Il percorso di valutazione della conformità CRA dipende dalla classificazione del prodotto. I prodotti Predefiniti possono di norma usare il controllo interno. I prodotti Importanti e Critici possono richiedere un organismo notificato oppure, per i prodotti Critici quando ricorrono le condizioni specifiche previste dal regolamento, un certificato europeo di cibersicurezza.
Sintesi
- La classificazione CRA parte dall'ambito di applicazione: il prodotto deve avere elementi digitali e una connessione dati, logica o fisica, diretta o indiretta, a un dispositivo o a una rete.
- I prodotti la cui funzionalità essenziale è elencata nell'la lista dei prodotti importanti sono prodotti Importanti, suddivisi in Classe I e Classe II.
- I prodotti la cui funzionalità essenziale è elencata nell'la lista dei prodotti critici sono prodotti Critici.
- I prodotti Predefiniti possono usare il controllo interno basato sul Modulo A.
- I prodotti Importanti Classe I possono restare nel controllo interno solo quando le norme, le specifiche comuni o i sistemi di certificazione pertinenti sono applicati integralmente.
- I prodotti Critici usano il percorso di certificazione oppure, quando quel percorso non è disponibile e applicabile, i percorsi standard di valutazione di terzi.
Suggerimento: come stima operativa, non come valore stabilito dal CRA, circa il 90% dei prodotti rientra nella categoria Predefinito. Controlla prima le liste dei prodotti critici e importanti. Se il prodotto non compare, di solito è predefinito.
Si parte da qui solo se il prodotto contiene elementi digitali e una connessione dati diretta o indiretta.
Il livello di rischio più alto. Una risposta "sì" significa certificazione o uno dei percorsi di valutazione di terzi.
Questi prodotti richiedono di norma una via di terzi o di certificazione.
Questo livello copre anche sistemi di identità, SIEM, PKI, interfacce di rete, chip con funzioni di sicurezza, alcuni giocattoli e alcuni indossabili.
Per una prima verifica rapida dell'ambito, usi il verificatore gratuito di applicabilità CRA. Consideri il risultato come punto di partenza e documenti la classificazione giuridica separatamente.
Le quattro categorie di prodotti CRA
Il CRA classifica i prodotti con elementi digitali in quattro livelli basati sul rischio di cibersicurezza: Predefinito, Importante Classe I, Importante Classe II e Critico. L'assegnazione del livello dipende dal fatto che la funzionalità essenziale del prodotto corrisponda alle liste dell'la lista dei prodotti importanti (Importante) e dell'la lista dei prodotti critici (Critico).
Il controllo interno basato sul Modulo A è disponibile quando il prodotto rientra comunque nell'ambito CRA.
Nessuna funzione principale importante o critica.Il Modulo A resta disponibile solo con l'uso integrale delle norme, delle specifiche o dei sistemi pertinenti.
lista importante classe I.Usare il Modulo B+C, il Modulo H o un sistema di certificazione applicabile.
lista importante classe II.Usare la certificazione quando ricorrono le condizioni dell'condizioni di certificazione; altrimenti usare i percorsi dell'vie di valutazione di terza parte.
lista critica.Prodotti Predefiniti
La grande maggioranza dei prodotti rientra qui. Se il prodotto è nell'ambito CRA ma la sua funzionalità essenziale non è elencata in la lista dei prodotti importanti o la lista dei prodotti critici, è Predefinito.
Valutazione della conformità: l'autovalutazione (Modulo A) è sufficiente.
Esempi:
- Sensori IoT semplici
- Elettronica di consumo di base
- Software aziendale standard
- Applicazioni di uso generale
- Dispositivi embedded il cui uso previsto o ragionevolmente prevedibile include una connessione dati ma non comprende funzionalità essenziale dell'la lista dei prodotti importanti o dell'la lista dei prodotti critici
Importante Classe I
Prodotti con rischio elevato per la loro funzione o per la base utenti.
Valutazione della conformità: il controllo interno è disponibile solo se si applicano integralmente le norme armonizzate, le specifiche comuni o gli schemi europei di certificazione della cibersicurezza pertinenti con livello di affidabilità almeno sostanziale. Dove non esistono ancora, o non sono applicati integralmente, usare il Modulo B+C o il Modulo H.
Elenco completo importante classe I:
- (1) Sistemi di gestione dell'identità e software e hardware per la gestione degli accessi privilegiati, compresi i lettori di autenticazione e controllo degli accessi, tra cui i lettori biometrici
- (2) Browser autonomi e incorporati
- (3) Sistemi di gestione delle password
- (4) Software che cercano, rimuovono o mettono in quarantena i software maligni
- (5) Prodotti con elementi digitali con funzione di rete privata virtuale (VPN)
- (6) Sistemi di gestione della rete
- (7) Sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM)
- (8) Boot manager
- (9) Infrastrutture a chiave pubblica e software per il rilascio di certificati digitali
- (10) Interfacce di rete fisiche e virtuali
- (11) Sistemi operativi
- (12) Router, modem per la connessione a Internet e switch
- (13) Microprocessori con funzionalità legate alla sicurezza
- (14) Microcontrollori con funzionalità legate alla sicurezza
- (15) Circuiti integrati per applicazioni specifiche (ASIC) e reti di porte programmabili dall'utilizzatore (FPGA) con funzionalità legate alla sicurezza
- (16) Assistenti virtuali di uso generale per case intelligenti
- (17) Prodotti per case intelligenti con funzionalità di sicurezza, tra cui serrature intelligenti, telecamere di sicurezza, sistemi di monitoraggio dei neonati e sistemi di allarme
- (18) Giocattoli connessi a Internet disciplinati dalla direttiva 2009/48/CE che presentano funzionalità sociali interattive (ad esempio in grado di parlare o filmare) o di geolocalizzazione
- (19) Prodotti indossabili personali da indossare o collocare sul corpo umano a fini di monitoraggio della salute (come il tracciamento) e ai quali non si applica il regolamento (UE) 2017/745 o il regolamento (UE) 2017/746, oppure prodotti indossabili personali destinati all'uso da parte dei bambini e per questi ultimi
Importante Classe II
Prodotti a rischio più alto che richiedono una valutazione di terzi obbligatoria.
Valutazione della conformità: usare il Modulo B+C, il Modulo H oppure, quando disponibile e applicabile, un sistema europeo di certificazione della cibersicurezza con livello di affidabilità almeno sostanziale.
Elenco completo importante classe II:
- (1) Ipervisori e sistemi di runtime per container che supportano l'esecuzione virtualizzata di sistemi operativi e ambienti simili
- (2) Firewall, sistemi di rilevamento e prevenzione delle intrusioni
- (3) Microprocessori a prova di manomissione
- (4) Microcontrollori a prova di manomissione
Prodotti Critici
La categoria di rischio più alto copre i dispositivi hardware con cassette di sicurezza, i gateway per contatori intelligenti e altri dispositivi di sicurezza avanzati, le smartcard o i dispositivi analoghi.
Valutazione della conformità: usare il percorso di certificazione quando ricorrono le condizioni dell'condizioni di certificazione. Se tali condizioni non ricorrono, usare uno dei percorsi dell'vie di valutazione di terza parte.
Elenco completo critico:
- (1) Dispositivi hardware con cassette di sicurezza
- (2) Gateway per contatori intelligenti nell'ambito di sistemi di misurazione intelligenti come definiti al punto 23 della direttiva (UE) 2019/944 e altri dispositivi a fini di sicurezza avanzati, compreso il trattamento crittografico sicuro
- (3) Smartcard o dispositivi analoghi, compresi gli elementi sicuri
Percorsi di valutazione della conformità per categoria
Ogni livello corrisponde a un insieme specifico di moduli di valutazione della conformità: il predefinito usa normalmente il controllo interno, l’importante classe I solo con copertura completa di norme o schemi, l’importante classe II una via di terza parte o certificazione, e il critico la certificazione quando disponibile o le vie di terza parte di ripiego.
Il controllo interno della produzione è disponibile quando il prodotto non ha corrispondenze di funzionalità essenziale in le liste dei prodotti importanti o critici.
Organismo notificato: non richiestoUsare il Modulo A solo con copertura integrale di norme, specifiche comuni o sistemi di certificazione. Altrimenti usare il Modulo B+C o il Modulo H.
Organismo notificato: richiesto quando si usa B+C o HUsare una via di terzi, oppure un sistema europeo di certificazione della cibersicurezza applicabile con livello di affidabilità almeno sostanziale.
Organismo notificato: richiesto per B+C o H; per la certificazione valgono le regole del sistemaUsare il percorso di certificazione dell'condizioni di certificazione quando le sue condizioni sono soddisfatte. Altrimenti usare i percorsi dell'vie di valutazione di terza parte.
Organismo notificato: dipende dal percorso disponibileIl Modulo A è il controllo interno: documentazione tecnica, dichiarazione UE di conformità, marcatura CE. Non interviene un revisore esterno.
Il Modulo B+C divide il lavoro: un organismo notificato esamina un esemplare tipo e rilascia un certificato (Modulo B); il fabbricante assicura poi che tutta la produzione sia conforme a quel tipo (Modulo C).
Il Modulo H sostituisce l'approccio prodotto per prodotto con un audit del sistema di gestione della qualità del fabbricante. È più adatto quando il portafoglio prodotti è ampio.
Per i prodotti Critici, la certificazione non è un'estensione del Modulo B+C o del Modulo H. È il percorso dell'la via critica quando ricorrono le condizioni dell'condizioni di certificazione; in caso contrario, il prodotto usa i percorsi dell'vie di valutazione di terza parte.
Classificare i prodotti che ricadono in più categorie
Non tutti i prodotti rientrano in modo netto in una sola categoria. Questi sono i casi limite più comuni.
Prodotti multifunzione
Regola: concentrarsi sulla funzionalità essenziale del prodotto. Un prodotto la cui funzionalità essenziale corrisponde a una categoria dell'la lista dei prodotti importanti è Importante, ma la sola integrazione di un componente di Classe I in un prodotto ospite non rende, di per sé, Importante quel prodotto ospite.
Esempio: un hub domotico che include:
- Controllo di automazione di base (Predefinito)
- Funzionalità VPN (Importante Classe I)
- Integrazione di telecamere di sicurezza (Importante Classe I)
Classificazione: Importante Classe I se la funzionalità VPN o quella di telecamera di sicurezza fa parte della funzionalità essenziale del prodotto.
Componenti integrati
Regola: valutare se i componenti rilevanti per la sicurezza sono immessi sul mercato separatamente oppure se conferiscono al prodotto ospite la funzionalità essenziale di una categoria dell'la lista dei prodotti importanti.
Esempio: un dispositivo di consumo che contiene:
- Microcontrollore di uso generale: Predefinito
- Microcontrollore "con funzionalità legate alla sicurezza": Importante Classe I
Domanda chiave: il microcontrollore svolge funzioni di sicurezza (cifratura, autenticazione, avvio sicuro)?
Considerazioni sull'uso previsto
Diverse categorie elencate specificano l'uso previsto o il contesto del prodotto, ad esempio voci che richiamano i "giocattoli connessi disciplinati dalla direttiva 2009/48/CE" o gli indossabili per il monitoraggio della salute che richiamano i regolamenti 2017/745 e 2017/746.
Se il prodotto può essere usato in questi contesti ma non è specificamente destinato a essi, la classificazione potrebbe non applicarsi. Documenti chiaramente l'uso previsto.
Sistemi operativi
I sistemi operativi sono elencati in lista importante classe I. La domanda pratica è se il prodotto immesso sul mercato sia un sistema operativo, oppure se il firmware sia solo parte di un prodotto più ampio la cui funzionalità essenziale è un'altra:
| Tipo di sistema operativo | Classificazione |
|---|---|
| Sistema operativo immesso sul mercato come prodotto | Importante Classe I |
| Firmware dentro un prodotto più ampio | Classificare il prodotto più ampio in base alla sua funzionalità essenziale |
Esempio: una distribuzione Linux personalizzata venduta come sistema operativo è Importante Classe I. Il firmware dentro un semplice sensore connesso può lasciare il sensore in Predefinito se il sensore non ha funzionalità essenziale di la lista dei prodotti importanti o la lista dei prodotti critici.
Software e hardware
La classificazione considera il prodotto come immesso sul mercato:
- Software autonomo: classificato in base alla funzione software
- Hardware con software incorporato: classificato in base alla funzionalità combinata
- Componente software venduto separatamente: classificato in modo indipendente
Indicazioni per settore
Molti dispositivi IoT sono Predefiniti salvo che la loro funzionalità essenziale corrisponda a una categoria elencata.
- Funzionalità VPN: Importante Classe I
- Dispositivi di sicurezza per smart home: Importante Classe I
- Funzioni di sicurezza resistenti alla manomissione: Importante Classe II
La maggior parte del software è Predefinito salvo che il prodotto stesso fornisca una funzione elencata.
- Browser, gestori di password, anti-malware: Importante Classe I
- Firewall e IDS/IPS: Importante Classe II
- Sistemi operativi: Importante Classe I
La classificazione dipende dalla funzione di sicurezza e dal modo in cui il componente è immesso sul mercato.
- Verificare le funzioni di sicurezza in processori e microcontrollori
- Verificare se il componente è venduto separatamente
- Verificare se la funzione di sicurezza è essenziale per il prodotto
I prodotti coperti da MDR o IVDR sono esclusi dall'ambito CRA. Il software accessorio o le funzioni non mediche possono comunque richiedere un'analisi di ambito CRA separata.
Errori frequenti di classificazione
Importante: la classificazione si basa sulla funzione del prodotto, non sul settore di mercato, sulle dimensioni dell'azienda o sulla complessità del prodotto. Controllare sempre le liste dell'la lista dei prodotti importanti e dell'la lista dei prodotti critici.
Una serratura intelligente venduta ai consumatori può comunque essere Importante Classe I, perché la classificazione segue la funzione, non il mercato di destinazione.
L'uso aziendale o industriale non abbassa il livello. La classificazione dipende comunque dall'ambito CRA e dalle liste di funzionalità essenziali dell'la lista dei prodotti importanti o dell'la lista dei prodotti critici.
Dimensioni e complessità non determinano la classificazione. Un piccolo microcontrollore di sicurezza può essere Importante Classe I, mentre un prodotto complesso senza funzioni elencate può essere Predefinito.
ISO 27001 è una norma organizzativa di gestione della sicurezza. La classificazione e la valutazione della conformità CRA restano specifiche del prodotto.
Lista di controllo per la classificazione del prodotto
- Il prodotto ha elementi digitali e una connessione dati diretta o indiretta
- Il prodotto sarà immesso sul mercato UE
- Il prodotto non è coperto da un’esclusione settoriale o di sicurezza
- Dispositivo hardware con cassetta di sicurezza
- Gateway per contatori intelligenti o altro dispositivo di sicurezza avanzato
- Smartcard o dispositivo analogo, compresi gli elementi sicuri
Qualsiasi corrispondenza significa Critico.
- Ipervisore o sistema di runtime per container
- Firewall, sistema di rilevamento o prevenzione delle intrusioni
- Microprocessore o microcontrollore a prova di manomissione
Qualsiasi corrispondenza significa Importante Classe II.
- Esaminare l'elenco completo delle 19 categorie
- Considerare le implicazioni multifunzione
- Verificare le funzionalità legate alla sicurezza nei componenti
Qualsiasi corrispondenza con una categoria elencata significa Importante Classe I.
- Il prodotto rientra nell'ambito CRA
- Nessuna corrispondenza della funzionalità essenziale in le liste dei prodotti importanti o critici
- La motivazione della classificazione è documentata
Nessuna corrispondenza con una categoria elencata significa Predefinito.
- Modulo A per Predefinito, o per Classe I con copertura integrale di norme, specifiche o sistemi
- Modulo B+C o H per Classe I senza copertura integrale, per Classe II e per i percorsi di riserva dei prodotti Critici
- Percorso di certificazione per i prodotti Critici quando ricorrono le condizioni dell'condizioni di certificazione
Domande frequenti
Un router per smart home rientra in Importante Classe I o in Predefinito?
Importante Classe I è la classificazione probabile. I router destinati alla connessione a Internet sono elencati in lista importante classe I, voce 12. Il controllo interno resta disponibile solo se le norme armonizzate, le specifiche comuni o i sistemi di certificazione pertinenti sono applicati integralmente; altrimenti, usare il Modulo B+C o il Modulo H. Si veda i percorsi di valutazione della conformità CRA.
Il CRA si applica ai prodotti SaaS senza hardware fisico?
Dipende dal fatto che il software sia un prodotto con elementi digitali nell'ambito CRA. Una soluzione di trattamento remoto dei dati è coperta quando è progettata dal fabbricante o sotto la sua responsabilità ed è necessaria affinché un prodotto con elementi digitali svolga una funzione. L'ambito richiede anche una connessione dati, logica o fisica, diretta o indiretta, a un dispositivo o a una rete.
Se il prodotto ha sia funzioni Predefinite sia di Classe I, quale categoria si applica?
Il livello più alto prevale quando la funzione a rischio più alto è la funzionalità essenziale del prodotto. Un prodotto la cui funzionalità essenziale corrisponde alle categorie di prodotti Importanti elencate assume il livello Importante. Tuttavia, la sola integrazione di un componente di Classe I in un prodotto ospite non rende, di per sé, quel prodotto ospite soggetto ai percorsi di conformità dei prodotti Importanti. Documenti perché la funzione elencata è o non è essenziale per il prodotto immesso sul mercato.
La certificazione ISO 27001 influisce sulla mia classificazione CRA del prodotto?
No. La classificazione CRA è determinata dalla funzionalità essenziale del prodotto rispetto all'la lista dei prodotti importanti e all'la lista dei prodotti critici. ISO 27001 riguarda la gestione organizzativa della sicurezza delle informazioni; non cambia il fatto che un prodotto sia Predefinito, Importante Classe I, Importante Classe II o Critico ai fini del CRA. Si veda CRA vs ISO 27001.
Quando va determinata la classificazione CRA del prodotto?
Determinare la classificazione prima dell'immissione del prodotto sul mercato UE. La classificazione stabilisce il percorso di valutazione della conformità che sostiene la dichiarazione UE di conformità e la marcatura CE. I fabbricanti devono completare la valutazione della conformità prima di mettere a disposizione il prodotto come conforme. Si veda la cronologia di attuazione del CRA.
Dove si trova un organismo notificato per la valutazione della conformità CRA?
Usare NANDO come registro aggiornato degli organismi notificati designati. Le designazioni specifiche del CRA sono ancora in corso di pubblicazione, quindi è opportuno verificare direttamente quali organismi siano designati ai sensi del Regolamento (UE) 2024/2847. I prodotti Importanti Classe I richiedono un organismo notificato solo quando il fabbricante non può fare pieno affidamento sulle norme armonizzate, sulle specifiche comuni o sui sistemi di certificazione pertinenti.