1法规基本要求
新规落地:
CRA重要与关键产品范围解析
CRA法案对含数字元素产品提出了统一的网络安全要求。其中,部分产品因风险更高,被划分为重要产品(Important )和关键产品(Critical),并规定这些类别的产品须接受更加严格的合格评定程序。 而该条例作为CRA的配套实施文件,进一步细化和明确了重要和关键产品类别的定义。
•重要产品(Class I & II,共23类)
涵盖日常广泛使用的软硬件产品,包括:
操作系统、浏览器、密码管理器、VPN、路由器、智能门锁、婴儿监控器、安防摄像头、可穿戴健康监测产品等。
•关键产品(共3类)
涉及关键基础设施与高安全性领域,包括:
带安全盒的硬件设备、智能卡/安全元件、智能计量系统网关等。
该条例强调,产品的核心功能决定了其是否属于重要或关键产品类别,而非附加功能。制造商须对产品整体进行基于风险的网络安全评估,确保产品整体满足网络安全要求,并依据产品核心功能选择适用的合格评定程序,包括必要的第三方检测和欧盟网络安全认证。
