Klasyfikacja produktów w CRA — zwykłe, ważne (klasa I i II) oraz krytyczne

Ten artykuł należy do cyklu o akcie o cyberodporności (CRA); kontekst znajdziesz we wprowadzeniu do CRA. Klasyfikacja produktu decyduje o tym, jak surową procedurę oceny zgodności trzeba przejść — to jedna z pierwszych decyzji, które producent musi podjąć świadomie.

Na jakie kategorie CRA dzieli produkty?

CRA dzieli produkty z elementami cyfrowymi na trzy poziomy ryzyka: zwykłe, ważne (klasa I i II) oraz krytyczne.

Im wyższy poziom ryzyka w cyberprzestrzeni powiązany z kategorią produktu, tym bardziej rygorystyczna procedura oceny zgodności. Większość produktów to produkty „zwykłe” — niesklasyfikowane jako ważne ani krytyczne. Żeby zdecydować, do której kategorii należy Twój produkt, warto najpierw upewnić się, że w ogóle podlega rozporządzeniu — to zagadnienie rozwijamy w artykule Kogo dotyczy CRA.

Czym są produkty zwykłe i jak są oceniane?

Produkty zwykłe to większość produktów z elementami cyfrowymi — producent może ocenić ich zgodność samodzielnie.

Zgodnie z motywem 91 rozporządzenia ocenę zgodności produktów, które nie są wymienione jako ważne ani krytyczne, producent może przeprowadzić na własną odpowiedzialność w procedurze wewnętrznej kontroli produkcji (moduł A). Nie wymaga to udziału jednostki notyfikowanej. Procedury oceny zgodności rozkładamy w artykule Ocena zgodności, oznakowanie CE i dokumentacja techniczna.

Czym są ważne produkty z elementami cyfrowymi?

Ważne produkty z elementami cyfrowymi to kategorie z Załącznika III, które pełnią funkcję istotną dla cyberbezpieczeństwa innych produktów lub sieci.

Zgodnie z art. 7 produkty, które posiadają podstawową funkcjonalność kategorii określonej w Załączniku III, uznaje się za ważne produkty z elementami cyfrowymi. Załącznik dzieli je na klasę I i klasę II. Przykładem kategorii z klasy I jest oprogramowanie systemów zarządzania tożsamością i zarządzania uprzywilejowanym dostępem oraz odpowiedni sprzęt, w tym czytniki do uwierzytelniania i kontroli dostępu (także biometryczne). Do kategorii ważnych należą m.in. menedżery haseł, zapory sieciowe oraz systemy wykrywania lub zapobiegania włamaniom.

Klasa I

Produkty o podwyższonym ryzyku; producent może skorzystać ze ścieżki opartej m.in. na normach zharmonizowanych albo poddać produkt ocenie przez jednostkę notyfikowaną.

Klasa II

Produkty o wyższym ryzyku niż klasa I, pełniące funkcję wiążącą się ze znacznie poważniejszymi skutkami — podlegają bardziej rygorystycznej procedurze oceny zgodności (motywy 44–45).

Czym są produkty krytyczne z elementami cyfrowymi?

Produkty krytyczne to kategorie z Załącznika IV, które mogą zostać objęte obowiązkiem certyfikacji cyberbezpieczeństwa.

Zgodnie z art. 8 i Załącznikiem IV do produktów krytycznych należą urządzenia sprzętowe ze skrzynkami zabezpieczającymi oraz bramy inteligentnych liczników w inteligentnych systemach pomiarowych. Dla tej kategorii rozporządzenie przewiduje najsilniejsze mechanizmy — z możliwością wprowadzenia obowiązkowej certyfikacji w ramach europejskich programów certyfikacji cyberbezpieczeństwa.

Jak klasyfikacja wpływa na obowiązki producenta?

Klasa produktu nie zmienia zakresu wymagań zasadniczych, lecz decyduje o ścieżce oceny zgodności — od samooceny po obowiązkowy udział strony trzeciej.

Wszystkie produkty muszą spełniać te same zasadnicze wymagania (Załącznik I — zob. Zasadnicze wymagania w zakresie cyberbezpieczeństwa). Różnica polega na tym, kto potwierdza zgodność: w przypadku produktów zwykłych — sam producent, a w przypadku produktów ważnych klasy II i krytycznych — coraz częściej jednostka notyfikowana lub program certyfikacji. Z naszego doświadczenia błędna klasyfikacja na wczesnym etapie to najkosztowniejszy błąd — albo przepłacasz za ocenę przez stronę trzecią, której nie potrzebujesz, albo wprowadzasz produkt bez wymaganej procedury i ryzykujesz sankcjami — opisanymi w artykule Nadzór i kary w CRA.

Systemy zarządzania tożsamością i kontrolą dostępu to zarazem jeden z 14 obszarów systemu zarządzania bezpieczeństwem informacji wymaganych przez art. 8 KSC — co oznacza, że podmioty objęte KSC muszą dbać o bezpieczeństwo tego rodzaju produktów zarówno od strony regulacji CRA (jako producenci lub nabywcy), jak i KSC.

Jak możemy Ci pomóc?

W Legal Geek przeprowadzamy klasyfikację produktów względem Załączników III i IV i mapujemy ją na właściwą ścieżkę oceny zgodności. Pomaga to uniknąć zarówno nadmiarowych kosztów, jak i ryzyka wprowadzenia produktu w niewłaściwej procedurze.

Co dalej w cyklu?

• Akt o cyberodporności (CRA) — wprowadzenie
• Zasadnicze wymagania w zakresie cyberbezpieczeństwa — Załącznik I część I
• Ocena zgodności, oznakowanie CE i dokumentacja techniczna
• Obowiązki producentów i okres wsparcia
• Kogo dotyczy CRA — czym jest „produkt z elementami cyfrowymi”

Powiązane artykuły

• Ustawa o KSC po nowelizacji 2026 — co naprawdę się zmieniło
• Podmiot kluczowy czy podmiot ważny? Jak ustalić swój status w KSC