CRA-produktklassificering: standard, viktig, kritisk

Din CRA-konformitetsbedömningsväg beror på din produktklassificering. "Viktiga" och "kritiska" produkter kräver obligatorisk tredjepartsbedömning. "Standard"-produkter kan självcertifiera.

Sammanfattning

  • CRA definierar fyra kategorier: Standard, Viktig klass I, Viktig klass II, Kritisk
  • Standard: Självbedömning (Modul A) tillåten
  • Viktig klass I: Tredjepartsbedömning om inte harmoniserade standarder följs fullt ut
  • Viktig klass II och Kritisk: Obligatorisk tredjepartsbedömning
  • Klassificering baseras på produktfunktion och risk, inte marknadssegment
  • Vid tveksamhet, välj den högre klassificeringen (säkrare vid tillsyn)

Tips: Ungefär 90% av produkterna faller i standardkategorin. Kontrollera Bilaga III och IV först – om din produkt inte finns listad är den Standard.

CRA-produktklassificering beslutsträd: Standard, Viktig Klass I/II och Kritiska kategorier

Vilka är de fyra CRA-produktkategorierna?

CRA klassificerar produkter med digitala element i fyra nivåer baserade på cybersäkerhetsrisk:

Översikt över CRA-produktkategorier: Standard, Viktig Klass I/II och Kritisk med konformitetsvägar

Standardprodukter

Stora majoriteten av produkter hamnar här. Om din produkt inte är specifikt listad i Bilaga III eller IV är den "Standard."

Konformitetsbedömning: Självbedömning (Modul A) är tillräcklig.

Exempel:

  • Enkla IoT-sensorer
  • Grundläggande konsumentelektronik
  • Standard affärsprogramvara
  • Allmänna applikationer
  • Inbyggda enheter utan nätverksanslutning

Viktig klass I (Bilaga III, Del I)

Produkter med förhöjd risk på grund av deras funktion eller användarbas.

Konformitetsbedömning: Självbedömning tillåten OM du fullt tillämpar relevanta harmoniserade standarder. Annars krävs tredjepartsbedömning.

Fullständig lista från Bilaga III, Del I:

  1. Identitetshanteringssystem och programvara/hårdvara för hantering av privilegierad åtkomst, inklusive läsare för åtkomstkontroll och autentisering, inklusive biometriska läsare
  2. Fristående och inbyggda webbläsare
  3. Lösenordshanterare
  4. Programvara som söker efter, tar bort eller sätter i karantän skadlig programvara
  5. Produkter med digitala element med VPN-funktionalitet
  6. Nätverkshanteringssystem
  7. SIEM-system (Security Information and Event Management)
  8. Starthanterare
  9. Programvara för offentlig nyckelinfrastruktur och utfärdande av digitala certifikat
  10. Fysiska och virtuella nätverksgränssnitt
  11. Operativsystem
  12. Routrar, modem avsedda för anslutning till internet, och switchar
  13. Mikroprocessorer med säkerhetsrelaterade funktioner
  14. Mikrokontrollers med säkerhetsrelaterade funktioner
  15. Applikationsspecifika integrerade kretsar (ASIC) och fältprogrammerbara grindmatriser (FPGA) med säkerhetsrelaterade funktioner
  16. Smarta hemassistenter för allmänt bruk
  17. Smarta hemprodukter med säkerhetsfunktioner, inklusive smarta dörrlås, säkerhetskameror, babylarm och larmsystem
  18. Internetanslutna leksaker som täcks av Direktiv 2009/48/EG som har sociala interaktiva funktioner (t.ex. tala eller filma) eller platsspårningsfunktioner
  19. Personliga bärbara produkter som bärs eller placeras på människokroppen med ett hälsoövervakande syfte (såsom spårning) och som inte omfattas av Förordning (EU) 2017/745 eller (EU) nr 2017/746, eller personliga bärbara produkter avsedda för användning av och för barn

Viktig klass II (Bilaga III, Del II)

Högriskprodukter som kräver obligatorisk tredjepartsbedömning.

Konformitetsbedömning: Tredjepartsbedömning (anmält organ) krävs. Inget självbedömningsalternativ.

Fullständig lista från Bilaga III, Del II:

  1. Hypervisorer och containerkörningssystem som stöder virtualiserad exekvering av operativsystem och liknande miljöer
  2. Brandväggar, intrångdetekterings- och intrångförebyggande system
  3. Manipuleringsresistenta mikroprocessorer
  4. Manipuleringsresistenta mikrokontrollers

Kritiska produkter (Bilaga IV)

Den högst riskerade kategorin. Hårdvarusäkerhetsmoduler och liknande.

Konformitetsbedömning: Tredjepartsbedömning PLUS European Union Cybersecurity Certification (EUCC) på nivå "substantial" eller högre.

Fullständig lista från Bilaga IV:

  1. Hårdvaruenheter med säkerhetsboxar
  2. Smarta mätargateways inom smarta mätsystem enligt definitionen i artikel 2 punkt 23 i Direktiv (EU) 2019/944 och andra enheter för avancerade säkerhetsändamål, inklusive för säker kryptoproccessing
  3. Smartkort eller liknande enheter, inklusive säkra element

Beslutsträd: Hitta din kategori

Använd denna process för att klassificera din produkt:

START: Har din produkt digitala element?
│
├─ NEJ → Inte i CRA:s tillämpningsområde. Stoppa här.
│
└─ JA → Är den listad i Bilaga IV (Kritiska produkter)?
     │
     ├─ JA → KRITISK
     │        Tredjepartsbedömning + EUCC-certifiering krävs
     │
     └─ NEJ → Är den listad i Bilaga III, Del II (Viktig klass II)?
          │
          ├─ JA → VIKTIG KLASS II
          │        Tredjepartsbedömning krävs
          │
          └─ NEJ → Är den listad i Bilaga III, Del I (Viktig klass I)?
               │
               ├─ JA → VIKTIG KLASS I
               │        Tredjepartsbedömning ELLER självbedömning med standarder
               │
               └─ NEJ → STANDARD
                         Självbedömning (Modul A) tillåten

Konformitetsbedömningsvägar per kategori

CRA-konformitetsbedömningsvägar per kategori: Modul A, B+C, H och EUCC

Modul Tillgänglig för Anmält organ
A – Intern produktionskontroll Standard; Klass I med tillämpade harmoniserade standarder Krävs inte
B+C – EU-typprovning + produktionskontroll Klass I utan standarder; Klass II; Kritisk Krävs
H – Fullständigt kvalitetsförsäkran Alla kategorier – alternativ till B+C Krävs
EUCC – EU-cybersäkerhetscertifiering Endast Kritisk (Bilaga IV), utöver B+C eller H Krävs

Modul A är den fullständiga självbedömningscykeln: teknisk fil, EU-försäkran om överensstämmelse, CE-märkning. Ingen extern revisor krävs.

Modul B+C delar upp arbetet: ett anmält organ undersöker ett typexemplar och utfärdar ett certifikat (Modul B); tillverkaren säkerställer sedan att all produktion överensstämmer med det typen (Modul C).

Modul H ersätter produkt-för-produkt-metoden med en revision av tillverkarens kvalitetsledningssystem. Bättre lämpad när man har ett stort produktportfolio.

EUCC kompletterar Modul B+C eller H för Kritiska produkter. Utfärdad under EU Cybersecurity Act på säkringsnivå "väsentlig" eller högre av ett ackrediterat konformitetsbedömningsorgan.

Hur klassificerar du en produkt som passar in i flera kategorier?

Produktklassificering är inte alltid uppenbar. Vägledning för vanliga frågor:

Multifunktionsprodukter

Regel: Om NÅGON funktion utlöser en högre kategori, klassificeras hela produkten på den nivån.

Exempel: En smart hemhubb som inkluderar:

  • Grundläggande automationsstyrning (Standard)
  • VPN-funktionalitet (Viktig klass I)
  • Säkerhetskameraintegration (Viktig klass I)

Klassificering: Viktig klass I (den högsta utlösta kategorin)

CRA-regel för multifunktionella produkter: högsta kategorin gäller

Inbyggda komponenter

Regel: Bedöm om säkerhetsrelevanta komponenter utlöser klassificering.

Exempel: En konsumentenhet som innehåller:

  • Allmän mikrokontroller → Standard
  • Mikrokontroller "med säkerhetsrelaterade funktioner" → Viktig klass I

Nyckelfråga: Utför mikrokontrollern säkerhetsfunktioner (kryptering, autentisering, säker uppstart)?

"Avsedd för"-överväganden

Flera Bilaga III-poster specificerar avsett användningsområde eller tillämplig lagstiftning:

  • Internetanslutna leksaker utlöser Klass I endast om de täcks av Direktiv 2009/48/EG och dessutom har sociala interaktiva funktioner eller platsspårning
  • Personliga bärbara produkter för hälsoövervakning utlöser Klass I om de inte redan omfattas av Förordning (EU) 2017/745 (MDR) eller (EU) nr 2017/746 (IVDR), eller om de är avsedda för barn

Om din produkt skulle kunna användas i dessa sammanhang men inte specifikt är avsedd för dem kanske klassificeringen inte gäller. Dokumentera ditt avsedda ändamål tydligt.

Operativsystem

Operativsystem fördelas på kategorier:

OS-typ Klassificering
Inbyggt OS (RTOS, firmware) Standard (vanligtvis)
Operativsystem Viktig klass I

Exempel: En anpassad Linux-distribution för inbyggda enheter är typiskt Viktig klass I. Ubuntu Server är Viktig klass I.

Programvara kontra hårdvara

Klassificeringen beaktar produkten som den placeras på marknaden:

  • Fristående programvara: Klassificeras baserat på programvarufunktion
  • Hårdvara med inbyggd programvara: Klassificeras baserat på kombinerad funktionalitet
  • Programvarukomponent såld separat: Klassificeras självständigt

Branschspecifik vägledning

IoT-enhetstillverkare

De flesta IoT-enheter är Standard om de inte:

  • Inkluderar VPN-funktionalitet → Klass I
  • Är smarta hemsäkerhetsenheter → Klass I
  • Är industriell IoT → Klass I eller II
  • Inkluderar manipuleringsresistenta säkerhetsfunktioner → Klass II

Programvaruföretag

De flesta programvaror är Standard om de inte är specifikt listade:

  • Webbläsare, lösenordshanterare, skyddsprogram mot skadlig kod → Klass I
  • Nätverkssäkerhetsverktyg (brandväggar, IDS) → Klass II
  • Operativsystem → Klass I

Inbyggda system

Klassificeringen beror starkt på:

  • Säkerhetsfunktioner hos mikrokontrollers/processorer
  • Om produkten är för industriellt/professionellt bruk
  • Målmiljön (kritisk infrastruktur?)

Medicintekniska produkter

Medicintekniska produkter är undantagna från CRA:s tillämpningsområde (täcks av MDR/IVDR). Dock kan tillhörande programvara eller icke-medicinska funktioner fortfarande ingå i omfånget.

Hitta ett anmält organ

För produkter som kräver tredjpartsbedömning:

  1. Kontrollera NANDO-databasen: EU:s officiella lista över anmälda organ
  2. Leta efter CRA-specifik beteckning: Organ måste vara utsedda för CRA-konformitetsbedömning
  3. Beakta kapacitet: Tidig CRA-adoption innebär begränsad tillgänglighet hos anmälda organ
  4. Geografiska överväganden: Att arbeta med ett anmält organ i din region kan vara enklare

VERIFIERA MED PRIMÄRKÄLLA: Den fullständiga listan över utsedda anmälda organ för CRA håller fortfarande på att etableras.

Vanliga klassificeringsfel

Viktigt: Klassificering baseras på produktfunktion, inte marknadssegment, företagsstorlek eller produktkomplexitet. Kontrollera alltid listorna i Bilaga III och IV.

"Konsumentprodukt = Standard"

Fel. Klassificering görs efter funktion, inte marknad.

Ett smart dörrlås sålt till konsumenter är Viktig klass I eftersom det är en "smart hemprodukt med säkerhetsfunktionalitet", oavsett att målgruppen är konsumenter.

"Vi är B2B, så lägre klassificering"

Fel. B2B kontra B2C påverkar inte klassificeringen.

Industriella IoT-produkter för företagskunder kan vara Viktig klass I eller II beroende på deras funktion.

"Vår produkt är liten/enkel, så Standard"

Kanske fel. Storlek och komplexitet bestämmer inte klassificeringen.

En liten mikrokontroller med säkerhetsfunktioner kan vara Viktig klass I. En stor, komplex produkt utan listade funktioner kan vara Standard.

"Vi har redan ISO 27001, så vi är täckta"

Fel. ISO 27001 gäller organisatorisk informationssäkerhet, inte produktkonformitetsbedömning.

CRA kräver produktspecifik konformitetsbedömning oavsett organisatoriska certifieringar.

Checklista för produktklassificering 

CHECKLISTA FÖR PRODUKTKLASSIFICERING

Produkt: _______________________________________
Datum: _________________________________________

INITIAL OMFÅNGSKONTROLL:
[ ] Produkten har digitala element (programvara och/eller dataanslutning)
[ ] Produkten ska placeras  EU-marknaden
[ ] Produkten är inte undantagen (medicinsk, fordon, luftfart, militär)

BILAGA IV-KONTROLL (KRITISK):
[ ] Inte en hårdvaruenhet med säkerhetsbox
[ ] Inte en smart mätargateway inom smarta mätsystem (Direktiv (EU) 2019/944 art. 2.23)
[ ] Inte ett smartkort eller liknande enhet, inklusive säkra element

Om något ovan är JA  KRITISK (stoppa här)

BILAGA III DEL II-KONTROLL (VIKTIG KLASS II):
[ ] Inte en hypervisor eller containerkörningssystem
[ ] Inte en brandvägg eller intrångdetekterings-/intrångförebyggande system
[ ] Inte en manipuleringsresistent mikroprocessor
[ ] Inte en manipuleringsresistent mikrokontroller

Om något ovan är JA  VIKTIG KLASS II (stoppa här)

BILAGA III DEL I-KONTROLL (VIKTIG KLASS I):
[ ] Granska fullständig lista med 19 kategorier
[ ] Beakta multifunktionsimplikationer
[ ] Kontrollera säkerhetsrelaterade funktioner i komponenter

Om någon kategori gäller  VIKTIG KLASS I (stoppa här)

STANDARD:
[ ] Produkten inte listad i någon bilaga
[ ] Klassificering: STANDARD

KONFORMITETSBEDÖMNINGSVÄG:
[ ] Modul A (självbedömning)  Standard, Klass I med standarder
[ ] Modul B+C (tredjepart)  Klass I utan standarder, Klass II
[ ] Modul H (kvalitetsförsäkran)  Alternativ till B+C
[ ] EUCC-certifiering  Endast kritiska produkter

DOKUMENTATION:
[ ] Klassificeringsmotivering dokumenterad
[ ] Multifunktionsanalys genomförd
[ ] Avsett ändamål tydligt definierat
[ ] Anmält organ identifierat (om krävs)

Klassificerad av: _________________________________
Datum: _________________________________________

Vanliga frågor

Faller en hemrouter för internetanslutning under Viktig klass I eller Standard?

Viktig klass I. Routrar "avsedda för anslutning till internet" finns listade i Bilaga III Del I punkt 12. Självbedömning är tillåten om relevanta harmoniserade standarder tillämpas fullt ut. Utan tillämplig harmoniserad standard krävs ett anmält organ. Se CRA-konformitetsbedömningsvägar.

Gäller CRA för SaaS-produkter utan fysisk hårdvara?

Det beror på. SaaS som tillhandahåller fjärrbearbetning av data som utgör en integrerad del av en produkt med digitala element omfattas av CRA enligt artikel 3(1). En fristående webbapplikation utan tillhörande hårdvara kan också omfattas beroende på funktionen. Klassificeringen följer samma listor i Bilaga III och IV som för fysiska produkter.

Om min produkt har både Standard- och Klass I-funktioner, vilken kategori gäller?

Den högsta tillämpliga kategorin gäller för hela produkten. Om en enda funktion faller under Bilaga III eller IV bedöms hela produkten på den nivån. En nätverksswitch med inbyggd VPN-funktion är Viktig klass I för hela enheten, inte bara för VPN-komponenten.

Påverkar ISO 27001-certifiering produktklassificeringen enligt CRA?

Nej. Klassificeringen bestäms uteslutande av produktfunktionen mot Bilaga III och IV. Organisatoriska certifieringar spelar ingen roll. ISO 27001 rör informationssäkerhetshantering på organisationsnivå; CRA kräver produktspecifik konformitetsbedömning oavsett vilka certifieringar tillverkaren innehar. Se CRA och ISO 27001.

När behöver CRA-produktklassificeringen fastställas?

Innan produkten placeras på EU-marknaden. Klassificeringen avgör konformitetsbedömningsvägen, som måste vara genomförd innan CE-märkning kan anbringas och EU-försäkran om överensstämmelse kan utfärdas. Se CRA-implementeringstidslinjen för viktiga datum.

Var hittar jag ett anmält organ för CRA-konformitetsbedömning i Sverige?

NANDO-databasen (nando.ec.europa.eu) är EU:s officiella register över anmälda organ. CRA-specifika beteckningar publiceras under Förordning (EU) 2024/2847; kontrollera direkt för aktuell status. För Viktig klass I-produkter krävs ett anmält organ endast om ingen relevant harmoniserad standard tillämpas. CERT-SE ger kompletterande vägledning för svenska tillverkare.

Nästa steg

Hanterar du CRA-efterlevnad för flera produkter? CRA Evidence samlar klassificering, konformitetsvägar och dokumentation på ett ställe.

När du känner till din klassificering är nästa steg din konformitetsbedömningsväg. Bygg sedan den tekniska dokumentationen enligt Bilaga VII och utfärda EU-försäkran om överensstämmelse. Alla kategorier, oavsett nivå, kräver ett SBOM. Kontrollera CRA-implementeringstidslinjen för viktiga datum.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare med erfarenhet av EU-produktreglering.