CRA-produktklassificering: Är din produkt standard, viktig eller kritisk?

Din CRA-konformitetsbedömningsväg (och kostnad) beror på din produktklassificering. "Viktiga" och "kritiska" produkter kräver obligatorisk tredjepartsbedömning. "Standard"-produkter kan självcertifiera.

Den här guiden hjälper dig fastställa din kategori och vad det innebär för efterlevnad.

Sammanfattning

• CRA definierar fyra kategorier: Standard, Viktig klass I, Viktig klass II, Kritisk
• Standard: Självbedömning (Modul A) tillåten
• Viktig klass I: Tredjepartsbedömning om inte harmoniserade standarder följs fullt ut
• Viktig klass II och Kritisk: Obligatorisk tredjepartsbedömning
• Klassificering baseras på produktfunktion och risk, inte marknadssegment
• Vid tveksamhet, välj den högre klassificeringen (säkrare vid tillsyn)

Tips: Ungefär 90% av produkterna faller i standardkategorin. Kontrollera Bilaga III och IV först — om din produkt inte finns listad är den Standard.

De fyra CRA-produktkategorierna

CRA klassificerar produkter med digitala element i fyra nivåer baserade på cybersäkerhetsrisk:

┌─────────────────────────────────────────────────────────────┐
│                   CRA PRODUKTKATEGORIER                      │
├───────────────┬───────────────┬───────────────┬─────────────┤
│   STANDARD    │   VIKTIG      │   VIKTIG      │  KRITISK    │
│               │   KLASS I     │   KLASS II    │             │
├───────────────┼───────────────┼───────────────┼─────────────┤
│ Självbedöm    │ Självbedöm    │ Tredje-       │ Tredje-     │
│ (Modul A)     │ OM harmoniserade│ parts KRÄVS  │ parts KRÄVS │
│               │ standarder    │               │ + EUCC-     │
│               │ följs         │               │ certifiering│
├───────────────┼───────────────┼───────────────┼─────────────┤
│ ~90% av       │ Listad i      │ Listad i      │ Listad i    │
│ produkter     │ Bilaga III    │ Bilaga III    │ Bilaga IV   │
│               │ Del I         │ Del II        │             │
└───────────────┴───────────────┴───────────────┴─────────────┘

Standardprodukter

Stora majoriteten av produkter hamnar här. Om din produkt inte är specifikt listad i Bilaga III eller IV är den "Standard."

Konformitetsbedömning: Självbedömning (Modul A) är tillräcklig.

Exempel:

• Enkla IoT-sensorer
• Grundläggande konsumentelektronik
• Standard affärsprogramvara
• Allmänna applikationer
• Inbyggda enheter utan nätverksanslutning

Viktig klass I (Bilaga III, Del I)

Produkter med förhöjd risk på grund av deras funktion eller användarbas.

Konformitetsbedömning: Självbedömning tillåten OM du fullt tillämpar relevanta harmoniserade standarder. Annars krävs tredjepartsbedömning.

Fullständig lista från Bilaga III, Del I:

1. Identitetshanteringssystem och programvara/hårdvara för hantering av privilegierad åtkomst
2. Fristående webbläsare
3. Lösenordshanterare
4. Programvara för sökning, borttagning eller karantän av skadlig kod
5. Produkter med digitala element med VPN-funktionalitet
6. Nätverkshanteringssystem
7. SIEM-system (Security Information and Event Management)
8. Starthanterare
9. Programvara för offentlig nyckelinfrastruktur och utfärdande av digitala certifikat
10. Fysiska och virtuella nätverksgränssnitt
11. Operativsystem som inte täcks av klass II
12. Routrar och modem avsedda för internetanslutning
13. Mikroprocessorer med säkerhetsrelaterade funktioner
14. Mikrokontrollers med säkerhetsrelaterade funktioner
15. Applikationsspecifika integrerade kretsar (ASIC) med säkerhetsrelaterade funktioner
16. Fältprogrammerbara grindmatriser (FPGA) med säkerhetsrelaterade funktioner
17. Smarta hemassistenter för allmänt bruk med röststyrning
18. Smarta hemprodukter med säkerhetsfunktioner (dörrlås, kameror, babymonitorer, larmsystem)
19. Internetanslutna leksaker med sociala interaktiva funktioner eller platsspårning
20. Personliga bärbara produkter för hälsoövervakning (inte medicintekniska produkter)

Viktig klass II (Bilaga III, Del II)

Högriskprodukter som kräver obligatorisk tredjepartsbedömning.

Konformitetsbedömning: Tredjepartssbedömning (anmält organ) krävs. Inget självbedömningsalternativ.

Fullständig lista från Bilaga III, Del II:

1. Hypervisorer och containerkörningssystem som stöder virtualiserad exekvering
2. Brandväggar, intrångdetekterings- och intrångförebyggande system (nätverkslager)
3. Manipuleringsresistenta mikroprocessorer
4. Manipuleringsresistenta mikrokontrollers
5. Operativsystem för servrar, stationära datorer och mobila enheter
6. Industriella automations- och styrsystem (IACS) avsedda för väsentliga entiteter under NIS 2
7. Industriell IoT som inte täcks på annat ställe
8. Robot-sensing- och aktuatorkomponenter för industriellt/professionellt bruk
9. Smart meter-gateways avsedda för smarta mätsystem

Kritiska produkter (Bilaga IV)

Den högst riskerade kategorin. Hårdvarusäkerhetsmoduler och liknande.

Konformitetsbedömning: Tredjepartsbedömning PLUS European Union Cybersecurity Certification (EUCC) på nivå "substantial" eller högre.

Fullständig lista från Bilaga IV:

1. Hårdvaruenheter med säkerhetsboxar
2. Smart meter-gateways inom avancerad mätarinfrastruktur
3. Läsare för smartkort eller liknande enheter
4. Token för säkerhets-/kryptografiska ändamål (hårdvara)
5. Hardware Security Modules (HSM)
6. Smartkort eller liknande enheter, inklusive säkra element
7. Säkra kryptoprocesorer

Beslutsträd: Hitta din kategori

Använd denna process för att klassificera din produkt:

START: Har din produkt digitala element?
│
├─ NEJ → Inte i CRA:s tillämpningsområde. Stoppa här.
│
└─ JA → Är den listad i Bilaga IV (Kritiska produkter)?
     │
     ├─ JA → KRITISK
     │        Tredjepartssbedömning + EUCC-certifiering krävs
     │
     └─ NEJ → Är den listad i Bilaga III, Del II (Viktig klass II)?
          │
          ├─ JA → VIKTIG KLASS II
          │        Tredjepartssbedömning krävs
          │
          └─ NEJ → Är den listad i Bilaga III, Del I (Viktig klass I)?
               │
               ├─ JA → VIKTIG KLASS I
               │        Tredjepartssbedömning ELLER självbedömning med standarder
               │
               └─ NEJ → STANDARD
                         Självbedömning (Modul A) tillåten

Konformitetsbedömningsvägar per kategori

Modul A: Intern produktionskontroll (Självbedömning)

Tillgänglig för: Standardprodukter, Viktig klass I (med harmoniserade standarder)

Vad det innebär:

• Tillverkaren utför intern bedömning
• Dokumenterar efterlevnad i teknisk fil
• Utfärdar EU-försäkran om överensstämmelse
• Applicerar CE-märkning
• Ingen extern revisor krävs

När det används: De flesta produkter. Kostnadseffektivt för standardkategorin.

Modul B+C: EU-typprovning + Produktionskontroll

Krävs för: Viktig klass II, Kritisk (eller Viktig klass I utan standarder)

Vad det innebär:

• Modul B: Anmält organ undersöker ett typexemplar och teknisk dokumentation
• Modul C: Tillverkaren säkerställer att produktionen överensstämmer med det undersökta typen
• Anmält organ utfärdar certifikat för Modul B
• Tillverkaren utfärdar DoC baserat på båda

När det används: När tredjepartsbedömning är obligatorisk eller önskad för trovärdighet.

Modul H: Fullständigt kvalitetsförsäkran

Tillgänglig för: Alla kategorier som ett alternativ till B+C

Vad det innebär:

• Anmält organ bedömer tillverkarens kvalitetsledningssystem
• Täcker design, produktion och testning
• Löpande övervakningsrevisioner
• Väl lämpad för tillverkare med många produkter

När det används: Högvolymstillverkare med mogna kvalitetssystem.

EUCC-certifiering (Endast kritiska produkter)

Krävs för: Kritiska produkter (Bilaga IV)

Vad det innebär:

• Certifiering under EU Cybersecurity Act
• Miniminivå "substantial" säkring
• Utförd av ackrediterade konformitetsbedömningsorgan
• Utöver standard konformitetsbedömning

Gränsfall: Hur man bestämmer

Produktklassificering är inte alltid uppenbar. Vägledning för vanliga frågor:

Multifunktionsprodukter

Regel: Om NÅGON funktion utlöser en högre kategori, klassificeras hela produkten på den nivån.

Exempel: En smart hemhubb som inkluderar:

• Grundläggande automationsstyrning (Standard)
• VPN-funktionalitet (Viktig klass I)
• Säkerhetskameraintegration (Viktig klass I)

Klassificering: Viktig klass I (den högsta utlösta kategorin)

Inbyggda komponenter

Regel: Bedöm om säkerhetsrelevanta komponenter utlöser klassificering.

Exempel: En konsumentenhet som innehåller:

• Allmän mikrokontroller → Standard
• Mikrokontroller "med säkerhetsrelaterade funktioner" → Viktig klass I

Nyckelfråga: Utför mikrokontrollern säkerhetsfunktioner (kryptering, autentisering, säker uppstart)?

"Avsedd för"-överväganden

Flera Bilaga III-poster specificerar avsett användningsområde:

• "Industriella automations- och styrsystem avsedda för väsentliga entiteter"
• "Smart meter-gateways avsedda för smarta mätsystem"

Om din produkt skulle kunna användas i dessa sammanhang men inte specifikt är avsedd för dem kanske klassificeringen inte gäller. Dokumentera ditt avsedda ändamål tydligt.

Operativsystem

Operativsystem fördelas på kategorier:

Exempel: En anpassad Linux-distribution för inbyggda enheter är typiskt Viktig klass I. Ubuntu Server är Viktig klass II.

Programvara kontra hårdvara

Klassificeringen beaktar produkten som den placeras på marknaden:

• Fristående programvara: Klassificeras baserat på programvarufunktion
• Hårdvara med inbyggd programvara: Klassificeras baserat på kombinerad funktionalitet
• Programvarukomponent såld separat: Klassificeras självständigt

Branschspecifik vägledning

IoT-enhetstillverkare

De flesta IoT-enheter är Standard om de inte:

• Inkluderar VPN-funktionalitet → Klass I
• Är smarta hemsäkerhetsenheter → Klass I
• Är industriell IoT → Klass I eller II
• Inkluderar manipuleringsresistenta säkerhetsfunktioner → Klass II

Programvaruföretag

De flesta programvaror är Standard om de inte är specifikt listade:

• Webbläsare, lösenordshanterare, skyddsprogram mot skadlig kod → Klass I
• Nätverkssäkerhetsverktyg (brandväggar, IDS) → Klass II
• Server-/stationärt operativsystem → Klass II

Inbyggda system

Klassificeringen beror starkt på:

• Säkerhetsfunktioner hos mikrokontrollers/processorer
• Om produkten är för industriellt/professionellt bruk
• Målmiljön (kritisk infrastruktur?)

Medicintekniska produkter

Medicintekniska produkter är undantagna från CRA:s tillämpningsområde (täcks av MDR/IVDR). Dock kan tillhörande programvara eller icke-medicinska funktioner fortfarande ingå i omfånget.

Vad klassificeringen innebär för din tidslinje

Högre klassificeringar kräver mer förberedelsestid:

Börja nu. Om du upptäcker att du är klass II eller Kritisk behöver du tid för att engagera anmälda organ.

Varning: Kapaciteten hos anmälda organ för CRA-bedömningar är begränsad. Om din produkt kräver tredjepartsbedömning, engagera tidigt för att undvika förseningar.

Hitta ett anmält organ

För produkter som kräver tredjpartsbedömning:

1. Kontrollera NANDO-databasen: EU:s officiella lista över anmälda organ
2. Leta efter CRA-specifik beteckning: Organ måste vara utsedda för CRA-konformitetsbedömning
3. Beakta kapacitet: Tidig CRA-adoption innebär begränsad tillgänglighet hos anmälda organ
4. Geografiska överväganden: Att arbeta med ett anmält organ i din region kan vara enklare

VERIFIERA MED PRIMÄRKÄLLA: Den fullständiga listan över utsedda anmälda organ för CRA håller fortfarande på att etableras.

Vanliga klassificeringsfel

Viktigt: Klassificering baseras på produktfunktion, inte marknadssegment, företagsstorlek eller produktkomplexitet. Kontrollera alltid listorna i Bilaga III och IV.

"Konsumentprodukt = Standard"

Fel. Klassificering görs efter funktion, inte marknad.

Ett smart dörrlås sålt till konsumenter är Viktig klass I eftersom det är en "smart hemprodukt med säkerhetsfunktionalitet", oavsett att målgruppen är konsumenter.

"Vi är B2B, så lägre klassificering"

Fel. B2B kontra B2C påverkar inte klassificeringen.

Industriella IoT-produkter för företagskunder kan vara Viktig klass I eller II beroende på deras funktion.

"Vår produkt är liten/enkel, så Standard"

Kanske fel. Storlek och komplexitet bestämmer inte klassificeringen.

En liten mikrokontroller med säkerhetsfunktioner kan vara Viktig klass I. En stor, komplex produkt utan listade funktioner kan vara Standard.

"Vi har redan ISO 27001, så vi är täckta"

Fel. ISO 27001 gäller organisatorisk informationssäkerhet, inte produktkonformitetsbedömning.

CRA kräver produktspecifik konformitetsbedömning oavsett organisatoriska certifieringar.

Checklista för produktklassificering

CHECKLISTA FÖR PRODUKTKLASSIFICERING

Produkt: _______________________________________
Datum: _________________________________________

INITIAL OMFÅNGSKONTROLL:
[ ] Produkten har digitala element (programvara och/eller dataanslutning)
[ ] Produkten ska placeras på EU-marknaden
[ ] Produkten är inte undantagen (medicinsk, fordon, luftfart, militär)

BILAGA IV-KONTROLL (KRITISK):
[ ] Inte en hårdvarusäkerhetsbox
[ ] Inte en smart meter-gateway för AMI
[ ] Inte en smartkort-/säker element-läsare
[ ] Inte ett hårdvarusäkerhetstoken
[ ] Inte en HSM
[ ] Inte ett smartkort eller säkert element
[ ] Inte en säker kryptoprocesor

Om något ovan är JA → KRITISK (stoppa här)

BILAGA III DEL II-KONTROLL (VIKTIG KLASS II):
[ ] Inte en hypervisor eller containerkörning
[ ] Inte en nätverksbrandvägg eller IDS/IPS
[ ] Inte en manipuleringsresistent mikroprocessor/mikrokontroller
[ ] Inte ett server-/stationärt/mobilt operativsystem
[ ] Inte IACS för NIS 2 väsentliga entiteter
[ ] Inte industriell IoT (inte täckt på annat ställe)
[ ] Inte en robotkomponent för industriellt/professionellt bruk
[ ] Inte en smart meter-gateway för smarta mätsystem

Om något ovan är JA → VIKTIG KLASS II (stoppa här)

BILAGA III DEL I-KONTROLL (VIKTIG KLASS I):
[ ] Granska fullständig lista med 20 kategorier
[ ] Beakta multifunktionsimplikationer
[ ] Kontrollera säkerhetsrelaterade funktioner i komponenter

Om någon kategori gäller → VIKTIG KLASS I (stoppa här)

STANDARD:
[ ] Produkten inte listad i någon bilaga
[ ] Klassificering: STANDARD

KONFORMITETSBEDÖMNINGSVÄG:
[ ] Modul A (självbedömning) — Standard, Klass I med standarder
[ ] Modul B+C (tredjepart) — Klass I utan standarder, Klass II
[ ] Modul H (kvalitetsförsäkran) — Alternativ till B+C
[ ] EUCC-certifiering — Endast kritiska produkter

DOKUMENTATION:
[ ] Klassificeringsmotivering dokumenterad
[ ] Multifunktionsanalys genomförd
[ ] Avsett ändamål tydligt definierat
[ ] Anmält organ identifierat (om krävs)

Klassificerad av: _________________________________
Datum: _________________________________________

Hur CRA Evidence hjälper

CRA Evidence inkluderar inbyggt klassificeringsstöd:

• Guidad klassificeringsguide: Svara på frågor, få din kategori
• Bilagekartläggning: Spåra vilka krav som gäller
• Vägledning om konformitetsväg: Förstå dina bedömningsalternativ
• Dokumentationsmallar: Kategorisspecifik teknisk filstruktur

Starta din klassificeringsbedömning på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare med erfarenhet av EU-produktreglering.