Ausnahme
- Hardwaregerät mit Sicherheitsbox
- Smart-Meter-Gateway oder anderes Gerät für fortgeschrittene Sicherheitszwecke
- Chipkarte oder ähnliches Gerät, einschließlich Sicherheitselemente
Jede Übereinstimmung bedeutet Kritisch.
- Hypervisor oder Container-Runtime-System
- Firewall, Intrusion-Detection- oder Intrusion-Prevention-System
- Manipulationssicherer Mikroprozessor oder Mikrocontroller
Jede Übereinstimmung bedeutet Wichtig Klasse II.
- Die vollständige Liste der 19 Kategorien prüfen
- Auswirkungen mehrerer Funktionen prüfen
- Sicherheitsrelevante Funktionen in Komponenten prüfen
Jede gelistete Kategorie bedeutet Wichtig Klasse I.
- Produkt ist im CRA-Anwendungsbereich
- Keine wichtige oder kritische Kernfunktionalität
- Begründung der Klassifizierung ist dokumentiert
Keine gelistete Kategorie bedeutet Standard.
- Modul A für Standard oder für Klasse I bei vollständiger Normen-, Spezifikations- oder Schemaabdeckung
- Modul B+C oder H für Klasse I ohne vollständige Abdeckung, Klasse II und Kritisch-Ausweichwege
- Zertifizierungsvoraussetzungen für kritische Produkte
Häufig gestellte Fragen
Fällt ein Smart-Home-Router unter Wichtig Klasse I oder Standard?
Wichtig Klasse I ist die wahrscheinliche Klassifizierung. Router für die Internetanbindung sind in Liste Wichtig Klasse I Nummer 12 aufgeführt. Interne Kontrolle bleibt nur verfügbar, wenn die einschlägigen harmonisierten Normen, gemeinsamen Spezifikationen oder Zertifizierungsschemata vollständig angewendet werden. Andernfalls nutzen Sie Modul B+C oder Modul H. Siehe CRA-Konformitätsbewertungswege.
Gilt der CRA für SaaS-Produkte ohne physische Hardware?
Das hängt davon ab, ob die Software ein Produkt mit digitalen Elementen im CRA-Anwendungsbereich ist. Eine Fernverarbeitungslösung ist erfasst, wenn sie vom Hersteller oder unter seiner Verantwortung konzipiert wurde und für ein Produkt mit digitalen Elementen notwendig ist, damit dieses eine Funktion erfüllen kann. Der Anwendungsbereich setzt außerdem eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netz voraus.
Welche Kategorie gilt, wenn mein Produkt sowohl Standard- als auch Klasse-I-Funktionen hat?
Die höhere Stufe gewinnt, wenn die höher riskante Funktion zur Kernfunktionalität des Produkts gehört. Ein Produkt, dessen Kernfunktionalität einer gelisteten Wichtig-Kategorie entspricht, fällt in die Wichtig-Stufe. Die bloße Integration einer Klasse-I-Komponente in ein Host-Produkt führt jedoch nicht automatisch dazu, dass dieses Host-Produkt die Konformitätswege eines Wichtigen Produkts durchläuft. Dokumentieren Sie, warum die gelistete Funktion für das in Verkehr gebrachte Produkt Kernfunktionalität ist oder nicht.
Beeinflusst eine ISO-27001-Zertifizierung meine CRA-Produktklassifizierung?
Nein. Die CRA-Klassifizierung richtet sich nach der Kernfunktionalität des Produkts im Abgleich mit die Liste wichtiger Produkte und die Liste kritischer Produkte. ISO 27001 betrifft das organisatorische Informationssicherheitsmanagement und ändert nicht, ob ein Produkt nach dem CRA Standard, Wichtig Klasse I, Wichtig Klasse II oder Kritisch ist. Siehe CRA vs ISO 27001.
Wann muss die CRA-Produktklassifizierung feststehen?
Bestimmen Sie die Klassifizierung vor der Bereitstellung auf dem EU-Markt. Die Klassifizierung legt den Konformitätsbewertungsweg fest, der die EU-Konformitätserklärung und die CE-Kennzeichnung trägt. Hersteller müssen die Konformitätsbewertung abschließen, bevor sie das Produkt als konform bereitstellen. Siehe den CRA-Implementierungszeitplan.
Wo finde ich eine notifizierte Stelle für die CRA-Konformitätsbewertung?
Nutzen Sie NANDO als aktuelles Register für benannte notifizierte Stellen. CRA-spezifische Benennungen werden noch veröffentlicht. Prüfen Sie deshalb direkt, welche Stellen nach Verordnung (EU) 2024/2847 benannt sind. Wichtige Produkte der Klasse I benötigen nur dann eine notifizierte Stelle, wenn der Hersteller sich nicht vollständig auf die einschlägigen harmonisierten Normen, gemeinsamen Spezifikationen oder Zertifizierungsschemata stützen kann.