Klasyfikacja produktów CRA: Czy Twój produkt jest Domyślny, Ważny czy Krytyczny?

Ścieżka oceny zgodności CRA, i jej koszt, zależy od klasyfikacji Twojego produktu. Produkty "Ważne" i "Krytyczne" wymagają obowiązkowej oceny przez stronę trzecią. Produkty "Domyślne" mogą się samocertyfikować.

Ten przewodnik pomaga określić Twoją kategorię i co to oznacza dla zgodności.

Cztery kategorie produktów CRA

CRA klasyfikuje produkty z elementami cyfrowymi na cztery poziomy na podstawie ryzyka cyberbezpieczeństwa:

Produkty domyślne

Zdecydowana większość produktów trafia tutaj. Jeśli Twój produkt nie jest specjalnie wymieniony w Załączniku III lub IV, jest "Domyślny".

Ocena zgodności: Samoocena (Moduł A) wystarcza.

Przykłady:

• Proste czujniki IoT
• Podstawowa elektronika konsumencka
• Standardowe oprogramowanie biznesowe
• Aplikacje ogólnego przeznaczenia
• Urządzenia wbudowane bez połączenia sieciowego

Ważna Klasa I (Załącznik III, Część I)

Produkty o podwyższonym ryzyku ze względu na ich funkcję lub bazę użytkowników.

Ocena zgodności: Samoocena dozwolona JEŚLI w pełni stosujesz odpowiednie normy zharmonizowane. W przeciwnym razie wymagana ocena przez stronę trzecią.

Pełna lista z Załącznika III, Część I:

1. Systemy zarządzania tożsamością i oprogramowanie/sprzęt do zarządzania dostępem uprzywilejowanym
2. Samodzielne przeglądarki internetowe
3. Menedżery haseł
4. Oprogramowanie do wyszukiwania, usuwania lub kwarantanny malware
5. Produkty z funkcjonalnością VPN
6. Systemy zarządzania siecią
7. Systemy SIEM
8. Menedżery rozruchu
9. Oprogramowanie PKI i wydawania certyfikatów cyfrowych
10. Fizyczne i wirtualne interfejsy sieciowe
11. Systemy operacyjne nieobjęte Klasą II
12. Routery i modemy do połączenia internetowego
13. Mikroprocesory z funkcjami związanymi z bezpieczeństwem
14. Mikrokontrolery z funkcjami związanymi z bezpieczeństwem
15. ASIC z funkcjami związanymi z bezpieczeństwem
16. FPGA z funkcjami związanymi z bezpieczeństwem
17. Inteligentni asystenci wirtualni dla domu
18. Produkty inteligentnego domu z funkcjami bezpieczeństwa (zamki, kamery, nianie elektroniczne, alarmy)
19. Zabawki podłączone do internetu z funkcjami interaktywnymi lub śledzeniem lokalizacji
20. Urządzenia noszone do monitorowania zdrowia (nie wyroby medyczne)

Ważna Klasa II (Załącznik III, Część II)

Produkty wyższego ryzyka wymagające obowiązkowej oceny przez stronę trzecią.

Ocena zgodności: Ocena przez jednostkę notyfikowaną wymagana. Brak opcji samooceny.

Pełna lista z Załącznika III, Część II:

1. Hiperwizory i systemy uruchomieniowe kontenerów
2. Firewalle, systemy wykrywania i zapobiegania włamaniom (warstwa sieciowa)
3. Mikroprocesory odporne na manipulacje
4. Mikrokontrolery odporne na manipulacje
5. Systemy operacyjne dla serwerów, komputerów stacjonarnych i urządzeń mobilnych
6. IACS dla podmiotów kluczowych NIS 2
7. Przemysłowy IoT nieobjęty gdzie indziej
8. Komponenty robotów do wykrywania i uruchamiania dla użytku przemysłowego/profesjonalnego
9. Bramki inteligentnych liczników dla systemów inteligentnego pomiaru

Produkty krytyczne (Załącznik IV)

Kategoria najwyższego ryzyka. Sprzętowe moduły bezpieczeństwa i podobne.

Ocena zgodności: Ocena przez stronę trzecią PLUS certyfikacja EUCC na poziomie "znaczącym" lub wyższym.

Pełna lista z Załącznika IV:

1. Urządzenia sprzętowe z modułami bezpieczeństwa
2. Bramki inteligentnych liczników w zaawansowanej infrastrukturze pomiarowej
3. Czytniki kart inteligentnych lub podobnych urządzeń
4. Tokeny sprzętowe do celów bezpieczeństwa/kryptografii
5. Sprzętowe moduły bezpieczeństwa (HSM)
6. Karty inteligentne lub podobne urządzenia, w tym elementy bezpieczne
7. Bezpieczne kryptoprocesory

Drzewo decyzyjne: Znajdowanie Twojej kategorii

Użyj tego procesu do sklasyfikowania swojego produktu:

START: Czy Twój produkt ma elementy cyfrowe?
│
├─ NIE → Poza zakresem CRA. Zatrzymaj się tutaj.
│
└─ TAK → Czy jest wymieniony w Załączniku IV (Produkty krytyczne)?
     │
     ├─ TAK → KRYTYCZNY
     │        Trzecia strona + certyfikacja EUCC wymagana
     │
     └─ NIE → Czy jest wymieniony w Załączniku III, Część II (Ważna Klasa II)?
          │
          ├─ TAK → WAŻNA KLASA II
          │        Ocena przez stronę trzecią wymagana
          │
          └─ NIE → Czy jest wymieniony w Załączniku III, Część I (Ważna Klasa I)?
               │
               ├─ TAK → WAŻNA KLASA I
               │        Trzecia strona LUB samoocena ze standardami
               │
               └─ NIE → DOMYŚLNY
                        Samoocena (Moduł A) dozwolona

Co klasyfikacja oznacza dla Twojego harmonogramu

Wyższe klasyfikacje wymagają więcej czasu przygotowania:

Zacznij teraz. Jeśli odkryjesz, że jesteś Klasa II lub Krytyczny, potrzebujesz czasu na współpracę z jednostką notyfikowaną.

Jak CRA Evidence może pomóc

CRA Evidence zawiera wbudowane wsparcie klasyfikacji produktów:

• Asystent klasyfikacji z przewodnikiem: Odpowiedz na pytania, uzyskaj swoją kategorię
• Mapowanie załączników: Śledź, które wymagania mają zastosowanie
• Przewodnik po ścieżkach zgodności: Zrozum swoje opcje oceny
• Szablony dokumentacji: Struktura dokumentacji technicznej specyficzna dla kategorii

Rozpocznij swoją ocenę klasyfikacji na app.craevidence.com.

Następny krok: Gdy znasz swoją klasyfikację, określ swoją ścieżkę oceny zgodności.

Harmonogram: Sprawdź harmonogram wdrożenia CRA dla kluczowych terminów.

SBOM: Wszystkie kategorie wymagają SBOM. Zobacz nasz przewodnik po wymaganiach SBOM.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym znającym przepisy UE dotyczące produktów.