Klasyfikacja produktów CRA: domyślne, ważne, krytyczne

Opublikowano 8 maja 2026 Zaktualizowano 15 czerwca 2026

Ścieżka oceny zgodności CRA zależy od klasyfikacji produktu. Produkty domyślne zwykle mogą korzystać z kontroli wewnętrznej. Produkty ważne i krytyczne mogą wymagać jednostki notyfikowanej albo, w przypadku produktów krytycznych przy spełnieniu szczególnych warunków rozporządzenia, unijnego certyfikatu cyberbezpieczeństwa.

Podsumowanie

  • Klasyfikacja CRA zaczyna się od zakresu: produkt musi mieć elementy cyfrowe oraz bezpośrednie lub pośrednie logiczne albo fizyczne połączenie danych z urządzeniem lub siecią.
  • Produkty, których podstawowa funkcjonalność jest wymieniona w lista produktów ważnych, są produktami ważnymi i dzielą się na Klasę I oraz Klasę II.
  • Produkty, których podstawowa funkcjonalność jest wymieniona w lista produktów krytycznych, są produktami krytycznymi.
  • Produkty domyślne mogą korzystać z kontroli wewnętrznej na podstawie Modułu A.
  • Produkty ważne Klasy I mogą pozostać przy kontroli wewnętrznej tylko wtedy, gdy odpowiednie normy, wspólne specyfikacje lub systemy certyfikacji są w pełni zastosowane.
  • Produkty krytyczne korzystają albo ze ścieżki certyfikacji, albo, gdy ta ścieżka nie jest dostępna i właściwa, ze standardowych ścieżek z udziałem strony trzeciej.

Wskazówka: Jako szacunek roboczy, a nie wartość określona w CRA, około 90% produktów trafia do kategorii domyślnej. Najpierw sprawdź listy produktów krytycznych i ważnych. Jeśli produktu tam nie ma, zwykle jest domyślny.

Start Czy to połączony produkt programowy lub sprzętowy?

Zacznij tutaj tylko wtedy, gdy produkt ma elementy cyfrowe oraz bezpośrednie lub pośrednie połączenie danych.

Nie: poza tą ścieżką klasyfikacji Tak: sprawdź kategorię najwyższego ryzyka
Sprawdzenie kategorii krytycznej Czy to security box, brama inteligentnego licznika, smartcard albo bezpieczny element?

Najwyższy poziom ryzyka. „Tak” oznacza certyfikację albo jedną ze ścieżek oceny przez stronę trzecią.

Tak: kategoria krytyczna Nie: sprawdź Ważną Klasę II
Sprawdzenie Klasy II Czy to firewall, IDS/IPS, hypervisor, runtime kontenerów albo chip odporny na manipulację?

Te produkty zwykle wymagają ścieżki z udziałem strony trzeciej albo certyfikacji.

Tak: Ważna Klasa II Nie: sprawdź typowe funkcje bezpieczeństwa i platformy
Sprawdzenie Klasy I Czy to router, przeglądarka, menedżer haseł, VPN, system operacyjny albo produkt bezpieczeństwa smart home?

Ten poziom obejmuje także systemy tożsamości, SIEM, PKI, interfejsy sieciowe, chipy z funkcjami bezpieczeństwa, niektóre zabawki i niektóre urządzenia ubieralne.

Tak: Ważna Klasa I Nie: kategoria domyślna

Do szybkiej pierwszej weryfikacji zakresu użyj bezpłatnego narzędzia sprawdzającego stosowanie CRA. Wynik traktuj jako punkt wyjścia, a klasyfikację prawną udokumentuj oddzielnie.

Cztery kategorie produktów CRA

CRA klasyfikuje produkty z elementami cyfrowymi na cztery poziomy według ryzyka cyberbezpieczeństwa: domyślny, Ważna Klasa I, Ważna Klasa II i krytyczny. Przypisanie poziomu zależy od tego, czy podstawowa funkcjonalność produktu pasuje do list produktów ważnych lub krytycznych.

Domyślna

Kontrola wewnętrzna na podstawie Modułu A jest dostępna, gdy produkt poza tym mieści się w zakresie CRA.

Brak ważnej lub krytycznej podstawowej funkcjonalności.
Ważna Klasa I

Moduł A pozostaje dostępny tylko przy pełnym zastosowaniu odpowiednich norm, specyfikacji lub systemów.

lista ważna Klasa I.
Ważna Klasa II

Zastosuj Moduł B+C, Moduł H albo właściwy system certyfikacji.

lista ważna Klasa II.
Krytyczna

Zastosuj certyfikację, gdy spełnione są warunki certyfikacji. W innym przypadku zastosuj ścieżki oceny strony trzeciej.

lista krytyczna.

Produkty domyślne

Zdecydowana większość produktów trafia tutaj. Jeżeli produkt mieści się w zakresie CRA, ale jego podstawowa funkcjonalność nie jest wymieniona na listę produktów ważnych ani krytycznych, jest produktem domyślnym.

Ocena zgodności: Samoocena (Moduł A) wystarcza.

Przykłady:

  • Proste czujniki IoT
  • Podstawowa elektronika konsumencka
  • Standardowe oprogramowanie biznesowe
  • Aplikacje ogólnego przeznaczenia
  • Urządzenia wbudowane, których zamierzone przeznaczenie lub racjonalnie przewidywalne użycie obejmuje połączenie danych, ale bez podstawowej funkcjonalności z list produktów ważnych lub krytycznych

Ważna Klasa I

Produkty o podwyższonym ryzyku ze względu na funkcję lub bazę użytkowników.

Ocena zgodności: Kontrola wewnętrzna jest dostępna tylko wtedy, gdy w pełni zastosujesz odpowiednie normy zharmonizowane, wspólne specyfikacje lub europejskie systemy certyfikacji cyberbezpieczeństwa na co najmniej „istotnym" poziomie uzasadnienia zaufania. Jeżeli takie normy lub systemy jeszcze nie istnieją albo nie są w pełni zastosowane, skorzystaj z Modułu B+C albo Modułu H.

Pełna lista ważna Klasa I:

  • (1) Systemy zarządzania tożsamością i oprogramowanie oraz sprzęt do zarządzania uprzywilejowanym dostępem, w tym czytniki do uwierzytelniania i kontroli dostępu, także czytniki biometryczne
  • (2) Samodzielne i wbudowane przeglądarki
  • (3) Menedżery haseł
  • (4) Oprogramowanie, które wyszukuje, usuwa lub poddaje kwarantannie złośliwe oprogramowanie
  • (5) Produkty z elementami cyfrowymi z funkcją wirtualnej sieci prywatnej (VPN)
  • (6) Systemy zarządzania siecią
  • (7) Systemy zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)
  • (8) Menedżery uruchamiania systemu
  • (9) Infrastruktura klucza publicznego i oprogramowanie do wystawiania certyfikatów cyfrowych
  • (10) Fizyczne i wirtualne interfejsy sieciowe
  • (11) Systemy operacyjne
  • (12) Routery, modemy przeznaczone do podłączenia do internetu oraz przełączniki
  • (13) Mikroprocesory z funkcjami bezpieczeństwa
  • (14) Mikrokontrolery z funkcjami bezpieczeństwa
  • (15) Specjalizowane układy scalone (ASIC) i bezpośrednio programowalne macierze bramek (FPGA) z funkcjami bezpieczeństwa
  • (16) Wirtualni asystenci inteligentnego domu ogólnego przeznaczenia
  • (17) Produkty inteligentnego domu z funkcjami bezpieczeństwa, w tym inteligentne zamki do drzwi, kamery systemów bezpieczeństwa, nianie elektroniczne i systemy alarmowe
  • (18) Zabawki podłączone do internetu objęte dyrektywą 2009/48/WE z interaktywnymi funkcjami społecznymi (np. mówienie lub filmowanie) lub z funkcją śledzenia lokalizacji
  • (19) Produkty do noszenia lub umieszczania na ciele ludzkim mające monitorować stan zdrowia (np. śledzące aktywność fizyczną), do których nie stosuje się rozporządzenia (UE) 2017/745 ani rozporządzenia (UE) 2017/746, lub przedmioty osobiste do noszenia, przeznaczone do używania przez dzieci i dla dzieci

Ważna Klasa II

Produkty wyższego ryzyka wymagające obowiązkowej oceny przez stronę trzecią.

Ocena zgodności: Zastosuj Moduł B+C, Moduł H albo, gdy jest dostępny i właściwy, europejski system certyfikacji cyberbezpieczeństwa na co najmniej znacznym poziomie uzasadnienia zaufania.

Pełna lista ważna Klasa II:

  • (1) Hiperwizory i systemy środowiska uruchomieniowego kontenerów, które wspomagają zwirtualizowane wykonanie systemów operacyjnych i podobnych środowisk
  • (2) Zapory sieciowe, systemy wykrywania włamań i systemy zapobiegania włamaniom
  • (3) Mikroprocesory odporne na manipulacje
  • (4) Mikrokontrolery odporne na manipulacje

Produkty krytyczne

Kategoria najwyższego ryzyka obejmuje urządzenia sprzętowe ze skrzynkami zabezpieczającymi, bramy inteligentnych liczników oraz inne zaawansowane urządzenia bezpieczeństwa, a także karty inteligentne lub podobne urządzenia.

Ocena zgodności: Zastosuj ścieżkę certyfikacji, gdy spełnione są warunki certyfikacji. Jeżeli te warunki nie są spełnione, zastosuj jedną ze ścieżek oceny strony trzeciej.

Pełna lista krytyczna:

  • (1) Urządzenia sprzętowe ze skrzynkami zabezpieczającymi
  • (2) Bramy inteligentnych liczników w inteligentnych systemach pomiarowych zdefiniowanych w pkt 23 dyrektywy (UE) 2019/944 oraz inne urządzenia do zaawansowanych celów bezpieczeństwa, w tym do bezpiecznego kryptoprzetwarzania
  • (3) Karty inteligentne lub podobne urządzenia, w tym elementy zabezpieczające

Ścieżki oceny zgodności według kategorii

Każdy poziom odpowiada określonemu zestawowi modułów oceny zgodności: kategoria domyślna zwykle korzysta z kontroli wewnętrznej, ważna Klasa I tylko przy pełnym pokryciu normami lub systemem, ważna Klasa II ze ścieżki strony trzeciej lub certyfikacji, a kategoria krytyczna z certyfikacji, gdy jest dostępna, albo ze ścieżek strony trzeciej.

Domyślna Moduł A

Wewnętrzna kontrola produkcji jest dostępna, gdy produkt nie pasuje do podstawowej funkcjonalności z lista produktów ważnych ani lista produktów krytycznych.

Jednostka notyfikowana: nie jest wymagana
Ważna Klasa I Moduł A albo B+C / H

Stosuj Moduł A tylko przy pełnym pokryciu normami, wspólnymi specyfikacjami lub systemami certyfikacji. W innym przypadku stosuj Moduł B+C albo Moduł H.

Jednostka notyfikowana: wymagana przy Module B+C albo H
Ważna Klasa II Moduł B+C, Moduł H albo certyfikacja

Zastosuj ścieżkę z udziałem strony trzeciej albo właściwy europejski system certyfikacji cyberbezpieczeństwa na co najmniej znacznym poziomie uzasadnienia zaufania.

Jednostka notyfikowana: wymagana dla B+C albo H; dla certyfikacji obowiązują zasady systemu
Krytyczna Certyfikacja albo ścieżki Klasy II

Zastosuj ścieżkę certyfikacji, gdy jej warunki są spełnione. W innym przypadku zastosuj ścieżki oceny strony trzeciej.

Jednostka notyfikowana: zależy od dostępnej ścieżki

Moduł A to kontrola wewnętrzna: dokumentacja techniczna, deklaracja zgodności UE, oznakowanie CE. Nie uczestniczy w niej zewnętrzny audytor.

Moduł B+C dzieli pracę: jednostka notyfikowana bada egzemplarz typu i wydaje certyfikat (Moduł B); producent zapewnia następnie, że cała produkcja jest zgodna z tym typem (Moduł C).

Moduł H zastępuje podejście produkt po produkcie audytem systemu zarządzania jakością producenta. Lepiej pasuje, gdy masz szerokie portfolio produktów.

W przypadku produktów krytycznych certyfikacja nie jest dodatkiem do Modułu B+C ani Modułu H. Jest ścieżką krytyczną, gdy spełnione są warunki certyfikacji; w innym przypadku produkt korzysta ze ścieżek oceny strony trzeciej.

Klasyfikacja produktów wpadających do kilku kategorii

Nie każdy produkt pasuje czysto do jednej kategorii. Najczęstsze przypadki brzegowe są poniżej.

Produkty wielofunkcyjne

Zasada: Liczy się podstawowa funkcjonalność produktu. Produkt z elementami cyfrowymi, który ma podstawową funkcjonalność kategorii produktów ważnych, jest produktem ważnym, ale samo zintegrowanie komponentu Klasy I w produkcie nadrzędnym nie sprawia automatycznie, że ten produkt nadrzędny staje się produktem ważnym.

Przykład: Koncentrator inteligentnego domu zawierający:

  • Podstawowe sterowanie automatyką (kategoria domyślna)
  • Funkcję VPN (Ważna Klasa I)
  • Integrację kamery bezpieczeństwa (Ważna Klasa I)

Klasyfikacja: Ważna Klasa I, jeżeli funkcja VPN lub funkcja kamery bezpieczeństwa jest częścią podstawowej funkcjonalności produktu.

Komponenty wbudowane

Zasada: Rozważ, czy komponenty istotne dla bezpieczeństwa są wprowadzane do obrotu oddzielnie, czy nadają produktowi nadrzędnemu podstawową funkcjonalność kategorii produktów ważnych.

Przykład: Urządzenie konsumenckie zawierające:

  • Mikrokontroler ogólnego przeznaczenia → kategoria domyślna
  • Mikrokontroler „z funkcjami związanymi z bezpieczeństwem” → Ważna Klasa I

Kluczowe pytanie: Czy mikrokontroler wykonuje funkcje bezpieczeństwa (szyfrowanie, uwierzytelnianie, bezpieczny rozruch)?

Zamierzone zastosowanie

Niektóre wymienione kategorie wskazują zamierzone zastosowanie albo kontekst produktu, na przykład pozycje dotyczące „zabawek podłączonych do internetu objętych dyrektywą 2009/48/WE” lub urządzeń do noszenia monitorujących stan zdrowia, które odwołują się do rozporządzeń 2017/745 i 2017/746.

Jeżeli produkt mógłby być używany w tych kontekstach, ale nie jest do nich specjalnie przeznaczony, dana klasyfikacja może nie mieć zastosowania. Jasno udokumentuj zamierzone zastosowanie.

Systemy operacyjne

Systemy operacyjne są wymienione na liście ważna Klasa I. Praktyczne pytanie brzmi, czy produktem wprowadzanym do obrotu jest system operacyjny, czy firmware jest tylko częścią szerszego produktu o innej podstawowej funkcjonalności:

Typ systemu operacyjnego Klasyfikacja
System operacyjny wprowadzany do obrotu jako produkt Ważna Klasa I
Firmware w szerszym produkcie Sklasyfikuj szerszy produkt według jego podstawowej funkcjonalności

Przykład: Niestandardowa dystrybucja Linuksa sprzedawana jako system operacyjny jest Ważną Klasą I. Firmware w prostym połączonym czujniku może pozostawić czujnik w kategorii domyślnej, jeśli czujnik nie ma podstawowej funkcjonalności z list produktów ważnych lub krytycznych.

Oprogramowanie a sprzęt

Klasyfikacja uwzględnia produkt w postaci, w jakiej jest wprowadzany do obrotu:

  • Oprogramowanie samodzielne: klasyfikowane według funkcji oprogramowania
  • Sprzęt z wbudowanym oprogramowaniem: klasyfikowany według połączonej funkcjonalności
  • Komponent oprogramowania sprzedawany oddzielnie: klasyfikowany niezależnie

Wskazówki branżowe

Producenci urządzeń IoT

Wiele urządzeń IoT jest domyślnych, chyba że ich podstawowa funkcjonalność odpowiada wymienionej kategorii.

  • Funkcja VPN: Ważna Klasa I
  • Urządzenia bezpieczeństwa inteligentnego domu: Ważna Klasa I
  • Funkcje bezpieczeństwa odporne na manipulacje: Ważna Klasa II
Firmy programistyczne

Większość oprogramowania jest domyślna, chyba że sam produkt zapewnia wymienioną funkcję.

  • Przeglądarki, menedżery haseł, antymalware: Ważna Klasa I
  • Zapory i IDS/IPS: Ważna Klasa II
  • Systemy operacyjne: Ważna Klasa I
Systemy wbudowane

Klasyfikacja zależy od funkcji bezpieczeństwa i od sposobu wprowadzenia komponentu do obrotu.

  • Sprawdź funkcje bezpieczeństwa w procesorach i mikrokontrolerach
  • Sprawdź, czy komponent jest sprzedawany oddzielnie
  • Sprawdź, czy funkcja bezpieczeństwa jest podstawowa dla produktu
Wyroby medyczne

Produkty objęte MDR albo IVDR są wyłączone z zakresu CRA. Oprogramowanie towarzyszące lub funkcje niemedyczne mogą nadal wymagać oddzielnej analizy zakresu CRA.

Częste błędy klasyfikacyjne

Ważne: Klasyfikacja opiera się na funkcji produktu, a nie na sektorze rynku, wielkości firmy czy złożoności produktu. Zawsze sprawdzaj listy produktów ważnych i krytycznych.

Błędne założenie Produkt konsumencki oznacza kategorię domyślną

Inteligentny zamek sprzedawany konsumentom może nadal być Ważną Klasą I, bo klasyfikacja zależy od funkcji, a nie od rynku docelowego.

Błędne założenie B2B oznacza niższą klasyfikację

Zastosowanie biznesowe lub przemysłowe nie obniża poziomu. Klasyfikacja nadal zależy od zakresu CRA oraz list podstawowej funkcjonalności z listy produktów ważnych lub krytycznych.

Sprawdź uważnie Mały lub prosty oznacza domyślny

Rozmiar i złożoność nie decydują o klasyfikacji. Mały mikrokontroler z funkcjami bezpieczeństwa może być Ważną Klasą I, podczas gdy złożony produkt bez wymienionych funkcji może być domyślny.

Błędne założenie ISO 27001 obejmuje klasyfikację produktu

ISO 27001 to organizacyjna norma zarządzania bezpieczeństwem. Klasyfikacja CRA i ocena zgodności pozostają specyficzne dla produktu.

Lista kontrolna klasyfikacji produktu

Wstępna weryfikacja zakresu
  • Produkt ma elementy cyfrowe oraz bezpośrednie lub pośrednie połączenie danych
  • Produkt zostanie wprowadzony do obrotu na rynku UE
  • Produkt nie jest objęty wyłączeniem sektorowym lub bezpieczeństwa
Sprawdzenie kategorii krytycznej
  • Urządzenie sprzętowe ze skrzynką zabezpieczającą
  • Brama inteligentnego licznika albo inne zaawansowane urządzenie bezpieczeństwa
  • Karta inteligentna lub podobne urządzenie, w tym elementy zabezpieczające

Każde dopasowanie oznacza kategorię krytyczną.

Sprawdzenie Ważnej Klasy II
  • Hiperwizor albo system środowiska uruchomieniowego kontenerów
  • Zapora sieciowa, system wykrywania włamań lub system zapobiegania włamaniom
  • Mikroprocesor lub mikrokontroler odporny na manipulacje

Każde dopasowanie oznacza Ważną Klasę II.

Sprawdzenie Ważnej Klasy I
  • Przejrzyj pełną listę 19 kategorii
  • Sprawdź skutki wielofunkcyjności
  • Sprawdź funkcje związane z bezpieczeństwem w komponentach

Każde dopasowanie do wymienionej kategorii oznacza Ważną Klasę I.

Wynik domyślny
  • Produkt jest w zakresie CRA
  • Brak ważnej lub krytycznej podstawowej funkcjonalności
  • Uzasadnienie klasyfikacji jest udokumentowane

Brak dopasowania do wymienionej kategorii oznacza kategorię domyślną.

Ścieżka zgodności
  • Moduł A dla kategorii domyślnej albo Klasy I z pełnym pokryciem normami, specyfikacjami lub systemem
  • Moduł B+C albo H dla Klasy I bez pełnego pokrycia, Klasy II i ścieżek rezerwowych dla kategorii krytycznej
  • Warunki certyfikacji dla produktów krytycznych

Często zadawane pytania

Czy router smart home należy do Ważnej Klasy I czy kategorii domyślnej?

Ważna Klasa I jest najbardziej prawdopodobną klasyfikacją. Routery przeznaczone do podłączenia do internetu są wymienione na liście ważna Klasa I, pozycja 12. Kontrola wewnętrzna pozostaje dostępna tylko wtedy, gdy odpowiednie normy zharmonizowane, wspólne specyfikacje lub systemy certyfikacji są w pełni zastosowane. W innym przypadku zastosuj Moduł B+C albo Moduł H. Zobacz ścieżki oceny zgodności CRA.

Czy CRA dotyczy produktów SaaS bez fizycznego sprzętu?

To zależy od tego, czy oprogramowanie jest produktem z elementami cyfrowymi w zakresie CRA. Rozwiązanie do zdalnego przetwarzania danych jest objęte CRA, gdy zostało zaprojektowane przez producenta lub na jego odpowiedzialność i jest niezbędne, aby produkt z elementami cyfrowymi wykonywał swoją funkcję. Zakres wymaga też bezpośredniego lub pośredniego logicznego albo fizycznego połączenia danych z urządzeniem lub siecią.

Jeżeli mój produkt ma funkcje domyślne i funkcje Klasy I, która kategoria obowiązuje?

Wyższy poziom wygrywa, gdy funkcja wyższego ryzyka jest podstawową funkcjonalnością produktu. Produkt, którego podstawowa funkcjonalność odpowiada wymienionym kategoriom produktów ważnych, trafia do kategorii ważnej. Samo zintegrowanie komponentu Klasy I w produkcie nadrzędnym nie powoduje jednak automatycznie, że ten produkt nadrzędny podlega ścieżkom oceny zgodności dla produktów ważnych. Udokumentuj, dlaczego wymieniona funkcja jest albo nie jest podstawowa dla produktu wprowadzanego do obrotu.

Czy certyfikacja ISO 27001 wpływa na klasyfikację produktu w CRA?

Nie. Klasyfikacja CRA wynika z podstawowej funkcjonalności produktu w zestawieniu z listami produktów ważnych i krytycznych. ISO 27001 dotyczy organizacyjnego zarządzania bezpieczeństwem informacji; nie zmienia tego, czy produkt jest domyślny, Ważnej Klasy I, Ważnej Klasy II albo krytyczny według CRA. Zobacz CRA a ISO 27001.

Kiedy trzeba ustalić klasyfikację produktu w CRA?

Klasyfikację należy ustalić przed wprowadzeniem produktu do obrotu na rynku UE. Klasyfikacja wyznacza ścieżkę oceny zgodności, która wspiera deklarację zgodności UE i oznakowanie CE. Producent musi zakończyć ocenę zgodności przed udostępnieniem produktu jako zgodnego. Zobacz harmonogram wdrożenia CRA.

Gdzie znaleźć jednostkę notyfikowaną do oceny zgodności CRA?

NANDO jest bieżącym rejestrem wyznaczonych jednostek notyfikowanych. Wyznaczenia specyficzne dla CRA są nadal publikowane, więc sprawdź bezpośrednio jednostki wyznaczone na podstawie Rozporządzenia (UE) 2024/2847. Produkty Ważnej Klasy I potrzebują jednostki notyfikowanej tylko wtedy, gdy producent nie może w pełni oprzeć się na odpowiednich normach zharmonizowanych, wspólnych specyfikacjach lub systemach certyfikacji.

Kolejne kroki

  1. Potwierdź, że produkt mieści się w zakresie CRA, zanim przypiszesz poziom.
  2. Najpierw sprawdź listy produktów krytycznych i ważnych. Jeśli produktu tam nie ma, zwykle jest domyślny
  3. Zapisz, dlaczego każda wymieniona kategoria odpowiada albo nie odpowiada podstawowej funkcjonalności.
  4. Wybierz właściwą ścieżkę oceny zgodności.
  5. Przygotuj dokumentację techniczną, deklarację zgodności i SBOM.
  6. Sprawdź harmonogram wdrożenia CRA przed planowaniem premiery.