Classificazione dei prodotti CRA: Il vostro prodotto è Predefinito, Importante o Critico?

Il percorso di valutazione della conformità CRA, e il suo costo, dipende dalla classificazione del vostro prodotto. I prodotti "Importanti" e "Critici" richiedono una valutazione obbligatoria da parte di terzi. I prodotti "Predefiniti" possono autocertificarsi.

Questa guida vi aiuta a determinare la vostra categoria e cosa significa per la conformità.

Le quattro categorie di prodotti CRA

Il CRA classifica i prodotti con elementi digitali in quattro livelli basati sul rischio di cybersicurezza:

Prodotti predefiniti

La stragrande maggioranza dei prodotti rientra qui. Se il vostro prodotto non è specificamente elencato nell'Allegato III o IV, è "Predefinito".

Valutazione di conformità: L'autovalutazione (Modulo A) è sufficiente.

Esempi:

• Sensori IoT semplici
• Elettronica di consumo di base
• Software aziendale standard
• Applicazioni per uso generico
• Dispositivi embedded non connessi in rete

Importante Classe I (Allegato III, Parte I)

Prodotti con rischio elevato a causa della loro funzione o base utenti.

Valutazione di conformità: Autovalutazione consentita SE applicate completamente gli standard armonizzati pertinenti. Altrimenti, valutazione di terzi richiesta.

Elenco completo dall'Allegato III, Parte I:

1. Sistemi di gestione dell'identità e software/hardware per la gestione degli accessi privilegiati
2. Browser web standalone
3. Gestori di password
4. Software per ricerca, rimozione o quarantena di malware
5. Prodotti con funzionalità VPN
6. Sistemi di gestione di rete
7. Sistemi SIEM
8. Boot manager
9. Software PKI e di emissione certificati digitali
10. Interfacce di rete fisiche e virtuali
11. Sistemi operativi non coperti dalla Classe II
12. Router e modem per connessione Internet
13. Microprocessori con funzionalità relative alla sicurezza
14. Microcontrollori con funzionalità relative alla sicurezza
15. ASIC con funzionalità relative alla sicurezza
16. FPGA con funzionalità relative alla sicurezza
17. Assistenti virtuali domestici intelligenti
18. Prodotti per casa intelligente con funzioni di sicurezza (serrature, telecamere, baby monitor, allarmi)
19. Giocattoli connessi a Internet con funzioni interattive o tracciamento posizione
20. Dispositivi indossabili per monitoraggio salute (non dispositivi medici)

Importante Classe II (Allegato III, Parte II)

Prodotti a rischio più alto che richiedono valutazione obbligatoria di terzi.

Valutazione di conformità: Valutazione da parte di Organismo Notificato richiesta. Nessuna opzione di autovalutazione.

Elenco completo dall'Allegato III, Parte II:

1. Hypervisor e sistemi runtime per container
2. Firewall, sistemi di rilevamento e prevenzione intrusioni (livello rete)
3. Microprocessori antimanomissione
4. Microcontrollori antimanomissione
5. Sistemi operativi per server, desktop e dispositivi mobili
6. IACS per entità essenziali NIS 2
7. IoT industriale non coperto altrove
8. Componenti di rilevamento e attuazione robot per uso industriale/professionale
9. Gateway per contatori intelligenti per sistemi di smart metering

Prodotti critici (Allegato IV)

La categoria a più alto rischio. Moduli di sicurezza hardware e simili.

Valutazione di conformità: Valutazione di terzi PIÙ certificazione EUCC a livello "sostanziale" o superiore.

Elenco completo dall'Allegato IV:

1. Dispositivi hardware con security box
2. Gateway per contatori intelligenti nell'infrastruttura di misurazione avanzata
3. Lettori di smart card o dispositivi simili
4. Token hardware per sicurezza/crittografia
5. Moduli di sicurezza hardware (HSM)
6. Smart card o dispositivi simili, inclusi elementi sicuri
7. Criptoprocessori sicuri

Albero decisionale: Trovare la vostra categoria

Usate questo processo per classificare il vostro prodotto:

INIZIO: Il vostro prodotto ha elementi digitali?
│
├─ NO → Fuori ambito CRA. Fermatevi qui.
│
└─ SÌ → È elencato nell'Allegato IV (Prodotti critici)?
     │
     ├─ SÌ → CRITICO
     │        Terza parte + certificazione EUCC richiesta
     │
     └─ NO → È elencato nell'Allegato III, Parte II (Importante Classe II)?
          │
          ├─ SÌ → IMPORTANTE CLASSE II
          │        Valutazione di terzi richiesta
          │
          └─ NO → È elencato nell'Allegato III, Parte I (Importante Classe I)?
               │
               ├─ SÌ → IMPORTANTE CLASSE I
               │        Terza parte O autovalutazione con standard
               │
               └─ NO → PREDEFINITO
                        Autovalutazione (Modulo A) consentita

Cosa significa la classificazione per il vostro calendario

Classificazioni più alte richiedono più tempo di preparazione:

Iniziate ora. Se scoprite di essere Classe II o Critico, avete bisogno di tempo per l'engagement con l'Organismo Notificato.

Come CRA Evidence può aiutarvi

CRA Evidence include supporto integrato per la classificazione dei prodotti:

• Wizard di classificazione guidato: Rispondete alle domande, ottenete la vostra categoria
• Mappatura allegati: Tracciate quali requisiti si applicano
• Guida ai percorsi di conformità: Comprendete le vostre opzioni di valutazione
• Template di documentazione: Struttura del fascicolo tecnico specifica per categoria

Iniziate la vostra valutazione di classificazione su app.craevidence.com.

Prossimo passo: Una volta nota la vostra classificazione, determinate il vostro percorso di valutazione della conformità.

Cronologia: Consultate la cronologia di implementazione del CRA per le scadenze chiave.

SBOM: Tutte le categorie necessitano di SBOM. Consultate la nostra guida ai requisiti SBOM.

Questo articolo è fornito a solo scopo informativo e non costituisce consulenza legale. Per una guida specifica sulla conformità, consultare un consulente legale qualificato esperto di regolamentazioni prodotti UE.