产品清单(Annex III 和 IV)
概述
《网络弹性法案》(Cyber Resilience Act, CRA) 在 Annex III 和 Annex IV 中定义了特定的产品类别,这些类别适用特殊的合规评估 (Conformity Assessment) 程序。本页面包含其中规定的所有产品类别的完整清单,包括描述、所需评估程序以及对 BAUER GROUP 的相关性评估。
分类逻辑(决策树、各类别的评估程序)在产品分类页面中描述。
法律依据
Art. 7 CRA 定义了"重要的含数字元素产品 (Important Products with Digital Elements)"(Annex III)和"关键的含数字元素产品 (Critical Products with Digital Elements)"(Annex IV)类别。
Art. 24(1)-(3) CRA 确定了各类别的合规评估程序:
- Class I(Annex III 第I部分): 适用协调标准时采用内部控制(Module A),否则采用 EU 型式检验(Module B+C)
- Class II(Annex III 第II部分): EU 型式检验(Module B+C)或全面质量保证(Module H)
- 关键(Annex IV): 保证级别为"实质性"或更高的欧洲网络安全证书 (EUCC)
Art. 7(3) CRA 授权欧盟委员会通过授权法案 (Delegated Acts) 修改 Annex III 和 IV。
Annex III — 重要的含数字元素产品
第I部分 — Class I
在完全适用协调标准 (Harmonised Standards) 时,Class I 产品可通过内部控制(Module A)进行评估。如未适用协调标准,则需要进行 EU 型式检验(Module B+C)。
| 编号 | 产品类别 | 描述 | 合规模块 |
|---|---|---|---|
| 1 | 身份管理系统和特权访问管理软件 | 管理数字身份和控制特权访问权限(特权访问管理, PAM)的系统 | Module A* / B+C |
| 2 | 独立和嵌入式浏览器 | 作为独立应用程序或作为嵌入其他产品中的组件的 Web 浏览器 | Module A* / B+C |
| 3 | 密码管理器 | 用于安全存储、管理和自动输入密码及凭据的软件 | Module A* / B+C |
| 4 | 搜索、删除或隔离恶意软件的软件(反恶意软件) | 检测、隔离和删除恶意软件的安全软件 | Module A* / B+C |
| 5 | 具有虚拟专用网络 (VPN) 功能的含数字元素产品 | 提供虚拟专用网络功能的产品 | Module A* / B+C |
| 6 | 网络管理系统 | 用于监控、配置和管理网络基础设施的系统 | Module A* / B+C |
| 7 | 安全信息和事件管理 (SIEM) 系统 | 用于实时收集、关联和分析安全相关事件的系统 | Module A* / B+C |
| 8 | 引导管理器 | 控制系统启动过程并支持选择要加载的操作系统的软件 | Module A* / B+C |
| 9 | 公钥基础设施和数字证书颁发软件 | 用于管理加密密钥以及颁发、管理和验证数字证书的软件 | Module A* / B+C |
| 10 | 物理和虚拟网络接口 | 支持网络内通信的硬件和软件网络接口 | Module A* / B+C |
| 11 | 操作系统 | 管理计算机基本功能并支持应用程序执行的软件 | Module A* / B+C |
| 12 | 用于连接互联网的路由器、调制解调器和交换机 | 用于连接互联网的网络硬件,包括路由器、调制解调器和交换机 | Module A* / B+C |
| 13 | 具有安全相关功能的微处理器 | 实现安全相关功能的微处理器 | Module A* / B+C |
| 14 | 具有安全相关功能的微控制器 | 实现安全相关功能的微控制器 | Module A* / B+C |
| 15 | 具有安全相关功能的 ASIC 和 FPGA | 具有安全相关功能的专用集成电路 (ASIC) 和现场可编程门阵列 (FPGA) | Module A* / B+C |
| 16 | 通用智能家居虚拟助手 | 用于智能家居中具有通用功能的语音控制或 AI 助手 | Module A* / B+C |
| 17 | 具有安全功能的智能家居产品 | 具有安全功能的智能家居产品,包括门锁、摄像头、婴儿监控系统和报警系统 | Module A* / B+C |
| 18 | 具有社交互动功能或位置追踪的联网玩具 | Directive 2009/48/EC 范围内具有社交互动功能或位置追踪的联网玩具 | Module A* / B+C |
| 19 | 用于健康监测目的的个人可穿戴产品 | 佩戴在身上用于监测健康相关参数的产品 | Module A* / B+C |
* Module A 仅在完全适用协调标准或符合欧盟网络安全认证时适用
第II部分 — Class II
Class II 产品需要强制性的第三方评估:EU 型式检验(Module B+C) 或 全面质量保证(Module H)。
| 编号 | 产品类别 | 描述 | 合规模块 |
|---|---|---|---|
| 1 | 支持操作系统虚拟化执行的虚拟机管理程序和容器运行时系统 | 支持操作系统虚拟化执行的虚拟机管理程序和容器运行时系统 | Module B+C / H |
| 2 | 防火墙、入侵检测和/或防御系统 | 用于监控、检测和阻止攻击及未授权访问的网络安全系统 | Module B+C / H |
| 3 | 防篡改微处理器 | 具有物理防篡改和防读取保护的微处理器(防篡改) | Module B+C / H |
| 4 | 防篡改微控制器 | 具有物理防篡改和防读取保护的微控制器(防篡改) | Module B+C / H |
Annex IV — 关键的含数字元素产品
关键产品需要保证级别为"实质性"或更高的欧洲网络安全证书 (EUCC)。
| 编号 | 产品类别 | 描述 | 合规模块 |
|---|---|---|---|
| 1 | 带有安全盒的硬件设备(HSM、智能卡等) | 在受保护环境中执行加密操作的硬件安全模块 (HSM)、智能卡及类似设备 | EUCC |
| 2 | 智能卡读卡器 | 用于读取和处理智能卡数据以进行认证、签名或加密的设备 | EUCC |
| 3 | 机器人和机器人控制器的传感器和执行器组件(工业应用) | 用于工业应用中机器人和机器人控制器的传感器和执行器 | EUCC |
| 4 | Directive (EU) 2019/944 第2(23)条意义上的智能电表 | 根据电力内部市场指令测量能源消耗的电子计量系统 | EUCC |
| 5 | 属于高级计量基础设施 (AMI) 的所有设备和软件组件 | 作为高级计量基础设施一部分的所有设备和软件 | EUCC |
合规模块概览
| 产品类别 | Module A(自评) | Module B+C(型式) | Module H(质量) | EUCC |
|---|---|---|---|---|
| 标准(未列于 Annex III/IV) | ✅ | - | - | - |
| Class I(Annex III 第I部分) | ✅* | ✅ | - | - |
| Class II(Annex III 第II部分) | - | ✅ | ✅ | - |
| 关键(Annex IV) | - | - | - | ✅ |
* 仅在完全适用协调标准时
各模块的详细信息:
BAUER GROUP 相关性评估
下表评估了 Annex III 和 IV 中每个产品类别对 BAUER GROUP 的相关性。
Annex III 第I部分 — Class I
| 编号 | 产品类别 | 相关性 | 理由 |
|---|---|---|---|
| 1 | 身份管理系统 / PAM | 待评估 | 如提供 IAM 解决方案或 PAM 软件 |
| 2 | 独立和嵌入式浏览器 | 不相关 | BAUER GROUP 不生产浏览器 |
| 3 | 密码管理器 | 待评估 | 如提供凭据管理解决方案 |
| 4 | 反恶意软件 | 不相关 | BAUER GROUP 不生产反恶意软件 |
| 5 | VPN 产品 | 待评估 | 如产品中集成了 VPN 功能 |
| 6 | 网络管理系统 | 待评估 | 如提供网络监控工具 |
| 7 | SIEM 系统 | 不相关 | BAUER GROUP 不生产 SIEM 系统 |
| 8 | 引导管理器 | 不相关 | BAUER GROUP 不生产引导管理器 |
| 9 | PKI 和证书颁发软件 | 待评估 | 如提供证书管理解决方案 |
| 10 | 物理和虚拟网络接口 | 待评估 | 如制造带固件的网络组件 |
| 11 | 操作系统 | 待评估 | 如涉及操作系统级产品或嵌入式操作系统 |
| 12 | 路由器、调制解调器、交换机 | 待评估 | 如提供带固件的网络硬件 |
| 13 | 微处理器(安全相关) | 待评估 | 如开发具有安全功能的微处理器 |
| 14 | 微控制器(安全相关) | 相关 | ESP32/STM32 具有安全相关功能的固件 |
| 15 | ASIC / FPGA(安全相关) | 待评估 | 如使用具有安全功能的 ASIC 或 FPGA |
| 16 | 智能家居虚拟助手 | 不相关 | BAUER GROUP 不生产智能家居助手 |
| 17 | 具有安全功能的智能家居产品 | 不相关 | BAUER GROUP 不生产智能家居安全产品 |
| 18 | 联网玩具 | 不相关 | BAUER GROUP 不生产玩具 |
| 19 | 健康监测可穿戴设备 | 不相关 | BAUER GROUP 不生产健康可穿戴设备 |
Annex III 第II部分 — Class II
| 编号 | 产品类别 | 相关性 | 理由 |
|---|---|---|---|
| 1 | 虚拟机管理程序/容器运行时 | 不相关 | BAUER GROUP 使用容器但不提供运行时 |
| 2 | 防火墙 / IDS / IPS | 待评估 | 如提供具有防火墙/IDS 功能的安全产品 |
| 3 | 防篡改微处理器 | 不相关 | BAUER GROUP 不生产防篡改处理器 |
| 4 | 防篡改微控制器 | 不相关 | BAUER GROUP 不生产防篡改控制器 |
Annex IV — 关键
| 编号 | 产品类别 | 相关性 | 理由 |
|---|---|---|---|
| 1 | HSM、智能卡等 | 不相关 | BAUER GROUP 使用 HSM 但不生产 |
| 2 | 智能卡读卡器 | 不相关 | BAUER GROUP 不生产智能卡读卡器 |
| 3 | 机器人传感器和执行器(工业) | 待评估 | 如制造工业机器人组件 |
| 4 | 智能电表(Directive (EU) 2019/944) | 待评估 | 如制造能源计量设备 |
| 5 | 高级计量基础设施 (AMI) | 待评估 | 如制造 AMI 组件 |
相关性汇总
| 相关性状态 | 类别数量 |
|---|---|
| 相关 | 1 |
| 待评估 | 14 |
| 不相关 | 13 |
| 总计 | 28 |
建议
相关性评估应针对每条 BAUER GROUP 产品线单独进行,并记录在相应的产品描述中。上表中的评估仅作为初步指引。
保持此清单更新
Annex III 和 Annex IV 的产品清单可能根据 Art. 7(3) CRA 由欧盟委员会通过授权法案进行修改。因此,这些清单必须定期检查更新,并与当前适用版本的 Regulation (EU) 2024/2847 进行比对。修改可能包括添加新的产品类别以及重新分类现有类别。