Uw CRA-conformiteitsbeoordelingsroute hangt af van de productclassificatie. Standaardproducten kunnen meestal interne controle gebruiken. Belangrijke en kritische producten kunnen een aangemelde instantie nodig hebben of, voor kritische producten wanneer aan de specifieke voorwaarden van de verordening is voldaan, een EU-cyberbeveiligingscertificaat.
Samenvatting
- CRA-classificatie begint met het toepassingsgebied: het product moet digitale elementen hebben en een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk.
- Producten met kernfunctionaliteit die is opgenomen in de lijst voor belangrijke producten zijn belangrijke producten, verdeeld in Klasse I en Klasse II.
- Producten met kernfunctionaliteit die is opgenomen in de lijst voor kritieke producten zijn kritische producten.
- Standaardproducten kunnen interne controle gebruiken, gebaseerd op Module A.
- Belangrijke Klasse I-producten kunnen alleen bij interne controle blijven wanneer de relevante normen, gemeenschappelijke specificaties of certificeringsregelingen volledig worden toegepast.
- Kritische producten gebruiken de certificeringsroute of, wanneer die route niet beschikbaar en toepasselijk is, de standaard routes met een derde partij.
Tip: Als werkraming, niet als CRA-vastgesteld cijfer, valt ongeveer 90% van de producten in de categorie Standaard. Controleer eerst de lijsten voor kritieke en belangrijke producten. Staat uw product daar niet in, dan is het meestal standaard.
Begin hier alleen als het product digitale elementen en een directe of indirecte gegevensverbinding heeft.
Het hoogste risiconiveau. Een "ja" hier betekent certificering of een van de beoordelingsroutes met een derde partij.
Deze producten vereisen normaal een route met een derde partij of certificering.
Dit niveau omvat ook identiteitssystemen, SIEM, PKI, netwerkinterfaces, chips met beveiligingsfuncties, bepaald speelgoed en bepaalde wearables.
Gebruik voor een snelle eerste toepassingscheck de gratis CRA-toepasselijkheidschecker. Behandel de uitkomst als startpunt en documenteer de juridische classificatie apart.
De vier CRA-productcategorieën
De CRA classificeert producten met digitale elementen in vier niveaus op basis van cyberbeveiligingsrisico: Standaard, Belangrijk Klasse I, Belangrijk Klasse II en Kritisch. De categorietoekenning hangt af van de vraag of de kernfunctionaliteit van het product overeenkomt met de lijsten in de lijst voor belangrijke producten (Belangrijk) en de lijst voor kritieke producten (Kritisch).
Regulatorische basis
- Standaard = binnen toepassingsgebied, geen kernfunctionaliteitsmatch in de lijst voor belangrijke producten of de lijst voor kritieke producten.
Interne controle op basis van Module A is beschikbaar wanneer het product verder binnen het CRA-toepassingsgebied valt.
Geen belangrijke of kritieke kernfunctionaliteit.Module A blijft alleen beschikbaar bij volledig gebruik van de relevante normen, specificaties of regelingen.
lijst belangrijk klasse I.Gebruik Module B+C, Module H of een toepasselijke certificeringsregeling.
lijst belangrijk klasse II.Gebruik certificering waar aan de certificeringsvoorwaarden is voldaan. Gebruik anders de beoordelingsroutes via derden.
kritieke lijst.Standaardproducten
De grote meerderheid van producten valt hier. Als uw product binnen het CRA-toepassingsgebied valt maar de kernfunctionaliteit niet is opgenomen in de lijst voor belangrijke producten of de lijst voor kritieke producten, is het Standaard.
Conformiteitsbeoordeling: Zelfbeoordeling (Module A) volstaat.
Voorbeelden:
- Eenvoudige IoT-sensoren
- Basisconsumentenelektronica
- Standaard bedrijfssoftware
- Algemene toepassingen
- Embedded apparaten waarvan het beoogde doel of het redelijkerwijs voorzienbare gebruik een gegevensverbinding omvat, maar geen kernfunctionaliteit uit de lijst voor belangrijke producten of de lijst voor kritieke producten
Belangrijk Klasse I
Producten met verhoogd risico door hun functie of gebruikersbasis.
Conformiteitsbeoordeling: Interne controle is alleen beschikbaar als u de relevante geharmoniseerde normen, gemeenschappelijke specificaties of Europese cyberbeveiligingscertificeringsregelingen op ten minste betrouwbaarheidsniveau substantieel volledig toepast. Waar dergelijke regelingen nog niet bestaan of nog niet volledig beschikbaar zijn, gebruikt u Module B+C of Module H.
Volledige lijst belangrijk klasse I:
- (1) Software en hardware voor identiteitsbeheersystemen en voor het beheer van geprivilegieerde toegang, met inbegrip van lezers voor authenticatie en toegangscontrole, waaronder biometrische lezers
- (2) Op zichzelf staande en ingebedde browsers
- (3) Wachtwoordbeheer
- (4) Software die kwaadaardige software opzoekt, verwijdert of in quarantaine plaatst
- (5) Producten met digitale elementen met de functie van virtueel particulier netwerk (VPN)
- (6) Netwerkbeheersystemen
- (7) Security information and event management-systemen (SIEM)
- (8) Bootmanagement
- (9) Publiekesleutelinfrastructuur en software voor de afgifte van digitale certificaten
- (10) Fysieke en virtuele netwerkinterfaces
- (11) Besturingssystemen
- (12) Routers, modems bestemd voor verbinding met het internet, en netwerkswitches
- (13) Microprocessoren met beveiligingsgerelateerde functies
- (14) Microcontrollers met beveiligingsgerelateerde functies
- (15) Toepassingsspecifieke geïntegreerde schakelingen (ASIC) en veld-programmeerbare gatearrays (FPGA) met beveiligingsgerelateerde functies
- (16) Virtuele assistenten voor slimme huizen voor algemene doeleinden
- (17) Producten voor slimme huizen met beveiligingsfuncties, met inbegrip van slimme deursloten, beveiligingscamera's, babymonitoringsystemen en alarmsystemen
- (18) Met het internet verbonden speelgoed dat onder Richtlijn 2009/48/EG valt en sociale interactieve functies (bv. spreken of filmen) of locatietraceringsfuncties heeft
- (19) Persoonlijke wearables die op een menselijk lichaam moeten worden gedragen of geplaatst en bedoeld zijn voor gezondheidsmonitoring (zoals tracking) en die niet onder Verordening (EU) 2017/745 of (EU) 2017/746 vallen, of persoonlijke wearables die bestemd zijn voor gebruik door en voor kinderen
Belangrijk Klasse II
Producten met hoger risico waarvoor verplichte beoordeling door een derde partij nodig is.
Conformiteitsbeoordeling: Gebruik Module B+C, Module H of, waar beschikbaar en toepasselijk, een Europese cyberbeveiligingscertificeringsregeling op ten minste betrouwbaarheidsniveau substantieel.
Volledige lijst belangrijk klasse II:
- (1) Hypervisors en containerruntimesystemen die de gevirtualiseerde uitvoering van besturingssystemen en soortgelijke omgevingen ondersteunen
- (2) Firewalls, inbraakdetectiesystemen en inbraakpreventiesystemen
- (3) Manipulatiebestendige microprocessoren
- (4) Manipulatiebestendige microcontrollers
Kritische producten
De categorie met het hoogste risico omvat hardwareapparaten met beveiligingskastjes, slimme-meter-gateways en andere apparaten voor geavanceerde beveiligingsdoeleinden, en smartcards of vergelijkbare apparaten.
Conformiteitsbeoordeling: Gebruik de certificeringsroute wanneer aan de certificeringsvoorwaarden is voldaan. Als aan die voorwaarden niet is voldaan, gebruikt u een van de beoordelingsroutes via derden.
Volledige lijst kritisch:
- (1) Hardwareapparaten met beveiligingskastje
- (2) Gateways voor slimme meters binnen slimme-metersystemen zoals gedefinieerd in punt 23) van Richtlijn (EU) 2019/944 en andere apparaten voor geavanceerde beveiligingsdoeleinden, onder meer voor beveiligde cryptoverwerking
- (3) Smartcards of soortgelijke apparaten, met inbegrip van secure elements (beveiligde elementen)
Conformiteitsbeoordelingsroutes per categorie
Elk niveau is gekoppeld aan een specifieke set conformiteitsbeoordelingsmodules: standaard gebruikt meestal interne controle, belangrijk klasse I alleen met volledige dekking door normen of schema’s, belangrijk klasse II een route via derden of certificering, en kritisch certificering waar beschikbaar of de terugvalroutes via derden.
Regulatorische basis
Interne productiecontrole is beschikbaar wanneer het product geen kernfunctionaliteitsmatch heeft in de lijsten voor belangrijke of kritieke producten.
Aangemelde instantie: niet vereistGebruik Module A alleen met volledige dekking door normen, gemeenschappelijke specificaties of certificeringsregelingen. Gebruik anders Module B+C of Module H.
Aangemelde instantie: vereist wanneer Module B+C of H wordt gebruiktGebruik een route met een derde partij, of een toepasselijke Europese cyberbeveiligingscertificeringsregeling op ten minste betrouwbaarheidsniveau substantieel.
Aangemelde instantie: vereist voor B+C of H; bij certificering gelden de regels van de regelingGebruik de certificeringsroute wanneer aan de voorwaarden is voldaan. Gebruik anders de beoordelingsroutes via derden.
Aangemelde instantie: hangt af van de beschikbare routeModule A is interne controle: technisch dossier, EU-conformiteitsverklaring, CE-markering. Er is geen externe auditor betrokken.
Module B+C verdeelt het werk: een aangemelde instantie onderzoekt een typemodel en geeft een certificaat af (Module B); de fabrikant zorgt daarna dat alle productie met dat type overeenstemt (Module C).
Module H vervangt de product-voor-productaanpak door een audit van het kwaliteitsmanagementsysteem van de fabrikant. Dit past beter bij een groot productportfolio.
Voor kritische producten is certificering geen aanvulling op Module B+C of Module H. Het is de kritieke route waar aan de certificeringsvoorwaarden is voldaan. Anders gebruikt het product de beoordelingsroutes via derden.
Producten classificeren die in meerdere categorieën vallen
Niet elk product past netjes in één vak. Dit zijn de meest voorkomende randgevallen.
Regulatorische basis
Multifunctionele producten
Regel: Kijk naar de kernfunctionaliteit van het product. Een product waarvan de kernfunctionaliteit overeenkomt met een categorie van de lijst voor belangrijke producten is Belangrijk. Maar het integreren van een Klasse I-component in een hostproduct maakt dat hostproduct op zichzelf nog niet Belangrijk.
Voorbeeld: Een slimme-woning-hub met:
- Basisautomatisering (Standaard)
- VPN-functionaliteit (Belangrijk Klasse I)
- Integratie met beveiligingscamera's (Belangrijk Klasse I)
Classificatie: Belangrijk Klasse I als de VPN- of beveiligingscamerafunctionaliteit deel uitmaakt van de kernfunctionaliteit van het product.
Embedded componenten
Regel: Beoordeel of beveiligingsrelevante componenten afzonderlijk op de markt worden gebracht of of zij het hostproduct de kernfunctionaliteit geven van een categorie uit de lijst voor belangrijke producten.
Voorbeeld: Een consumentenapparaat met:
- Algemene microcontroller: Standaard
- Microcontroller "met beveiligingsgerelateerde functionaliteiten": Belangrijk Klasse I
Kernvraag: Voert de microcontroller beveiligingsfuncties uit, zoals encryptie, authenticatie of secure boot?
Overwegingen bij beoogd gebruik
Verschillende vermelde categorieën specificeren het beoogde gebruik of de productcontext. Denk aan items die verwijzen naar "met het internet verbonden speelgoed dat onder Richtlijn 2009/48/EG valt" of gezondheidsmonitorende wearables die verwijzen naar Verordeningen 2017/745 en 2017/746.
Als uw product in zulke contexten kan worden gebruikt maar daar niet specifiek voor is bedoeld, geldt de classificatie mogelijk niet. Documenteer het beoogde gebruik duidelijk.
Besturingssystemen
Besturingssystemen zijn opgenomen in lijst belangrijk klasse I. De praktische vraag is of het product dat op de markt wordt gebracht een besturingssysteem is, of dat firmware slechts onderdeel is van een breder product met een andere kernfunctionaliteit:
| OS-type | Classificatie |
|---|---|
| Besturingssysteem dat als product op de markt wordt gebracht | Belangrijk Klasse I |
| Firmware binnen een breder product | Classificeer het bredere product op basis van zijn kernfunctionaliteit |
Voorbeeld: Een aangepaste Linux-distributie die als besturingssysteem wordt verkocht, is Belangrijk Klasse I. Firmware in een eenvoudige verbonden sensor kan de sensor in Standaard laten als de sensor geen kernfunctionaliteit heeft uit de lijst voor belangrijke producten of de lijst voor kritieke producten.
Software tegenover hardware
Classificatie kijkt naar het product zoals het op de markt wordt aangeboden:
- Zelfstandige software: geclassificeerd op basis van softwarefunctie
- Hardware met embedded software: geclassificeerd op basis van gecombineerde functionaliteit
- Afzonderlijk verkochte softwarecomponent: zelfstandig geclassificeerd
Sectorspecifieke richtsnoeren
Veel IoT-apparaten zijn Standaard tenzij hun kernfunctionaliteit overeenkomt met een vermelde categorie.
- VPN-functionaliteit: Belangrijk Klasse I
- Slimme-woningbeveiligingsapparaten: Belangrijk Klasse I
- Manipulatiebestendige beveiligingsfuncties: Belangrijk Klasse II
De meeste software is Standaard tenzij het product zelf een vermelde functie levert.
- Browsers, wachtwoordmanagers, anti-malware: Belangrijk Klasse I
- Firewalls en IDS/IPS: Belangrijk Klasse II
- Besturingssystemen: Belangrijk Klasse I
Classificatie hangt af van de beveiligingsfunctie en hoe het component op de markt wordt gebracht.
- Controleer beveiligingsfuncties in processoren en microcontrollers
- Controleer of het component afzonderlijk wordt verkocht
- Controleer of de beveiligingsfunctie kernfunctionaliteit is van het product
Producten die onder MDR of IVDR vallen, zijn uitgesloten van het CRA-toepassingsgebied. Begeleidende software of niet-medische functies kunnen nog steeds een afzonderlijke CRA-toepassingsanalyse vergen.
Veelgemaakte classificatiefouten
Belangrijk: Classificatie is gebaseerd op productfunctie, niet op marktsector, bedrijfsomvang of productcomplexiteit. Controleer altijd de lijsten voor belangrijke en kritieke producten.
Een slim deurslot dat aan consumenten wordt verkocht kan nog steeds Belangrijk Klasse I zijn, omdat classificatie de functie volgt, niet de doelmarkt.
Zakelijk of industrieel gebruik verlaagt de categorie niet. Classificatie blijft afhangen van het CRA-toepassingsgebied en de kernfunctionaliteitslijsten in de lijsten voor belangrijke of kritieke producten.
Omvang en complexiteit bepalen de classificatie niet. Een kleine beveiligingsmicrocontroller kan Belangrijk Klasse I zijn, terwijl een complex product zonder vermelde functies Standaard kan zijn.
ISO 27001 is een organisatorische beveiligingsbeheerstandaard. CRA-classificatie en conformiteitsbeoordeling blijven productspecifiek.
Checklist productclassificatie
Regulatorische basis
- Conformiteitsbeoordelingsroutes per categorie. (de regels voor conformiteitsbeoordeling)
- Product heeft digitale elementen en een directe of indirecte gegevensverbinding
- Product wordt op de EU-markt geplaatst
- Product valt niet onder een sectorale of beveiligingsuitsluiting
- Hardwareapparaat met beveiligingskastje
- Slimme-meter-gateway of ander apparaat voor geavanceerde beveiligingsdoeleinden
- Smartcard of soortgelijk apparaat, inclusief secure element
Elke match betekent Kritisch.
- Hypervisor of containerruntimesysteem
- Firewall, inbraakdetectie- of inbraakpreventiesysteem
- Manipulatiebestendige microprocessor of microcontroller
Elke match betekent Belangrijk Klasse II.
- Beoordeel de volledige lijst van 19 categorieën
- Controleer multifunctionele implicaties
- Controleer beveiligingsgerelateerde functionaliteit in componenten
Elke match met een vermelde categorie betekent Belangrijk Klasse I.
- Product valt binnen het CRA-toepassingsgebied
- Geen belangrijke of kritieke kernfunctionaliteit
- Classificatieonderbouwing is gedocumenteerd
Geen match met een vermelde categorie betekent Standaard.
- Module A voor Standaard, of voor Klasse I met volledige dekking door normen, specificaties of regelingen
- Module B+C of H voor Klasse I zonder volledige dekking, Klasse II en terugvalroutes voor Kritisch
- Certificeringsroute voor Kritisch wanneer aan de certificeringsvoorwaarden is voldaan
Veelgestelde vragen
Valt een slimme-woningrouter onder Belangrijk Klasse I of Standaard?
Belangrijk Klasse I is de waarschijnlijke classificatie. Routers die bestemd zijn voor verbinding met het internet zijn opgenomen in lijst belangrijk klasse I, item 12. Interne controle blijft alleen beschikbaar als de relevante geharmoniseerde normen, gemeenschappelijke specificaties of certificeringsregelingen volledig worden toegepast; anders gebruikt u Module B+C of Module H. Zie CRA-conformiteitsbeoordelingsroutes.
Geldt de CRA voor SaaS-producten zonder fysieke hardware?
Dat hangt ervan af of de software een product met digitale elementen binnen het CRA-toepassingsgebied is. Een oplossing voor gegevensverwerking op afstand valt eronder wanneer die is ontworpen door of onder verantwoordelijkheid van de fabrikant en noodzakelijk is voor een product met digitale elementen om een functie uit te voeren. Het toepassingsgebied vereist ook een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk.
Als mijn product zowel Standaard- als Klasse I-functies heeft, welke categorie geldt dan?
Het hogere niveau wint wanneer de functie met hoger risico de kernfunctionaliteit is. Een product waarvan de kernfunctionaliteit overeenkomt met de vermelde categorieën van het Belangrijk-niveau valt onder dat niveau. Maar de enkele integratie van een Klasse I-component in een hostproduct verheft dat hostproduct op zichzelf nog niet naar de conformiteitsroutes voor belangrijke producten. Documenteer waarom de vermelde functie wel of geen kernfunctionaliteit is van het product dat op de markt wordt gebracht.
Heeft ISO 27001-certificering invloed op mijn CRA-productclassificatie?
Nee. CRA-classificatie wordt bepaald door de kernfunctionaliteit van het product ten opzichte van de lijst voor belangrijke producten en de lijst voor kritieke producten. ISO 27001 gaat over organisatorisch informatiebeveiligingsbeheer; dat verandert niet of een product Standaard, Belangrijk Klasse I, Belangrijk Klasse II of Kritisch is onder de CRA. Zie CRA versus ISO 27001.
Wanneer moet de CRA-productclassificatie worden vastgesteld?
Bepaal de classificatie voordat u het product op de EU-markt plaatst. De classificatie bepaalt de conformiteitsbeoordelingsroute die de EU-conformiteitsverklaring en CE-markering ondersteunt. Fabrikanten moeten de conformiteitsbeoordeling afronden voordat zij het product als conform beschikbaar stellen. Zie de CRA-implementatietijdlijn.
Waar vind ik een aangemelde instantie voor CRA-conformiteitsbeoordeling?
Gebruik NANDO als levend register voor aangewezen aangemelde instanties. CRA-specifieke aanwijzingen worden nog gepubliceerd. Controleer dus direct welke instanties zijn aangewezen onder Verordening (EU) 2024/2847. Belangrijke Klasse I-producten hebben alleen een aangemelde instantie nodig wanneer de fabrikant niet volledig kan steunen op de relevante geharmoniseerde normen, gemeenschappelijke specificaties of certificeringsregelingen.