Clasificación de Productos CRA: ¿Tu Producto es Por Defecto, Importante o Critico?

Tu ruta de Evaluación de conformidad CRA, y su coste, depende de la Clasificación de tu producto. Los productos "Importantes" y "Criticos" requieren Evaluación de terceros obligatoria. Los productos "Por Defecto" pueden autocertificarse.

Esta Guía te ayuda a determinar tu categoria y lo Qué significa para el cumplimiento.

Las Cuatro Categorias de Productos CRA

El CRA clasifica los productos con elementos digitales en cuatro niveles segun el riesgo de ciberseguridad:

┌─────────────────────────────────────────────────────────────┐
│                CATEGORIAS DE PRODUCTOS CRA                   │
├───────────────┬───────────────┬───────────────┬─────────────┤
│  POR DEFECTO  │  IMPORTANTE   │  IMPORTANTE   │   CRITICO   │
│               │    CLASE I    │   CLASE II    │             │
├───────────────┼───────────────┼───────────────┼─────────────┤
│ Autoevalua-   │ Autoevalua-   │ Terceros      │ Terceros    │
│ cion          │ cion SI sigue │ REQUERIDO     │ REQUERIDO   │
│ (Modulo A)    │ estandares    │               │ + EUCC      │
│               │ armonizados   │               │ certificac. │
├───────────────┼───────────────┼───────────────┼─────────────┤
│ ~90% de       │ Listado en    │ Listado en    │ Listado en  │
│ productos     │ Anexo III     │ Anexo III     │ Anexo IV    │
│               │ Parte I       │ Parte II      │             │
└───────────────┴───────────────┴───────────────┴─────────────┘

Productos Por Defecto

La gran mayoria de productos caen aqui. Si tu producto no esta especificamente listado en el Anexo III o IV, es "Por Defecto".

Evaluación de conformidad: Autoevaluacion (Modulo A) es suficiente.

Ejemplos:

• Sensores IoT simples
• Electronica de consumo basica
• Software empresarial estandar
• Aplicaciones de proposito general
• Dispositivos embebidos sin conexion de red

Importante Clase I (Anexo III, Parte I)

Productos con riesgo elevado debido a su función o base de usuarios.

Evaluación de conformidad: Autoevaluacion permitida SI aplicas completamente los estandares armonizados relevantes. De lo contrario, Evaluación de terceros requerida.

Lista completa del Anexo III, Parte I:

1. Sistemas de gestion de identidad y software/hardware de gestion de acceso privilegiado
2. Navegadores web independientes
3. Gestores de contrasenas
4. Software para buscar, eliminar o poner en cuarentena malware
5. Productos con elementos digitales con funcionalidad VPN
6. Sistemas de gestion de redes
7. Sistemas de gestion de informacion y eventos de seguridad (SIEM)
8. Gestores de arranque
9. Software de infraestructura de clave publica y emision de certificados digitales
10. Interfaces de red fisicas y virtuales
11. Sistemas operativos no cubiertos por Clase II
12. Routers y modems destinados a conexion a internet
13. Microprocesadores con funcionalidades relacionadas con la seguridad
14. Microcontroladores con funcionalidades relacionadas con la seguridad
15. Circuitos integrados de aplicacion especifica (ASICs) con funcionalidades de seguridad
16. Matrices de puertas programables en campo (FPGAs) con funcionalidades de seguridad
17. Asistentes virtuales de proposito general para hogar inteligente
18. Productos de hogar inteligente con funcionalidades de seguridad (cerraduras, camaras, vigilabebes, sistemas de alarma)
19. Juguetes conectados a internet con funciones de interaccion social o seguimiento de ubicacion
20. Productos personales vestibles para monitorizacion de salud (no dispositivos medicos)

Importante Clase II (Anexo III, Parte II)

Productos de mayor riesgo Qué requieren Evaluación de terceros obligatoria.

Evaluación de conformidad: Evaluación de terceros (Organismo Notificado) requerida. Sin opcion de autoevaluacion.

Lista completa del Anexo III, Parte II:

1. Hipervisores y sistemas de ejecucion de contenedores Qué soportan ejecucion virtualizada
2. Firewalls, sistemas de deteccion y prevencion de intrusiones (capa de red)
3. Microprocesadores resistentes a manipulacion
4. Microcontroladores resistentes a manipulacion
5. Sistemas operativos para servidores, escritorios y dispositivos moviles
6. Sistemas de automatizacion y control industrial (IACS) destinados a entidades esenciales bajo NIS 2
7. Internet de las Cosas industrial no cubierto en otro lugar
8. Componentes de deteccion y actuacion de robots para uso industrial/profesional
9. Pasarelas de medidores inteligentes destinadas a sistemas de medicion inteligente

Productos Criticos (Anexo IV)

La categoria de mayor riesgo. Modulos de seguridad de hardware y similares.

Evaluación de conformidad: Evaluación de terceros MAS Certificacion de Ciberseguridad de la Union Europea (EUCC) a nivel "sustancial" o superior.

Lista completa del Anexo IV:

1. Dispositivos de hardware con cajas de seguridad
2. Pasarelas de medidores inteligentes dentro de infraestructura de medicion avanzada
3. Lectores de tarjetas inteligentes o dispositivos similares
4. Tokens para propositos de seguridad/criptograficos (hardware)
5. Modulos de Seguridad de Hardware (HSMs)
6. Tarjetas inteligentes o dispositivos similares, incluyendo elementos seguros
7. Criptoprocesadores seguros

Arbol de Decisión: Encontrando Tu Categoria

Usa este proceso para clasificar tu producto:

INICIO: ¿Tu producto tiene elementos digitales?
│
├─ NO → No esta en el alcance del CRA. Para aqui.
│
└─ SI → ¿Esta listado en Anexo IV (Productos criticos)?
     │
     ├─ SI → CRITICO
     │        Terceros + certificacion EUCC requerida
     │
     └─ NO → ¿Esta listado en Anexo III, Parte II (Importante Clase II)?
          │
          ├─ SI → IMPORTANTE CLASE II
          │        Evaluación de terceros requerida
          │
          └─ NO → ¿Esta listado en Anexo III, Parte I (Importante Clase I)?
               │
               ├─ SI → IMPORTANTE CLASE I
               │        Terceros O autoevaluacion con estandares
               │
               └─ NO → POR DEFECTO
                        Autoevaluacion (Modulo A) permitida

Rutas de Evaluación de Conformidad por Categoria

Modulo A: Control de Produccion Interno (Autoevaluacion)

Disponible para: Productos por defecto, Importante Clase I (con estandares armonizados)

Qué implica:

• El fabricante realiza Evaluación interna
• Documenta el cumplimiento en el expediente tecnico
• Emite Declaración de Conformidad UE
• Aplica el marcado CE
• No se requiere auditor externo

Cuando usarlo: La mayoria de productos. Rentable para categoria Por Defecto.

Modulo B+C: Examen de Tipo UE + Control de Produccion

Requerido para: Importante Clase II, Critico (o Importante Clase I sin estandares)

Qué implica:

• Modulo B: Organismo Notificado examina un especimen tipo y Documentación tecnica
• Modulo C: Fabricante asegura Qué la produccion se ajusta al tipo examinado
• ON emite certificado para Modulo B
• Fabricante emite DoC basada en ambos

Cuando usarlo: Cuando la Evaluación de terceros es obligatoria o deseada para credibilidad.

Modulo H: Aseguramiento de Calidad Total

Disponible para: Todas las categorias Cómo alternativa a B+C

Qué implica:

• Organismo Notificado evalua el sistema de gestion de calidad del fabricante
• Cubre diseno, produccion y pruebas
• Auditorias de vigilancia continuas
• Adecuado para fabricantes con muchos productos

Cuando usarlo: Fabricantes de alto volumen con sistemas de calidad maduros.

Certificacion EUCC (Solo Productos Criticos)

Requerida para: Productos criticos (Anexo IV)

Qué implica:

• Certificacion bajo la Ley de Ciberseguridad de la UE
• Nivel de aseguramiento "sustancial" mínimo
• Realizada por organismos de Evaluación de conformidad acreditados
• Adicional a la Evaluación de conformidad estandar

Casos Limite: Cómo Decidir

La Clasificación de productos no siempre es obvia. Aqui hay orientacion para preguntas comunes:

Productos Multifuncion

Regla: Si CUALQUIER función activa una categoria superior, todo el producto se clasifica en ese nivel.

Ejemplo: Un hub de hogar inteligente Qué incluye:

• Control de automatizacion basico (Por Defecto)
• Funcionalidad VPN (Importante Clase I)
• Integración de camara de seguridad (Importante Clase I)

Clasificación: Importante Clase I (categoria mas alta activada)

Componentes Embebidos

Regla: Considera si los componentes relevantes para la seguridad activan la Clasificación.

Ejemplo: Un dispositivo de consumo Qué contiene:

• Microcontrolador de proposito general → Por Defecto
• Microcontrolador "con funcionalidades relacionadas con la seguridad" → Importante Clase I

Pregunta clave: ¿El microcontrolador realiza funciones de seguridad (cifrado, autenticacion, arranque seguro)?

Consideraciones de "Destinado A"

Varios elementos del Anexo III especifican uso previsto:

• "Sistemas de automatizacion y control industrial destinados a entidades esenciales"
• "Pasarelas de medidores inteligentes destinadas a sistemas de medicion inteligente"

Si tu producto podria usarse en estos contextos pero no esta especificamente destinado a ellos, la Clasificación puede no aplicar. Documenta tu uso previsto claramente.

Sistemas Operativos

Los sistemas operativos se dividen entre categorias:

Ejemplo: Una distribucion Linux personalizada para dispositivos embebidos seria tipicamente Importante Clase I. Ubuntu Server seria Importante Clase II.

Orientacion Especifica por Industria

Fabricantes de Dispositivos IoT

La mayoria de dispositivos IoT son Por Defecto a menos Qué:

• Incluyan funcionalidad VPN → Clase I
• Sean dispositivos de seguridad de hogar inteligente → Clase I
• Sean IoT industrial → Clase I o II
• Incluyan caracteristicas de seguridad resistentes a manipulacion → Clase II

Empresas de Software

La mayoria del software es Por Defecto a menos Qué este especificamente listado:

• Navegadores, gestores de contrasenas, anti-malware → Clase I
• Herramientas de seguridad de red (firewalls, IDS) → Clase II
• Sistemas operativos de servidor/escritorio → Clase II

Sistemas Embebidos

La Clasificación depende en gran medida de:

• Funciones de seguridad de microcontroladores/procesadores
• Si el producto es de uso industrial/profesional
• Entorno de despliegue objetivo (¿infraestructura critica?)

Dispositivos Medicos

Los dispositivos medicos estan excluidos del alcance del CRA (cubiertos por MDR/IVDR). Sin embargo, el software complementario o las funciones no medicas pueden estar dentro del alcance.

Lo Qué la Clasificación Significa para Tu Cronograma

Las clasificaciones superiores requieren mas tiempo de preparacion:

Empieza ahora. Si descubres Qué eres Clase II o Critico, necesitas margen para contratar un Organismo Notificado.

Lista de Verificación de Clasificación de Productos

LISTA DE Verificación DE Clasificación DE PRODUCTOS

Producto: _______________________________________
Fecha: _________________________________________

Verificación INICIAL DE ALCANCE:
[ ] El producto tiene elementos digitales (software y/o conexion de datos)
[ ] El producto se comercializara en el mercado de la UE
[ ] El producto no esta excluido (medico, automocion, aviacion, militar)

Verificación ANEXO IV (CRITICO):
[ ] No es una caja de seguridad de hardware
[ ] No es una pasarela de medidor inteligente para AMI
[ ] No es un lector de tarjeta inteligente/elemento seguro
[ ] No es un token de seguridad de hardware
[ ] No es un HSM
[ ] No es una tarjeta inteligente o elemento seguro
[ ] No es un criptoprocesador seguro

Si alguno de los anteriores es SI → CRITICO (para aqui)

Verificación ANEXO III PARTE II (IMPORTANTE CLASE II):
[ ] No es un hipervisor o runtime de contenedores
[ ] No es un firewall de red o IDS/IPS
[ ] No es un microprocesador/microcontrolador resistente a manipulacion
[ ] No es un sistema operativo de servidor/escritorio/movil
[ ] No es un IACS para entidades esenciales NIS 2
[ ] No es IoT industrial (no cubierto en otro lugar)
[ ] No es un componente de robot para uso industrial/profesional
[ ] No es una pasarela de medidor inteligente para medicion inteligente

Si alguno de los anteriores es SI → IMPORTANTE CLASE II (para aqui)

Verificación ANEXO III PARTE I (IMPORTANTE CLASE I):
[ ] Revisar lista completa de 20 categorias
[ ] Considerar implicaciones multifuncion
[ ] Verificar funcionalidades relacionadas con seguridad en componentes

Si aplica alguna categoria → IMPORTANTE CLASE I (para aqui)

POR DEFECTO:
[ ] Producto no listado en ningun Anexo
[ ] Clasificación: POR DEFECTO

RUTA DE Evaluación DE CONFORMIDAD:
[ ] Modulo A (autoevaluacion) - Por Defecto, Clase I con estandares
[ ] Modulo B+C (terceros) - Clase I sin estandares, Clase II
[ ] Modulo H (aseguramiento de calidad) - Alternativa a B+C
[ ] Certificacion EUCC - Solo productos criticos

Documentación:
[ ] Justificacion de Clasificación documentada
[ ] Analisis multifuncion completado
[ ] Uso previsto claramente definido
[ ] Organismo Notificado identificado (si se requiere)

Clasificado por: _________________________________
Fecha: _________________________________________

Cómo Ayuda CRA Evidence

CRA Evidence incluye soporte integrado de Clasificación de productos:

• Asistente de Clasificación guiado: Responde preguntas, obtiene tu categoria
• Mapeo de anexos: Rastrea Qué requisitos aplican
• Guía de ruta de conformidad: Entiende tus opciones de Evaluación
• Plantillas de Documentación: Estructura de expediente tecnico especifica por categoria

Comienza tu Evaluación de Clasificación en app.craevidence.com.

Siguiente: Una vez que conozcas tu clasificacion, determina tu ruta de evaluacion de conformidad.

Cronograma: Consulta el cronograma de implementacion del CRA para las fechas clave.

SBOMs: Todas las categorias necesitan SBOMs. Consulta nuestra guia de requisitos de SBOM.

Este articulo es solo para fines informativos y no constituye asesoramiento legal. Para orientacion especifica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.