Din väg för CRA-konformitetsbedömning beror på produktklassificeringen. Standardprodukter kan normalt använda intern kontroll. Viktiga och kritiska produkter kan behöva ett anmält organ eller, för kritiska produkter när förordningens särskilda villkor är uppfyllda, ett EU-cybersäkerhetscertifikat.
Sammanfattning
- CRA-klassificering börjar med tillämpningsområdet: produkten måste ha digitala element och en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nätverk.
- Produkter vars kärnfunktionalitet finns i listan över viktiga produkter är viktiga produkter, uppdelade i klass I och klass II.
- Produkter vars kärnfunktionalitet finns i listan över kritiska produkter är kritiska produkter.
- Standardprodukter kan använda intern kontroll enligt Module A.
- Viktiga produkter i klass I kan ligga kvar på intern kontroll endast när relevanta standarder, gemensamma specifikationer eller certifieringssystem tillämpas fullt ut.
- Kritiska produkter använder antingen certifieringsvägen eller, när den vägen inte är tillgänglig och tillämplig, de ordinarie tredjepartsvägarna.
Tips: Som arbetsantagande, inte som en siffra fastställd i CRA, faller ungefär 90 % av produkterna i standardkategorin. Kontrollera listorna över kritiska och viktiga produkter först. Om produkten inte finns där är den vanligtvis standard.
Börja här endast om produkten har digitala element och en direkt eller indirekt dataanslutning.
Den högsta risknivån. Ett "ja" här betyder certifiering eller en av tredjepartsvägarna.
Dessa produkter kräver normalt en tredjepartsväg eller certifiering.
Den här nivån omfattar också identitetssystem, SIEM, PKI, nätverksgränssnitt, kretsar med säkerhetsfunktioner, vissa leksaker och vissa kroppsburna produkter.
För en snabb första kontroll av tillämpningsområdet, använd den kostnadsfria CRA-tillämplighetskontrollen. Behandla resultatet som en startpunkt och dokumentera den rättsliga klassificeringen separat.
De fyra CRA-produktkategorierna
CRA klassificerar produkter med digitala element i fyra nivåer utifrån cybersäkerhetsrisk: standard, viktig klass I, viktig klass II och kritisk. Nivåtilldelningen styrs av om produktens kärnfunktionalitet motsvarar listorna över viktiga eller kritiska produkter.
Intern kontroll enligt Module A är tillgänglig när produkten i övrigt omfattas av CRA.
Ingen viktig eller kritisk kärnfunktionalitet.Module A är kvar som möjlighet endast med full användning av relevanta standarder, specifikationer eller system.
lista viktig klass I.Använd Module B+C, Module H eller ett tillämpligt certifieringssystem.
lista viktig klass II.Använd certifiering när certifieringsvillkoren är uppfyllda; annars används tredjepartsbedömningsvägarna.
kritisk lista.Standardprodukter
De flesta produkter hamnar här. Om produkten omfattas av CRA men kärnfunktionaliteten inte finns i listorna över viktiga eller kritiska produkter är den standard.
Konformitetsbedömning: Självbedömning (Module A) räcker.
Exempel:
- Enkla IoT-sensorer
- Grundläggande konsumentelektronik
- Standardprogramvara för företag
- Allmänna applikationer
- Inbyggda enheter vars avsedda ändamål eller rimligen förutsebara användning omfattar en dataanslutning men ingen viktig eller kritisk kärnfunktionalitet
Viktig klass I
Produkter med förhöjd risk på grund av funktion eller användarbas.
Konformitetsbedömning: Intern kontroll är tillgänglig endast om du fullt ut tillämpar relevanta harmoniserade standarder, gemensamma specifikationer eller europeiska cybersäkerhetscertifieringssystem på assuransnivån minst betydande. Där sådana ännu inte finns, eller om du inte tillämpar dem fullt ut, används Module B+C eller Module H.
Fullständig lista viktig klass I:
- (1) Identitetshanteringssystem och programvara och hårdvara för hantering av privilegierad åtkomst, inbegripet läsare för autentisering och åtkomstkontroll, inbegripet biometriska läsare
- (2) Fristående och inbyggda webbläsare
- (3) Lösenordshanterare
- (4) Programvara som söker efter och avlägsnar skadlig programvara eller sätter den i karantän
- (5) Produkter med digitala element som fungerar som virtuella privata nätverk (VPN)
- (6) System för nätverksförvaltning
- (7) System för säkerhetsinformation och händelsehantering (SIEM)
- (8) Starthanterare
- (9) Infrastruktur för kryptering med öppen nyckel (PKI) och programvara för utfärdande av digitala certifikat
- (10) Fysiska och virtuella nätverksgränssnitt
- (11) Operativsystem
- (12) Routrar, modem avsedda för anslutning till internet och dataväxlar
- (13) Mikroprocessorer med säkerhetsrelaterade funktioner
- (14) Mikrokontroller med säkerhetsrelaterade funktioner
- (15) Applikationsspecifika integrerade kretsar (ASIC) och fältprogrammerbara grindmatriser (FPGA) med säkerhetsrelaterade funktioner
- (16) Smarta virtuella assistenter för allmänna ändamål
- (17) Smarta hemprodukter med säkerhetsfunktioner, inbegripet smarta dörrlås, säkerhetskameror, babyövervakningssystem och larmsystem
- (18) Internetanslutna leksaker som omfattas av Directive 2009/48/EC och som har sociala interaktiva funktioner (t.ex. tal eller filmning) eller positionsspårningsfunktioner
- (19) Personliga kroppsburna produkter som ska bäras eller placeras på en människokropp och som har ett hälsoövervakningssyfte (t.ex. spårning) och som inte omfattas av Regulation (EU) 2017/745 eller (EU) No 2017/746, eller personliga kroppsburna produkter som är avsedda att användas av och för barn
Viktig klass II
Produkter med högre risk som kräver obligatorisk tredjepartsbedömning.
Konformitetsbedömning: Använd Module B+C, Module H eller, när det är tillgängligt och tillämpligt, ett europeiskt cybersäkerhetscertifieringssystem på minst assurance level substantial.
Fullständig lista viktig klass II:
- (1) Hypervisorer och system för körning av programbehållare som stöder virtualiserad exekvering av operativsystem och liknande miljöer
- (2) Brandväggar, intrångsdetektions- och intrångsskyddssystem
- (3) Manipulationssäkra mikroprocessorer
- (4) Manipulationssäkra mikrokontroller
Kritiska produkter
Den högsta riskkategorin omfattar hårdvaruenheter med säkerhetsboxar, smarta mätarportar och andra avancerade säkerhetsenheter samt smartkort eller liknande enheter.
Konformitetsbedömning: Använd certifieringsvägen när certifieringsvillkoren är uppfyllda. Om de villkoren inte är uppfyllda används en av tredjepartsbedömningsvägarna.
Fullständig lista kritisk:
- (1) Hårdvaruenheter med säkerhetsboxar
- (2) Smarta mätarportar inom smarta mätarsystem enligt definitionen i punkt 23 i Directive (EU) 2019/944 och andra enheter för avancerade säkerhetsändamål, inbegripet för säker kryptobehandling
- (3) Smartkort eller liknande enheter, inbegripet säkra element
Konformitetsbedömningsvägar per kategori
Varje nivå motsvarar en viss uppsättning moduler för konformitetsbedömning: standard använder normalt intern kontroll, viktig klass I bara med full standard- eller systemtäckning, viktig klass II en tredjeparts- eller certifieringsväg, och kritisk certifiering där den är tillgänglig eller reservvägarna via tredje part.
Intern produktionskontroll är tillgänglig när produkten inte har någon träff för kärnfunktionalitet i listorna över viktiga eller kritiska produkter.
Anmält organ: krävs inteAnvänd Module A endast med full täckning av standarder, gemensamma specifikationer eller certifieringssystem. Använd annars Module B+C eller Module H.
Anmält organ: krävs när Module B+C eller H användsAnvänd en tredjepartsväg eller ett tillämpligt europeiskt cybersäkerhetscertifieringssystem på minst assurance level substantial.
Anmält organ: krävs för B+C eller H; systemregler gäller för certifieringAnvänd certifieringsvägen när villkoren är uppfyllda. Använd annars tredjepartsbedömningsvägarna.
Anmält organ: beror på tillgänglig vägModule A är intern kontroll: teknisk dokumentation, EU-försäkran om överensstämmelse och CE-märkning. Ingen extern revisor deltar.
Module B+C delar upp arbetet: ett anmält organ granskar ett typexemplar och utfärdar ett certifikat (Module B); tillverkaren säkerställer sedan att produktionen överensstämmer med typen (Module C).
Module H ersätter produkt-för-produkt-metoden med en revision av tillverkarens kvalitetsledningssystem. Den passar bättre när produktportföljen är stor.
För kritiska produkter är certifiering inte ett tillägg ovanpå Module B+C eller Module H. Det är vägen i den kritiska vägen när certifieringsvillkoren är uppfyllda; annars används tredjepartsbedömningsvägarna.
Klassificera produkter som passar in i flera kategorier
Alla produkter passar inte rent in i en ruta. Det här är de vanligaste gränsfallen.
Multifunktionsprodukter
Regel: Utgå från produktens kärnfunktionalitet. En produkt vars kärnfunktionalitet motsvarar en kategori i listan över viktiga produkter är viktig, men att integrera en klass I-komponent i en värdprodukt gör inte i sig värdprodukten viktig.
Exempel: En smart hemhubb som innehåller:
- Grundläggande automationsstyrning (standard)
- VPN-funktionalitet (viktig klass I)
- Integration med säkerhetskamera (viktig klass I)
Klassificering: Viktig klass I om VPN- eller säkerhetskamerafunktionen ingår i produktens kärnfunktionalitet.
Inbyggda komponenter
Regel: Bedöm om säkerhetsrelevanta komponenter släpps ut på marknaden separat eller ger värdprodukten kärnfunktionaliteten hos en kategori i listan över viktiga produkter.
Exempel: En konsumentenhet som innehåller:
- Allmän mikrokontroller → standard
- Mikrokontroller "med säkerhetsrelaterade funktioner" → viktig klass I
Nyckelfråga: Utför mikrokontrollern säkerhetsfunktioner (kryptering, autentisering, säker uppstart)?
Överväganden om avsedd användning
Flera listade kategorier anger avsedd användning eller produktkontext, till exempel poster som hänvisar till "internetanslutna leksaker som omfattas av Directive 2009/48/EC" eller kroppsburna produkter för hälsoövervakning som hänvisar till Regulations 2017/745 och 2017/746.
Om din produkt kan användas i sådana sammanhang men inte är särskilt avsedd för dem kanske klassificeringen inte gäller. Dokumentera det avsedda ändamålet tydligt.
Operativsystem
Operativsystem finns i listan viktig klass I. Den praktiska frågan är om produkten som placeras på marknaden är ett operativsystem, eller om firmware bara är en del av en bredare produkt med annan kärnfunktionalitet:
| OS-typ | Klassificering |
|---|---|
| Operativsystem som placeras på marknaden som produkt | Viktig klass I |
| Firmware i en bredare produkt | Klassificera den bredare produkten utifrån dess kärnfunktionalitet |
Exempel: En specialbyggd Linuxdistribution som säljs som operativsystem är viktig klass I. Firmware i en enkel ansluten sensor kan ändå lämna sensorn som standard om den saknar viktig eller kritisk kärnfunktionalitet.
Programvara kontra hårdvara
Klassificeringen ser till produkten som placeras på marknaden:
- Fristående programvara: klassificeras utifrån programvarans funktion
- Hårdvara med inbyggd programvara: klassificeras utifrån den samlade funktionaliteten
- Programvarukomponent som säljs separat: klassificeras självständigt
Branschspecifik vägledning
Många IoT-enheter är standard om kärnfunktionaliteten inte motsvarar en listad kategori.
- VPN-funktionalitet: viktig klass I
- Smarta hemsäkerhetsenheter: viktig klass I
- Manipulationssäkra säkerhetsfunktioner: viktig klass II
De flesta programvaror är standard om produkten inte själv tillhandahåller en listad funktion.
- Webbläsare, lösenordshanterare och anti-malware: viktig klass I
- Brandväggar och IDS/IPS: viktig klass II
- Operativsystem: viktig klass I
Klassificeringen beror på säkerhetsfunktionen och hur komponenten släpps ut på marknaden.
- Kontrollera säkerhetsfunktioner i processorer och mikrokontroller
- Kontrollera om komponenten säljs separat
- Kontrollera om säkerhetsfunktionen är kärnfunktionalitet för produkten
Produkter som omfattas av MDR eller IVDR är undantagna från CRA:s tillämpningsområde. Tillhörande programvara eller icke-medicinska funktioner kan ändå kräva en separat CRA-tillämpningsanalys.
Vanliga klassificeringsfel
Viktigt: Klassificering baseras på produktfunktion, inte marknadssegment, företagsstorlek eller produktkomplexitet. Kontrollera alltid listorna över viktiga och kritiska produkter.
Ett smart dörrlås som säljs till konsumenter kan ändå vara viktig klass I, eftersom klassificeringen följer funktionen, inte målmarknaden.
Företags- eller industribruk sänker inte nivån. Klassificeringen styrs fortfarande av CRA:s tillämpningsområde och kärnfunktionalitetslistorna i listorna över viktiga eller kritiska produkter.
Storlek och komplexitet avgör inte klassificeringen. En liten säkerhetsmikrokontroller kan vara viktig klass I, medan en komplex produkt utan listade funktioner kan vara standard.
ISO 27001 är en standard för organisatorisk säkerhetshantering. CRA-klassificering och konformitetsbedömning är fortfarande produktspecifika.
Checklista för produktklassificering
- Produkten har digitala element och en direkt eller indirekt dataanslutning
- Produkten ska släppas ut på EU-marknaden
- Produkten omfattas inte av ett sektors- eller säkerhetsundantag
- Hårdvaruenhet med säkerhetsbox
- Smart mätarport eller annan avancerad säkerhetsenhet
- Smartkort eller liknande enhet, inbegripet säkra element
Varje träff betyder kritisk.
- Hypervisor eller system för körning av programbehållare
- Brandvägg, intrångsdetekterings- eller intrångsskyddssystem
- Manipulationssäker mikroprocessor eller mikrokontroller
Varje träff betyder viktig klass II.
- Granska hela listan med 19 kategorier
- Bedöm multifunktionsfrågan
- Kontrollera säkerhetsrelaterade funktioner i komponenter
Varje listad kategori betyder viktig klass I.
- Produkten omfattas av CRA
- Ingen viktig eller kritisk kärnfunktionalitet
- Klassificeringsmotiveringen är dokumenterad
Ingen träff i en listad kategori betyder standard.
- Module A för standard, eller klass I med full standard-, specifikations- eller systemtäckning
- Module B+C eller H för klass I utan full täckning, klass II och kritiska reservvägar
- Certifieringsvillkor för kritiska produkter
Vanliga frågor
Faller en smart hemrouter under viktig klass I eller standard?
Viktig klass I är den sannolika klassificeringen. Routrar avsedda för anslutning till internet finns i listan viktig klass I, punkt 12. Intern kontroll är kvar som möjlighet endast om relevanta harmoniserade standarder, gemensamma specifikationer eller certifieringssystem tillämpas fullt ut; annars används Module B+C eller Module H. Se CRA-konformitetsbedömningsvägar.
Gäller CRA för SaaS-produkter utan fysisk hårdvara?
Det beror på om programvaran är en produkt med digitala element inom CRA:s tillämpningsområde. En fjärrdatabehandlingslösning omfattas när den är utformad av tillverkaren, eller under tillverkarens ansvar, och krävs för att en produkt med digitala element ska utföra en funktion. Tillämpningsområdet kräver också en direkt eller indirekt logisk eller fysisk dataanslutning till en enhet eller ett nätverk.
Vilken kategori gäller om produkten har både standardfunktioner och klass I-funktioner?
Den högre nivån vinner när den högre riskfunktionen är produktens kärnfunktionalitet. En produkt vars kärnfunktionalitet motsvarar de listade kategorierna för viktiga produkter hamnar på den viktiga nivån. Men att enbart integrera en klass I-komponent i en värdprodukt eskalerar inte i sig värdprodukten till de viktiga produkternas konformitetsvägar. Dokumentera varför den listade funktionen är, eller inte är, kärnfunktionalitet för produkten som släpps ut på marknaden.
Påverkar ISO 27001-certifiering CRA-produktklassificeringen?
Nej. CRA-klassificering avgörs av produktens kärnfunktionalitet mot listan över viktiga produkter och listan över kritiska produkter. ISO 27001 gäller organisatorisk informationssäkerhet; den ändrar inte om en produkt är standard, viktig klass I, viktig klass II eller kritisk enligt CRA. Se CRA jämfört med ISO 27001.
När behöver CRA-produktklassificeringen fastställas?
Fastställ klassificeringen innan produkten släpps ut på EU-marknaden. Klassificeringen anger konformitetsbedömningsvägen som stöder EU-försäkran om överensstämmelse och CE-märkning. Tillverkare måste slutföra konformitetsbedömningen innan produkten görs tillgänglig som överensstämmande. Se CRA-implementeringstidslinjen.
Var hittar jag ett anmält organ för CRA-konformitetsbedömning?
Använd NANDO som live-register över utsedda anmälda organ. CRA-specifika utseenden publiceras fortfarande, så kontrollera direkt vilka organ som är utsedda enligt Förordning (EU) 2024/2847. Viktiga produkter i klass I behöver ett anmält organ endast när tillverkaren inte fullt ut kan förlita sig på relevanta harmoniserade standarder, gemensamma specifikationer eller certifieringssystem.