Technical description of product categories

Det faktum att en produkt med digitala element utför andra funktioner än de som anges i de tekniska beskrivningarna eller funktioner utöver dessa innebär inte i sig att produkten med digitala element inte har kärnfunktionen hos en produktkategori som anges i bilagorna III och IV i förordning (EU) 2024/2847. Produkter med digitala element som har kärnfunktionen hos ”operativsystem” omfattar ofta programvara som utför kompletterande funktioner som inte ingår i den tekniska beskrivningen för den produktkategorin, såsom räknare eller enkla grafikredigerare. Produkter med digitala element innehåller också komponenter med samma funktioner som en annan viktig eller kritisk produkt med digitala element, t.ex. ett operativsystem som integrerar webbläsarfunktioner eller en router som integrerar brandväggsfunktioner. Detta innebär dock inte i sig att sådana produkter med digitala element inte har kärnfunktionen hos ”operativsystem” respektive ”routrar, modem avsedda för anslutning till internet och dataväxlar”.

Samtidigt kan inte en produkt med digitala element med förmåga att utföra funktionerna hos en produktkategori som anges i bilagorna III och IV i förordning (EU) 2024/2847, men vars själva kärnfunktion är en annan än för denna produktkategori, anses motsvara den tekniska beskrivningen av den produktkategorin. Exempelvis har programvara för orkestrering, automatisering och åtgärdande (SOAR) ofta kapacitet att utföra funktionerna hos produkter med digitala element i kategorin ”system för säkerhetsinformation och händelsehantering (SIEM)”, dvs. att samla in, analysera och presentera data som handlingsbar information för säkerhetsändamål. SOAR-programvarans kärnfunktion är dock inte densamma som för SIEM, eftersom SOAR-programvaran i allmänhet inte anses motsvara den tekniska beskrivningen för ”system för säkerhetsinformation och händelsehantering (SIEM)”. Likaså innehåller en smarttelefon vanligtvis komponenter som utför funktionerna hos flera produktkategorier som anges i bilagorna III och IV till förordning (EU) 2024/2847, t.ex. operativsystem eller integrerade lösenordshanterare. I och med att en smarttelefons kärnfunktion inte är densamma som ett operativsystems eller en lösenordhanterares anses den dock i allmänhet inte motsvara den tekniska beskrivningen för dessa produktkategorier.

I enlighet med artikel 13.2 och 13.3 i förordning (EU) 2024/2847 ska tillverkarna av produkter med digitala element genomföra de väsentliga cybersäkerhetskrav som anges i del I i bilaga I till förordning (EU) 2024/2847 på ett sätt som står i proportion till riskerna hos produkten med digitala element, baserat på det avsedda syftet med produkten med digitala element samt dess rimligen förutsebara användning och användarvillkor, med beaktande av hur länge produkten förväntas vara i bruk. I enlighet med artikel 13.2 och 13.3 i den förordningen, och oavsett om produkten med digitala element anses vara en viktig eller kritisk produkt med digitala element, ska tillverkarna göra en omfattande bedömning av cybersäkerhetsriskerna och ange hur de väsentliga cybersäkerhetskraven ska genomföras med beaktande av riskbedömningen, inbegripet testning och assurans. I de fall där kärnfunktionen hos produkten med digitala element motsvarar den tekniska beskrivningen för en viktig eller kritisk produkt med digitala element ska tillverkaren visa produktens överensstämmelse i enlighet med de särskilda förfaranden för bedömning av överensstämmelse som fastställs i artikel 32.2, 32.3, 32.4 och 32.5 i förordning (EU) 2024/2847.

I denna förordning anges exempel på produkter med digitala element vars kärnfunktion motsvarar den tekniska beskrivningen för vissa viktiga eller kritiska produkter med digitala element. De anges endast som illustrativa exempel och utgör inte någon uttömmande förteckning.

Med tanke på tillverkarnas rättssäkerhet bör kategorier av produkter med digitala element som är manipuleringssäkra mikroprocessorer, manipuleringssäkra mikrokontroller samt smartkort och liknande produkter, inbegripet säkra element, särskiljas baserat på den nivå av motståndskraft mot potentiella möjligheter att utnyttja fel eller svagheter som de utformats för. AVA_VAN-nivå är ett allmänt använt och standardiserat sätt att uttrycka en sådan nivå av motståndskraft. AVA_VAN-nivåer fastställs i de allmänt tillgängliga standarderna för Common Criteria och gemensam evalueringsmetodik, som ligger till grund för befintliga certifieringsramar som anammats brett på marknaden, såsom kommissionens genomförandeförordning (EU) 2024/482(³)Kommissionens genomförandeförordning (EU) 2024/482 av den 31 januari 2024 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) (EUT L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).. Genom genomförandeförordning (EU) 2024/482 inrättas en europeisk ordning för cybersäkerhetscertifiering som kan användas för certifiering av en produkt baserat på dess assuransnivå. Baserat på global praxis omfattar genomförandeförordning (EU) 2024/482 möjligheten att utfärda certifikat baserade på äldre versioner av standarderna till utgången av 2027. Inom ramen för förordning (EU) 2024/2847 är det därför lämpligt att tillåta att AVA_VAN-nivåer uttrycks med hänvisning till antingen den senaste versionen eller äldre versioner av dessa standarder.

De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från den kommitté som inrättats i enlighet med artikel 62.1 i förordning (EU) 2024/2847.