Classificazione dei prodotti CRA: Il vostro prodotto è Predefinito, Importante o Critico?

Il percorso di valutazione della conformità CRA dipende dalla classificazione del vostro prodotto. I prodotti "Importanti" e "Critici" richiedono una valutazione obbligatoria da parte di terzi. I prodotti "Predefiniti" possono autocertificarsi.

Quali sono le quattro categorie di prodotti CRA?

Il CRA classifica i prodotti con elementi digitali in quattro livelli basati sul rischio di cybersicurezza:

Prodotti predefiniti

La stragrande maggioranza dei prodotti rientra qui. Se il vostro prodotto non è specificamente elencato nell'Allegato III o IV, è "Predefinito".

Valutazione di conformità: L'autovalutazione (Modulo A) è sufficiente.

Esempi:

• Sensori IoT semplici
• Elettronica di consumo di base
• Software aziendale standard
• Applicazioni per uso generico
• Dispositivi embedded non connessi in rete

Importante Classe I (Allegato III, Parte I)

Prodotti con rischio elevato a causa della loro funzione o base utenti.

Valutazione di conformità: Autovalutazione consentita SE applicate completamente gli standard armonizzati pertinenti. Altrimenti, valutazione di terzi richiesta.

Elenco completo dall'Allegato III, Parte I:

1. Sistemi di gestione dell'identità e software e hardware per la gestione degli accessi privilegiati, compresi i lettori di autenticazione e controllo degli accessi, tra cui i lettori biometrici
2. Browser autonomi e incorporati
3. Sistemi di gestione delle password
4. Software che cercano, rimuovono o mettono in quarantena i software maligni
5. Prodotti con elementi digitali con funzione di rete privata virtuale (VPN)
6. Sistemi di gestione della rete
7. Sistemi di gestione delle informazioni e degli eventi di sicurezza (sistemi SIEM)
8. Boot manager
9. Infrastrutture a chiave pubblica e software per il rilascio di certificati digitali
10. Interfacce di rete fisiche e virtuali
11. Sistemi operativi
12. Router, modem per la connessione a Internet e switch
13. Microprocessori con funzionalità legate alla sicurezza
14. Microcontrollori con funzionalità legate alla sicurezza
15. Circuiti integrati per applicazioni specifiche (ASIC) e reti di porte programmabili dall'utilizzatore (FPGA) con funzionalità legate alla sicurezza
16. Assistenti virtuali di uso generale per case intelligenti
17. Prodotti per case intelligenti con funzionalità di sicurezza, tra cui serrature intelligenti, telecamere di sicurezza, sistemi di monitoraggio dei neonati e sistemi di allarme
18. Giocattoli connessi a Internet disciplinati dalla direttiva 2009/48/CE del Parlamento europeo e del Consiglio che presentano funzionalità sociali interattive (in grado ad esempio di parlare o filmare) o di geolocalizzazione
19. Prodotti indossabili personali da indossare o collocare sul corpo umano a fini di monitoraggio della salute (come il tracciamento) e ai quali non si applica il regolamento (UE) 2017/745 o il regolamento (UE) 2017/746, o prodotti indossabili personali destinati all'uso da parte dei bambini e per questi ultimi

Importante Classe II (Allegato III, Parte II)

Prodotti a rischio più alto che richiedono valutazione obbligatoria di terzi.

Valutazione di conformità: Valutazione da parte di Organismo Notificato richiesta. Nessuna opzione di autovalutazione.

Elenco completo dall'Allegato III, Parte II:

1. Ipervisori e sistemi di runtime container che supportano l'esecuzione virtualizzata di sistemi operativi e ambienti simili
2. Firewall, sistemi di rilevamento e prevenzione delle intrusioni
3. Microprocessori a prova di manomissione
4. Microcontrollori a prova di manomissione

Prodotti critici (Allegato IV)

La categoria a più alto rischio. Moduli di sicurezza hardware e simili.

Valutazione di conformità: Valutazione di terzi PIÙ certificazione EUCC a livello "sostanziale" o superiore.

Elenco completo dall'Allegato IV:

1. Dispositivi hardware con cassette di sicurezza
2. Gateway per contatori intelligenti nell'ambito di sistemi di misurazione intelligenti quali definiti all'articolo 2, punto 23), della direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio, e altri dispositivi a fini di sicurezza avanzati, compreso il trattamento crittografico sicuro
3. Carte intelligenti o dispositivi analoghi, compresi gli elementi sicuri

Albero decisionale: Trovare la vostra categoria

Usate questo processo per classificare il vostro prodotto:

INIZIO: Il prodotto ha elementi digitali?
│
├─ NO → Fuori dal campo di applicazione del CRA. Fine.
│
└─ SÌ → È elencato nell'Allegato IV (Prodotti critici)?
     │
     ├─ SÌ → CRITICO
     │        Valutazione di terzi e certificazione EUCC obbligatorie
     │
     └─ NO → È elencato nell'Allegato III, Parte II (Importante Classe II)?
          │
          ├─ SÌ → IMPORTANTE CLASSE II
          │        Valutazione di terzi obbligatoria
          │
          └─ NO → È elencato nell'Allegato III, Parte I (Importante Classe I)?
               │
               ├─ SÌ → IMPORTANTE CLASSE I
               │        Valutazione di terzi O autovalutazione con norme
               │
               └─ NO → PREDEFINITO
                        Autovalutazione (Modulo A) consentita

Vie di valutazione della conformità per categoria

Il modulo A copre il ciclo completo di autovalutazione: fascicolo tecnico, dichiarazione UE di conformità, marcatura CE. Non è richiesto alcun revisore esterno.

Il modulo B+C divide il lavoro in due fasi: un organismo notificato esamina un esemplare tipo e rilascia un certificato (modulo B); il fabbricante verifica poi che l'intera produzione sia conforme a quel tipo (modulo C).

Il modulo H sostituisce l'approccio prodotto per prodotto con un audit del sistema di gestione della qualità del fabbricante. È più adatto ai fabbricanti con un ampio portafoglio di prodotti.

L'EUCC si aggiunge al modulo B+C o H per i prodotti Critici. Rilasciata nell'ambito del regolamento europeo sulla cybersicurezza al livello di garanzia "sostanziale" o superiore da un organismo di valutazione della conformità accreditato.

Come classificare un prodotto che rientra in più categorie?

Prodotti multifunzione

Regola: Se una sola funzione attiva una categoria superiore, l'intero prodotto è classificato in quella categoria.

Esempio: Un hub domotico che comprende:

• Controllo di automazione di base (Predefinito)
• Funzionalità VPN (Importante Classe I)
• Integrazione di telecamera di sicurezza (Importante Classe I)

Classificazione: Importante Classe I (categoria più alta attivata)

Componenti incorporati

Regola: Valutate se i componenti con rilevanza per la sicurezza attivano una classificazione.

Esempio: Un dispositivo di consumo che contiene:

• Microcontrollore a uso generico → Predefinito
• Microcontrollore "con funzionalità relative alla sicurezza" → Importante Classe I

Domanda chiave: Il microcontrollore svolge funzioni di sicurezza (cifratura, autenticazione, avvio sicuro)?

Uso previsto

Alcune voci dell'Allegato III specificano l'uso previsto o il quadro normativo applicabile. I giocattoli connessi rientrano nella Classe I solo se coperti dalla direttiva 2009/48/CE e dotati di funzioni sociali interattive o di geolocalizzazione. I prodotti indossabili per il monitoraggio della salute attivano la Classe I solo se i regolamenti (UE) 2017/745 o 2017/746 non sono applicabili.

Se il vostro prodotto potrebbe essere utilizzato in questi contesti ma non vi è specificamente destinato, la classificazione potrebbe non applicarsi. Documentate chiaramente l'uso previsto.

Sistemi operativi

I sistemi operativi figurano solo nell'Allegato III Parte I (Importante Classe I):

Esempio: Una distribuzione Linux personalizzata per dispositivi incorporati è in genere Importante Classe I. Ubuntu Server è Importante Classe I.

Software e hardware

La classificazione considera il prodotto così come viene immesso sul mercato:

• Software autonomo: classificato in base alla sua funzione software
• Hardware con software integrato: classificato in base alla funzionalità combinata
• Componente software venduto separatamente: classificato in modo indipendente

Indicazioni per settore

Produttori di dispositivi IoT

La maggior parte dei dispositivi IoT è Predefinito, salvo se:

• Integrano funzionalità VPN → Classe I
• Sono dispositivi di sicurezza domotica → Classe I
• Rientrano nell'IoT industriale → Classe I o II
• Integrano funzioni di sicurezza resistenti alle manomissioni → Classe II

Produttori di software

La maggior parte del software è Predefinito, salvo se specificatamente elencato:

• Browser, gestori di password, anti-malware → Classe I
• Strumenti di sicurezza di rete (firewall, IDS) → Classe II
• Sistemi operativi → Classe I

Sistemi incorporati

La classificazione dipende principalmente da:

• Le funzioni di sicurezza dei microcontrollori e processori
• L'uso industriale o professionale del prodotto
• L'ambiente di distribuzione previsto (infrastruttura critica?)

Dispositivi medici

I dispositivi medici sono esclusi dal campo di applicazione del CRA (coperti da MDR/IVDR). Il software associato o le funzioni non mediche possono tuttavia rientrare nel suo ambito.

Trovare un organismo notificato

Per i prodotti che richiedono valutazione di terzi:

1. Consultate la banca dati NANDO: lista ufficiale UE degli organismi notificati
2. Verificate la designazione CRA: gli organismi devono essere designati per la valutazione di conformità CRA
3. Considerate la capacità disponibile: la recente entrata in vigore del CRA limita la disponibilità degli organismi notificati
4. Valutate la prossimità geografica: lavorare con un organismo notificato nella vostra regione semplifica il processo

La lista completa degli organismi notificati designati per il CRA è ancora in costruzione. Consultate NANDO per lo stato aggiornato.

Errori di classificazione frequenti

"Prodotto di consumo = Predefinito"

Sbagliato. La classificazione si basa sulla funzione, non sul mercato di destinazione.

Una serratura smart venduta ai privati è Importante Classe I perché è un "prodotto domotico con funzionalità di sicurezza", indipendentemente dal target di consumo.

"Siamo B2B, quindi classificazione più bassa"

Sbagliato. B2B e B2C non hanno alcuna incidenza sulla classificazione.

I prodotti IoT industriali destinati ai professionisti possono essere Importante Classe I o II in base alla loro funzione.

"Il nostro prodotto è piccolo o semplice, quindi Predefinito"

Non necessariamente. Dimensioni e complessità non determinano la classificazione.

Un microcontrollore di piccole dimensioni con funzioni di sicurezza può essere Importante Classe I. Un prodotto grande e complesso senza funzioni elencate può essere Predefinito.

"Abbiamo già ISO 27001, quindi siamo coperti"

Sbagliato. ISO 27001 riguarda la sicurezza delle informazioni a livello organizzativo, non la valutazione di conformità del prodotto.

Il CRA richiede una valutazione di conformità specifica per il prodotto, indipendentemente dalle certificazioni organizzative.

Lista di controllo per la classificazione

LISTA DI CONTROLLO PER LA CLASSIFICAZIONE DEI PRODOTTI

Prodotto: _______________________________________
Data: _________________________________________

VERIFICA INIZIALE DEL PERIMETRO:
[ ] Il prodotto ha elementi digitali (software e/o connessione dati)
[ ] Il prodotto sarà immesso sul mercato UE
[ ] Il prodotto non è escluso (medicale, automotive, aviazione, difesa)

VERIFICA ALLEGATO IV (CRITICO):
[ ] Non è un dispositivo hardware con cassetta di sicurezza
[ ] Non è un gateway per contatori intelligenti (direttiva (UE) 2019/944, art. 2, punto 23) né altro dispositivo per scopi di sicurezza avanzati
[ ] Non è una carta intelligente o dispositivo simile, inclusi gli elementi sicuri

Se uno dei punti sopra è SÌ -> CRITICO (fermatevi qui)

VERIFICA ALLEGATO III PARTE II (IMPORTANTE CLASSE II):
[ ] Non è un hypervisor o sistema di runtime per container
[ ] Non è un firewall, sistema di rilevamento o prevenzione delle intrusioni
[ ] Non è un microprocessore resistente alle manomissioni
[ ] Non è un microcontrollore resistente alle manomissioni

Se uno dei punti sopra è SÌ -> IMPORTANTE CLASSE II (fermatevi qui)

VERIFICA ALLEGATO III PARTE I (IMPORTANTE CLASSE I):
[ ] Esaminata la lista completa delle 19 categorie
[ ] Considerate le implicazioni per prodotti multifunzione
[ ] Verificate le funzionalità relative alla sicurezza nei componenti

Se una categoria si applica -> IMPORTANTE CLASSE I (fermatevi qui)

PREDEFINITO:
[ ] Prodotto non elencato in nessun allegato
[ ] Classificazione: PREDEFINITO

VIA DI VALUTAZIONE DELLA CONFORMITÀ:
[ ] Modulo A (autovalutazione): Predefinito, Classe I con norme
[ ] Modulo B+C (terzi): Classe I senza norme, Classe II
[ ] Modulo H (garanzia di qualità): alternativa a B+C
[ ] Certificazione EUCC: solo Prodotti Critici

DOCUMENTAZIONE:
[ ] Motivazione della classificazione documentata
[ ] Analisi multifunzione completata
[ ] Uso previsto chiaramente definito
[ ] Organismo notificato identificato (se richiesto)

Classificato da: _________________________________
Data: _________________________________________

Prossimi passi

Gestire la conformità CRA su più prodotti? CRA Evidence centralizza classificazione, percorsi di conformità e documentazione.

Una volta nota la classificazione, il passo successivo è il percorso di valutazione della conformità. Consultare la cronologia di attuazione del CRA per le scadenze chiave. Tutte le categorie, indipendentemente dal livello, richiedono un SBOM. Consultare la guida ai requisiti SBOM.

Questo articolo è fornito a solo scopo informativo e non costituisce consulenza legale. Per una guida specifica sulla conformità, consultare un consulente legale qualificato esperto di regolamentazioni prodotti UE.