Klasyfikacja produktów CRA: domyślna, ważna, krytyczna

Ścieżka oceny zgodności CRA zależy od klasyfikacji Twojego produktu. Produkty "Ważne" i "Krytyczne" wymagają obowiązkowej oceny przez stronę trzecią. Produkty "Domyślne" mogą się samocertyfikować.

Najważniejsze informacje

  • CRA definiuje cztery kategorie: Domyślna, Ważna Klasa I, Ważna Klasa II, Krytyczna
  • Domyślna: Samoocena (Moduł A) dozwolona
  • Ważna Klasa I: Ocena przez stronę trzecią chyba że w pełni stosowane są normy zharmonizowane
  • Ważna Klasa II i Krytyczna: Obowiązkowa ocena przez stronę trzecią
  • Klasyfikacja opiera się na funkcji i ryzyku produktu, nie na sektorze rynku
  • W razie wątpliwości wybierz wyższą klasyfikację (bezpieczniejsze dla egzekwowania)

Wskazówka: Około 90% produktów należy do kategorii Domyślnej. Sprawdź najpierw Załącznik III i IV; jeśli Twój produkt nie jest wymieniony, jesteś Domyślny.

Drzewo decyzyjne klasyfikacji produktów CRA: Kategorie domyślna, ważna Klasa I/II i krytyczna

Jakie są cztery kategorie produktów CRA?

CRA klasyfikuje produkty z elementami cyfrowymi na cztery poziomy na podstawie ryzyka cyberbezpieczeństwa:

Przegląd kategorii produktów CRA: Domyślna, Ważna Klasa I/II i Krytyczna z trasami oceny zgodności

Produkty domyślne

Zdecydowana większość produktów trafia tutaj. Jeśli Twój produkt nie jest specjalnie wymieniony w Załączniku III lub IV, jest "Domyślny".

Ocena zgodności: Samoocena (Moduł A) wystarcza.

Przykłady:

  • Proste czujniki IoT
  • Podstawowa elektronika konsumencka
  • Standardowe oprogramowanie biznesowe
  • Aplikacje ogólnego przeznaczenia
  • Urządzenia wbudowane bez połączenia sieciowego

Ważna Klasa I (Załącznik III, Część I)

Produkty o podwyższonym ryzyku ze względu na ich funkcję lub bazę użytkowników.

Ocena zgodności: Samoocena dozwolona JEŚLI w pełni stosujesz odpowiednie normy zharmonizowane. W przeciwnym razie wymagana ocena przez stronę trzecią.

Pełna lista z Załącznika III, Część I:

  1. Oprogramowanie systemów zarządzania tożsamością i zarządzania uprzywilejowanym dostępem oraz odpowiedni sprzęt, w tym czytniki do uwierzytelniania i kontroli dostępu, także biometryczne
  2. Samodzielne i wbudowane przeglądarki
  3. Menedżery haseł
  4. Oprogramowanie, które wyszukuje, usuwa lub poddaje kwarantannie złośliwe oprogramowanie
  5. Produkty z elementami cyfrowymi z funkcją wirtualnej sieci prywatnej (VPN)
  6. Systemy zarządzania siecią
  7. Systemy zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)
  8. Menedżery uruchamiania systemu
  9. Infrastruktura klucza publicznego i oprogramowanie do wystawiania certyfikatów cyfrowych
  10. Fizyczne i wirtualne interfejsy sieciowe
  11. Systemy operacyjne
  12. Routery, modemy przeznaczone do podłączenia do internetu oraz przełączniki
  13. Mikroprocesory z funkcjami bezpieczeństwa
  14. Mikrokontrolery z funkcjami bezpieczeństwa
  15. Specjalizowane układy scalone (ASIC) i bezpośrednio programowalne macierze bramek (FPGA) z funkcjami bezpieczeństwa
  16. Wirtualni asystenci inteligentnego domu ogólnego przeznaczenia
  17. Produkty inteligentnego domu z funkcjami bezpieczeństwa, w tym inteligentne zamki do drzwi, kamery systemów bezpieczeństwa, nianie elektroniczne i systemy alarmowe
  18. Zabawki podłączone do internetu objęte dyrektywą Parlamentu Europejskiego i Rady 2009/48/WE z interaktywnymi funkcjami społecznymi (np. mówienie lub filmowanie) lub z funkcją śledzenia lokalizacji
  19. Produkty do noszenia lub umieszczania na ciele ludzkim mające monitorować stan zdrowia (np. śledzące aktywność fizyczną), do których nie stosuje się rozporządzenia (UE) 2017/745 ani rozporządzenia (UE) 2017/746, lub przedmioty osobiste do noszenia na ciele, które mają być używane przez dzieci i dla dzieci

Ważna Klasa II (Załącznik III, Część II)

Produkty wyższego ryzyka wymagające obowiązkowej oceny przez stronę trzecią.

Ocena zgodności: Ocena przez jednostkę notyfikowaną wymagana. Brak opcji samooceny.

Pełna lista z Załącznika III, Część II:

  1. Hiperwizory i systemy środowiska uruchomieniowego, które wspomagają zwirtualizowane wykonanie systemów operacyjnych i podobnych środowisk
  2. Zapory sieciowe, systemy wykrywania włamań lub zapobiegania włamaniom
  3. Mikroprocesory odporne na manipulacje
  4. Mikrokontrolery odporne na manipulacje

Produkty krytyczne (Załącznik IV)

Kategoria najwyższego ryzyka. Sprzętowe moduły bezpieczeństwa i podobne.

Ocena zgodności: Ocena przez stronę trzecią PLUS certyfikacja EUCC na poziomie "znaczącym" lub wyższym.

Pełna lista z Załącznika IV:

  1. Urządzenia sprzętowe ze skrzynkami zabezpieczającymi
  2. Bramy inteligentnych liczników w inteligentnych systemach pomiarowych zdefiniowanych w art. 2 pkt 23 dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/944 oraz inne urządzenia do zaawansowanych celów bezpieczeństwa, w tym do bezpiecznego kryptoprzetwarzania
  3. Karty inteligentne lub podobne urządzenia, w tym elementy zabezpieczające

Drzewo decyzyjne: Znajdowanie Twojej kategorii

Użyj tego procesu do sklasyfikowania swojego produktu:

START: Czy Twój produkt ma elementy cyfrowe?
│
├─ NIE → Poza zakresem CRA. Zatrzymaj się tutaj.
│
└─ TAK → Czy jest wymieniony w Załączniku IV (Produkty krytyczne)?
     │
     ├─ TAK → KRYTYCZNY
     │        Trzecia strona + certyfikacja EUCC wymagana
     │
     └─ NIE → Czy jest wymieniony w Załączniku III, Część II (Ważna Klasa II)?
          │
          ├─ TAK → WAŻNA KLASA II
          │        Ocena przez stronę trzecią wymagana
          │
          └─ NIE → Czy jest wymieniony w Załączniku III, Część I (Ważna Klasa I)?
               │
               ├─ TAK → WAŻNA KLASA I
               │        Trzecia strona LUB samoocena ze standardami
               │
               └─ NIE → DOMYŚLNY
                        Samoocena (Moduł A) dozwolona

Ścieżki oceny zgodności według kategorii

Ścieżki oceny zgodności CRA według kategorii: Moduły A, B+C, H i EUCC

Moduł Dostępny dla Jednostka notyfikowana
Moduł A: Wewnętrzna kontrola produkcji Domyślna; Klasa I z zastosowanymi normami zharmonizowanymi Nie wymagana
Moduł B+C: Badanie UE typu i kontrola produkcji Klasa I bez norm; Klasa II; Krytyczna Wymagana
Moduł H: Pełne zapewnienie jakości Wszystkie kategorie, alternatywa dla B+C Wymagana
EUCC: Europejska certyfikacja cyberbezpieczeństwa Tylko Krytyczna (Załącznik IV), dodatkowo do B+C lub H Wymagana

Moduł A obejmuje pełny cykl samooceny: dokumentacja techniczna, deklaracja zgodności UE, oznakowanie CE. Żaden zewnętrzny audytor nie jest wymagany.

Moduł B+C dzieli pracę na dwa etapy: jednostka notyfikowana bada egzemplarz wzorcowy i wydaje certyfikat (moduł B); producent zapewnia następnie, że cała produkcja jest zgodna z tym typem (moduł C).

Moduł H zastępuje podejście produkt po produkcie audytem systemu zarządzania jakością producenta. Lepiej sprawdza się u producentów z szerokim portfolio produktów.

EUCC uzupełnia moduł B+C lub H w przypadku produktów Krytycznych. Wydawana na podstawie unijnego aktu o cyberbezpieczeństwie na poziomie zapewnienia "istotnym" lub wyższym przez akredytowany organ oceny zgodności.

Jak sklasyfikować produkt, który pasuje do kilku kategorii?

Produkty wielofunkcyjne

Zasada: Jeśli jakakolwiek funkcja uruchamia wyższą kategorię, cały produkt jest klasyfikowany na tym poziomie.

Przykład: Koncentrator inteligentnego domu zawierający:

  • Podstawowe sterowanie automatyką (Domyślny)
  • Funkcjonalność VPN (Ważna Klasa I)
  • Integrację kamery bezpieczeństwa (Ważna Klasa I)

Klasyfikacja: Ważna Klasa I (najwyższa uruchomiona kategoria)

Zasada CRA dla produktów wielofunkcyjnych: obowiązuje najwyższa kategoria

Komponenty wbudowane

Zasada: Oceń, czy komponenty istotne dla bezpieczeństwa uruchamiają klasyfikację.

Przykład: Urządzenie konsumenckie zawierające:

  • Mikrokontroler ogólnego przeznaczenia → Domyślny
  • Mikrokontroler "z funkcjami bezpieczeństwa" → Ważna Klasa I

Kluczowe pytanie: Czy mikrokontroler pełni funkcje bezpieczeństwa (szyfrowanie, uwierzytelnianie, bezpieczne uruchamianie)?

Zamierzone zastosowanie

Niektóre pozycje Załącznika III określają zamierzone zastosowanie lub właściwe ramy regulacyjne. Zabawki podłączone do internetu kwalifikują się do Klasy I tylko wtedy, gdy są objęte dyrektywą 2009/48/WE i mają funkcje społeczne interaktywne lub śledzenie lokalizacji. Noszone produkty do monitorowania zdrowia wchodzą do Klasy I tylko wtedy, gdy rozporządzenia (UE) 2017/745 lub 2017/746 nie mają zastosowania.

Jeśli Twój produkt mógłby być używany w tych kontekstach, ale nie jest do nich specjalnie przeznaczony, klasyfikacja może nie mieć zastosowania. Jasno udokumentuj zamierzone zastosowanie.

Systemy operacyjne

Systemy operacyjne figurują wyłącznie w Załączniku III Część I (Ważna Klasa I):

Typ Klasyfikacja
Wbudowany system operacyjny (RTOS, firmware) Domyślny (zazwyczaj)
System operacyjny ogólnego przeznaczenia Ważna Klasa I

Przykład: Niestandardowa dystrybucja Linuksa dla urządzeń wbudowanych będzie zazwyczaj Ważną Klasą I. Ubuntu Server jest Ważną Klasą I.

Oprogramowanie a sprzęt

Klasyfikacja uwzględnia produkt w postaci, w jakiej jest wprowadzany na rynek:

  • Oprogramowanie autonomiczne: klasyfikowane na podstawie funkcji oprogramowania
  • Sprzęt z wbudowanym oprogramowaniem: klasyfikowany na podstawie połączonej funkcjonalności
  • Komponent oprogramowania sprzedawany oddzielnie: klasyfikowany niezależnie

Wskazówki branżowe

Producenci urządzeń IoT

Większość urządzeń IoT należy do kategorii Domyślna, chyba że:

  • Zawierają funkcjonalność VPN → Klasa I
  • Są urządzeniami bezpieczeństwa inteligentnego domu → Klasa I
  • Należą do przemysłowego IoT → Klasa I lub II
  • Zawierają odporne na manipulacje funkcje bezpieczeństwa → Klasa II

Firmy programistyczne

Większość oprogramowania jest Domyślna, chyba że jest konkretnie wymieniona:

  • Przeglądarki, menedżery haseł, oprogramowanie antywirusowe → Klasa I
  • Narzędzia bezpieczeństwa sieciowego (zapory, IDS) → Klasa II
  • Systemy operacyjne → Klasa I

Systemy wbudowane

Klasyfikacja zależy głównie od:

  • Funkcji bezpieczeństwa mikrokontrolerów i procesorów
  • Przemysłowego lub profesjonalnego zastosowania produktu
  • Docelowego środowiska wdrożenia (infrastruktura krytyczna?)

Wyroby medyczne

Wyroby medyczne są wyłączone z zakresu CRA (objęte MDR/IVDR). Powiązane oprogramowanie lub funkcje niemedyczne mogą jednak nadal wchodzić w jego zakres.

Znalezienie jednostki notyfikowanej

W przypadku produktów wymagających oceny przez stronę trzecią:

  1. Sprawdź bazę NANDO: oficjalna lista UE jednostek notyfikowanych
  2. Sprawdź wyznaczenie dla CRA: jednostki muszą być wyznaczone do oceny zgodności CRA
  3. Uwzględnij dostępność: wczesne wdrożenie CRA oznacza ograniczoną dostępność jednostek notyfikowanych
  4. Weź pod uwagę lokalizację: współpraca z jednostką notyfikowaną w Twoim regionie może ułatwić proces

Kompletna lista wyznaczonych jednostek notyfikowanych dla CRA jest nadal tworzona. Sprawdź NANDO w celu uzyskania aktualnego stanu.

Częste błędy klasyfikacyjne

Ważne: Klasyfikacja opiera się na funkcji produktu, a nie na sektorze rynku, wielkości firmy czy złożoności produktu. Zawsze sprawdzaj listy w Załącznikach III i IV.

"Produkt konsumencki = Domyślny"

Błąd. Klasyfikacja opiera się na funkcji, a nie na rynku docelowym.

Inteligentny zamek do drzwi sprzedawany konsumentom jest Ważną Klasą I, ponieważ jest "produktem inteligentnego domu z funkcją bezpieczeństwa", niezależnie od rynku docelowego.

"Jesteśmy B2B, więc niższa klasyfikacja"

Błąd. B2B i B2C nie mają żadnego wpływu na klasyfikację.

Przemysłowe produkty IoT dla klientów biznesowych mogą być Ważną Klasą I lub II w zależności od ich funkcji.

"Nasz produkt jest mały lub prosty, więc Domyślny"

Niekoniecznie. Rozmiar i złożoność nie determinują klasyfikacji.

Mały mikrokontroler z funkcjami bezpieczeństwa może być Ważną Klasą I. Duży, złożony produkt bez wymienionych funkcji może być Domyślny.

"Mamy już ISO 27001, więc jesteśmy objęci"

Błąd. ISO 27001 dotyczy bezpieczeństwa informacji organizacyjnych, a nie oceny zgodności produktu.

CRA wymaga oceny zgodności specyficznej dla produktu, niezależnie od certyfikatów organizacyjnych.

Lista kontrolna klasyfikacji produktu 

LISTA KONTROLNA KLASYFIKACJI PRODUKTU

Produkt: _______________________________________
Data: _________________________________________

WSTĘPNA WERYFIKACJA ZAKRESU:
[ ] Produkt ma elementy cyfrowe (oprogramowanie i/lub połączenie danych)
[ ] Produkt zostanie wprowadzony na rynek UE
[ ] Produkt nie jest wyłączony (medyczny, motoryzacja, lotnictwo, wojsko)

WERYFIKACJA ZAŁĄCZNIKA IV (KRYTYCZNY):
[ ] Nie jest urządzeniem sprzętowym ze skrzynką zabezpieczającą
[ ] Nie jest bramą inteligentnych liczników (dyrektywa (UE) 2019/944, art. 2 pkt 23) ani innym urządzeniem do zaawansowanych celów bezpieczeństwa
[ ] Nie jest kartą inteligentną ani podobnym urządzeniem, w tym elementami zabezpieczającymi

Jeśli którykolwiek z powyższych punktów brzmi TAK -> KRYTYCZNY (zatrzymaj się tutaj)

WERYFIKACJA ZAŁĄCZNIKA III CZĘŚĆ II (WAŻNA KLASA II):
[ ] Nie jest hiperwizorem ani systemem środowiska uruchomieniowego
[ ] Nie jest zaporą sieciową, systemem wykrywania włamań lub zapobiegania włamaniom
[ ] Nie jest mikroprocesorem odpornym na manipulacje
[ ] Nie jest mikrokontolerem odpornym na manipulacje

Jeśli którykolwiek z powyższych punktów brzmi TAK -> WAŻNA KLASA II (zatrzymaj się tutaj)

WERYFIKACJA ZAŁĄCZNIKA III CZĘŚĆ I (WAŻNA KLASA I):
[ ] Przejrzano pełną listę 19 kategorii
[ ] Uwzględniono implikacje wielofunkcyjności
[ ] Sprawdzono funkcje związane z bezpieczeństwem w komponentach

Jeśli jakakolwiek kategoria ma zastosowanie -> WAŻNA KLASA I (zatrzymaj się tutaj)

DOMYŚLNY:
[ ] Produkt nie jest wymieniony w żadnym załączniku
[ ] Klasyfikacja: DOMYŚLNY

ŚCIEŻKA OCENY ZGODNOŚCI:
[ ] Moduł A (samoocena): Domyślna, Klasa I z normami
[ ] Moduł B+C (strona trzecia): Klasa I bez norm, Klasa II
[ ] Moduł H (zapewnienie jakości): alternatywa dla B+C
[ ] Certyfikacja EUCC: tylko Produkty Krytyczne

DOKUMENTACJA:
[ ] Uzasadnienie klasyfikacji udokumentowane
[ ] Analiza wielofunkcyjności przeprowadzona
[ ] Zamierzone zastosowanie jasno zdefiniowane
[ ] Jednostka notyfikowana zidentyfikowana (jeśli wymagana)

Sklasyfikował/a: _________________________________
Data: _________________________________________

Często zadawane pytania

Czy domowy router do połączenia z internetem podlega Ważnej Klasie I czy kategorii Domyślnej?

Ważna Klasa I. Routery "przeznaczone do połączenia z internetem" są wymienione w Załączniku III Część I punkt 12. Samoocena jest możliwa, jeśli w pełni stosowane są odpowiednie normy zharmonizowane. Bez właściwej normy zharmonizowanej wymagana jest jednostka notyfikowana. Zobacz ścieżki oceny zgodności CRA.

Czy CRA dotyczy produktów SaaS bez fizycznego sprzętu?

To zależy. SaaS zapewniający zdalne przetwarzanie danych stanowiące integralną część produktu z elementami cyfrowymi mieści się w zakresie CRA zgodnie z art. 3(1). Samodzielna aplikacja internetowa bez powiązanego sprzętu może również podlegać regulacji w zależności od swojej funkcji. Klasyfikacja odbywa się według tych samych list z Załączników III i IV co dla produktów fizycznych.

Jeśli mój produkt ma zarówno funkcje Domyślne, jak i Klasy I, która kategoria obowiązuje?

Najwyższa właściwa kategoria reguluje cały produkt. Jeśli jedna funkcja mieści się w Załączniku III lub IV, cały produkt jest oceniany na tym poziomie. Przełącznik sieciowy z wbudowaną funkcją VPN jest Ważną Klasą I dla całego urządzenia, nie tylko dla komponentu VPN.

Czy certyfikacja ISO 27001 wpływa na klasyfikację produktu w CRA?

Nie. Klasyfikacja jest określana wyłącznie przez funkcję produktu w odniesieniu do Załączników III i IV. Certyfikaty organizacyjne nie mają znaczenia. ISO 27001 dotyczy bezpieczeństwa informacji na poziomie organizacji; CRA wymaga oceny zgodności specyficznej dla produktu, niezależnie od certyfikatów posiadanych przez producenta. Zobacz CRA i ISO 27001.

Kiedy należy ustalić klasyfikację produktu w CRA?

Przed wprowadzeniem na rynek UE. Klasyfikacja określa ścieżkę oceny zgodności, która musi być ukończona przed umieszczeniem oznakowania CE i wystawieniem Deklaracji Zgodności UE. Sprawdź harmonogram wdrożenia CRA dla kluczowych terminów.

Gdzie znaleźć jednostkę notyfikowaną do oceny zgodności CRA?

Baza NANDO (nando.ec.europa.eu) jest oficjalnym rejestrem UE jednostek notyfikowanych. Wyznaczenia specyficzne dla CRA są publikowane na podstawie Rozporządzenia (UE) 2024/2847; sprawdź bezpośrednio aktualny stan. Dla produktów Ważnej Klasy I jednostka notyfikowana jest wymagana tylko wtedy, gdy nie jest stosowana żadna odpowiednia norma zharmonizowana. NASK i CERT Polska publikują wytyczne dla polskich producentów.

Kolejne kroki

Zarządzasz zgodnością CRA dla wielu produktów? CRA Evidence śledzi klasyfikację, ścieżki oceny zgodności i dokumentację w jednym miejscu.

Gdy znasz klasyfikację, następnym krokiem jest Twoja ścieżka oceny zgodności. Następnie zbuduj dokumentację techniczną zgodnie z Załącznikiem VII i wystaw Deklarację zgodności UE. Wszystkie kategorie, niezależnie od poziomu, wymagają SBOM. Sprawdź harmonogram wdrożenia CRA dla kluczowych terminów.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym znającym przepisy UE dotyczące produktów.