产品分类 (Product Classification)
概述
根据《网络弹性法案》(Cyber Resilience Act, CRA),每个含数字元素的产品都必须被归入一个 CRA 风险类别。分类结果决定了所需的合规评估程序。CRA 区分四个类别:标准 (Standard)、Class I(重要)、Class II(重要)和关键 (Critical)。
分类决策树
以下决策树概述了产品分类的系统化方法:
产品是否列于 Annex IV 中?
├── 是 → 关键 (CRITICAL)(需 EUCC)
└── 否
└── 产品是否列于 Annex III 中?
├── 是 → 属于哪个类别?
│ ├── Class II → CLASS II(Module B+C 或 H)
│ └── Class I → CLASS I(Module A* 或 B+C)
└── 否 → 标准 (STANDARD)(Module A)* Module A 仅在完全适用协调标准时可用
产品类别
类别:标准(默认)
合规评估: 内部控制 (Internal Control)(Module A)— 自我评估
大多数产品属于此类别。制造商自行执行合规评估。
典型产品:
- 标准 Web 应用
- 内部工具和实用程序
- 非关键容器镜像
- 简单 IoT 传感器
Class I(Annex III)
合规评估: 内部控制(Module A)(适用协调标准时)或 EU 型式检验(Module B+C)
Annex III 中的示例:
- 身份管理系统和特权访问管理软件
- 独立浏览器
- 密码管理器
- 搜索、删除和隔离恶意软件的软件
- VPN 产品
- 网络管理系统
- SIEM 系统
- 引导管理器
- 防火墙、IDS/IPS(非工业用途)
- 路由器、调制解调器(用于互联网接入)
- 具有安全相关功能的微控制器
- 操作系统(非服务器/桌面 Class II)
Class II(Annex III)
合规评估: EU 型式检验(Module B+C) 或 全面质量保证(Module H)
Annex III 中的示例:
- 虚拟机管理程序和容器运行时环境
- 工业用途的防火墙和 IDS/IPS
- 防篡改微控制器/微处理器
- 服务器、桌面、移动设备的操作系统
- 公钥基础设施和证书颁发机构
- 工业自动化与控制系统 (IACS)
- 工业 IoT 设备(不受其他行业法规约束的)
类别:关键(Annex IV)
合规评估: 欧洲网络安全证书(EUCC),保证级别为"实质性 (substantial)"或更高
Annex IV 中的示例:
- 硬件安全模块 (HSM)
- 智能卡及类似设备(含安全元件)
- 智能卡读卡器
- 机器人和机器控制器的传感器和执行器
- 智能电表网关
各类别的合规评估
| 类别 | Module A(自评) | Module B+C(型式) | Module H(质量) | EUCC |
|---|---|---|---|---|
| 标准 | ✅ | - | - | - |
| Class I | ✅* | ✅ | - | - |
| Class II | - | ✅ | ✅ | - |
| 关键 | - | - | - | ✅ |
* 仅在适用协调标准或符合 EU 网络安全认证时
BAUER GROUP 的相关产品类型
对照 Annex III(重要产品)审查
| Annex III 类别 | 是否适用于 BAUER GROUP? | 理由 |
|---|---|---|
| 身份管理系统 | 待审查 | 如提供 IAM 解决方案 |
| 密码管理器 | 待审查 | 如提供凭据管理 |
| VPN 产品 | 待审查 | 如提供 VPN 解决方案 |
| 网络管理系统 | 待审查 | 如提供网络工具 |
| 防火墙、IDS/IPS | 待审查 | 如提供安全产品 |
| 路由器、调制解调器 | 待审查 | 如提供带固件的网络硬件 |
| 微控制器(安全相关) | 可能适用 | ESP32/STM32 具有安全相关功能的固件 |
| 操作系统 | 待审查 | 如提供操作系统级产品 |
| 容器运行时 | 否(通常) | 我们使用容器但不提供运行时 |
| 虚拟机管理程序 | 否(通常) | 我们使用虚拟机管理程序但不提供 |
| 工业 IoT 设备 | 可能适用 | 如提供工业用途的 IoT 设备 |
对照 Annex IV(关键产品)审查
| Annex IV 类别 | 是否适用于 BAUER GROUP? | 理由 |
|---|---|---|
| 硬件安全模块 (HSM) | 否(通常) | 我们使用 HSM 但不生产 |
| 智能卡/安全元件 | 否(通常) | |
| 智能电表网关 | 待审查 | 如涉及能源产品 |
BAUER GROUP 产品的典型分类
| 产品类型 | 预期类别 | 评估程序 |
|---|---|---|
| 标准 Web 应用 | 标准 | Module A |
| REST API | 标准 | Module A |
| 容器镜像(微服务) | 标准 | Module A |
| NPM/NuGet 库 | 标准 | Module A |
| ESP32 IoT 传感器(非安全关键) | 标准 | Module A |
| ESP32/STM32 工业控制器 | Class I | Module A* 或 B+C |
| 带认证功能的固件 | Class I | Module A* 或 B+C |
| 带固件的网络路由器 | Class I | Module A* 或 B+C |
分类流程
对于每个产品,必须执行以下流程:
1. 功能审查
验证产品是否满足 Annex III 或 IV 中列出的功能之一。系统性地与所有类别进行比对。
2. 预期用途
考虑预期用途:
- 产品是否用于关键基础设施?
- 是否处理敏感/个人数据?
- 是否具有网络功能?
- 被入侵是否可能造成物理损害?
3. 记录分类结果
使用风险评估模板记录分类决定。
建议
如有疑问,请选择更高的类别。保守的分类在监管上比过低的分类更安全。
分类的文档化
每个产品的分类记录在产品描述中:
- 对照 Annex III 和 IV 审查 — 系统性地与所有类别比对
- 理由 — 为何适用此分类(引用附录)
- 合规评估程序 — 适用哪个模块
- 日期 — 分类执行日期
- 责任人 — 分类执行人