Nou Regulamentul 2392/28-nov-2025 privind descrierea tehnică a categoriilor de produse importante şi critice cu elemente digitale în temeiul Regulamentului (UE) 2024/2847 al Parlamentului European şi al Consiliului

Acte UE

Jurnalul Oficial seria L

Neintrat în vigoare

Versiune de la: 1 Decembrie 2025

Regulamentul 2392/28-nov-2025 privind descrierea tehnică a categoriilor de produse importante şi critice cu elemente digitale în temeiul Regulamentului (UE) 2024/2847 al Parlamentului European şi al Consiliului

Dată act: 28-nov-2025

Emitent: Comisia Europeana

(1)Regulamentul (UE) 2024/2847 stabileşte norme privind securitatea cibernetică a produselor cu elemente digitale. În particular, anexa III la regulamentul respectiv stabileşte categoriile de produse importante cu elemente digitale care, atunci când sunt introduse pe piaţă, fac obiectul unor proceduri de evaluare a conformităţii mai stricte decât cele aplicabile altor produse cu elemente digitale. Anexa IV la Regulamentul (UE) 2024/2847 stabileşte categoriile de produse critice cu elemente digitale pentru care producătorii ar putea fi obligaţi să obţină un certificat european de securitate cibernetică în cadrul unui sistem european de certificare a securităţii cibernetice în temeiul Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului (²) sau care ar face obiectul unei evaluări obligatorii a conformităţii de către o parte terţă la introducerea pe piaţă.

(3)Atunci când dezvoltă un produs cu elemente digitale, producătorii integrează de regulă în propriile lor produse cu elemente digitale, pentru a obţine setul dorit de funcţionalităţi, alte componente care sunt la rândul lor produse cu elemente digitale şi care pot corespunde descrierii tehnice a unei categorii de produse importante sau critice. În conformitate cu Regulamentul (UE) 2024/2847, un produs cu elemente digitale face obiectul procedurilor de evaluare a conformităţii aplicabile produselor importante sau critice cu elemente digitale dacă produsul respectiv în ansamblul său este un produs important sau critic, astfel cum se prevede în anexele III şi IV la regulamentul respectiv. De exemplu, includerea unui browser încorporat ca o componentă a unei aplicaţii de ştiri destinate utilizării în telefoane inteligente nu face, în sine, ca aplicaţia de ştiri să facă obiectul procedurii de evaluare a conformităţii aplicabile produselor cu elemente digitale care au funcţionalitatea de bază "browsere autonome şi încorporate". Cu toate acestea, în conformitate cu Regulamentul (UE) 2024/2847, producătorul trebuie să se asigure că produsul cu elemente digitale în ansamblu îndeplineşte cerinţele esenţiale de securitate cibernetică. Prin urmare, producătorul trebuie să evalueze securitatea întregului produs, ţinând cont, după caz, de securitatea componentelor sau a funcţionalităţilor care sunt integrate în acesta. De exemplu, pentru ca producătorul unei aplicaţii de ştiri să demonstreze că produsul său cu elemente digitale este conform cu Regulamentul (UE) 2024/2847, producătorul respectiv trebuie să demonstreze că aplicaţia de ştiri în ansamblul său îndeplineşte cerinţele aplicabile, ţinând cont, după caz, de securitatea browserului încorporat care este integrat în aplicaţia sa.

(4)Faptul că un produs cu elemente digitale îndeplineşte funcţii diferite sau suplimentare faţă de cele detaliate în descrierile tehnice prevăzute în prezentul regulament nu înseamnă, în sine, că produsul cu elemente digitale nu are funcţionalitatea de bază a unei categorii de produse prevăzute în anexele III şi IV la Regulamentul (UE) 2024/2847. De exemplu, produsele cu elemente digitale care au funcţionalitatea de bază "sisteme de operare" includ adesea componente software care îndeplinesc funcţii auxiliare ce nu sunt incluse în descrierea tehnică a respectivei categorii de produse, cum ar fi aplicaţiile pentru făcut calcule sau programele de editare grafică simple. Produsele cu elemente digitale încorporează adesea şi componente care au funcţionalitatea unui alt produs important sau critic cu elemente digitale, cum ar fi un sistem de operare care integrează o funcţie de browser sau un router care integrează o funcţie de firewall. Totuşi, acest lucru nu înseamnă, în sine, că astfel de produse cu elemente digitale nu au funcţionalitatea de bază "sisteme de operare" sau, respectiv, "routere, modemuri destinate conectării la internet şi comutatoare".

(5)Pe de altă parte, se consideră că un produs cu elemente digitale care are capacitatea de a îndeplini funcţiile unei categorii de produse prevăzute în anexele III şi IV la Regulamentul (UE) 2024/2847, dar a cărui funcţionalitate de bază este diferită de cea a unei astfel de categorii de produse, nu corespunde descrierii tehnice a respectivei categorii de produse. De exemplu, un software de orchestrare, automatizare şi răspuns în materie de securitate (security orchestration, automation and response - SOAR) are adesea capacitatea de a îndeplini funcţiile produselor cu elemente digitale din categoria "sisteme de gestionare a informaţiilor de securitate şi a evenimentelor de securitate (SIEM)", şi anume de a colecta date, de a le analiza şi de a le prezenta ca informaţii care pot fi luate pentru a lua măsuri în scopuri de securitate. Cu toate acestea, întrucât funcţionalitatea sa de bază nu este cea a unui SIEM, nu trebuie, în general, să se considere că software-ul SOAR corespunde descrierii tehnice a "sistemelor de gestionare a informaţiilor de securitate şi a evenimentelor de securitate (SIEM)". În mod similar, un telefon inteligent integrează, de regulă, componente care îndeplinesc funcţiile mai multor categorii de produse prevăzute în anexele III şi IV la Regulamentul (UE) 2024/2847, cum ar fi un sistem de operare sau un manager de parole integrat. Cu toate acestea, întrucât funcţionalitatea de bază a unui telefon inteligent nu este cea de sistem de operare sau de manager de parole, se consideră, în general, că telefonul inteligent nu corespunde descrierii tehnice a unor astfel de categorii de produse.

(6)În conformitate cu articolul 13 alineatele (2) şi (3) din Regulamentul (UE) 2024/2847, producătorii de produse cu elemente digitale trebuie să pună în aplicare cerinţele esenţiale de securitate cibernetică prevăzute în partea I din anexa I la Regulamentul (UE) 2024/2847 într-un mod proporţional cu riscurile produsului cu elemente digitale în cauză, pe baza scopului preconizat şi a utilizării previzibile în mod rezonabil, precum şi a condiţiilor de utilizare a produsului cu elemente digitale, ţinând seama de durata preconizată a utilizării produsului. În conformitate cu articolul 13 alineatele (2) şi (3) din regulamentul respectiv şi indiferent dacă produsul cu elemente digitale este considerat a fi un produs important sau critic cu elemente digitale, producătorii trebuie să efectueze o evaluare cuprinzătoare a riscurilor în materie de securitate cibernetică şi să indice modul în care cerinţele esenţiale de securitate cibernetică sunt puse în aplicare pe baza evaluării riscurilor, inclusiv în ceea ce priveşte testarea şi asigurarea acestora. În cazul în care funcţionalitatea de bază a produsului lor cu elemente digitale corespunde descrierii tehnice a unui produs important sau critic cu elemente digitale, producătorii trebuie să demonstreze conformitatea urmând procedurile specifice de evaluare a conformităţii stabilite la articolul 32 alineatele (2), (3), (4) şi (5) din Regulamentul (UE) 2024/2847.

(8)Pentru a oferi securitate juridică producătorilor, categoriile de produse cu elemente digitale, inclusiv elemente de securitate, "microprocesoare rezistente la manipulare frauduloasă", "microcontrolere rezistente la manipulare frauduloasă", "carduri inteligente şi dispozitive similare" ar trebui să fie diferenţiate în funcţie de nivelul de rezistenţă la o potenţială exploatare a defectelor sau a deficienţelor pentru care au fost proiectate. Nivelul AVA_VAN este o modalitate utilizată pe scară largă şi standardizată de a exprima un astfel de nivel de rezistenţă. Nivelurile AVA_VAN sunt stabilite în standardele privind criteriile comune şi metodologia comună de evaluare disponibile publicului, care stau la baza cadrelor de certificare adoptate pe scară largă pe piaţă, cum ar fi Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei (³). Regulamentul de punere în aplicare (UE) 2024/482 stabileşte un sistem european de certificare a securităţii cibernetice care poate fi utilizat pentru certificarea unui produs ca îndeplinind un anumit nivel de asigurare. Inspirându-se din practicile observate la nivel global, Regulamentul de punere în aplicare (UE) 2024/482 prevede posibilitatea emiterii, până la sfârşitul anului 2027, de certificate bazate pe versiuni mai vechi ale standardelor. Prin urmare, în contextul Regulamentului (UE) 2024/2847, este oportun să se permită ca nivelurile AVA_VAN să fie exprimate prin trimitere fie la cea mai recentă versiune, fie la versiuni mai vechi ale standardelor respective.

Art. 1: Definiţii

ANEXA I:PRODUSELE IMPORTANTE CU ELEMENTE DIGITALE

1.Clasa I

Categoria de produse	Descrierea tehnică
1. Software şi hardware pentru sisteme de gestionare a identităţii şi de gestionare a accesului privilegiat, inclusiv cititoare de autentificare şi de control al accesului, inclusiv cititoare biometrice	Sistemele de gestionare a identităţii sunt produse cu elemente digitale care oferă mecanisme de autentificare sau autorizare şi care pot oferi, de asemenea, mecanisme de gestionare a ciclului de viaţă al credenţialelor de autentificare ale persoanelor fizice, ale persoanelor juridice, ale dispozitivelor sau ale sistemelor, cum ar fi înregistrarea, furnizarea, întreţinerea şi radierea identităţii. Aceste sisteme includ sisteme de gestionare a accesului care controlează accesul persoanelor fizice, al persoanelor juridice, al dispozitivelor sau al sistemelor la resurse digitale sau la locaţii fizice. Software-urile de gestionare a accesului privilegiat sunt sisteme de gestionare a accesului care controlează şi monitorizează drepturile de acces la sistemele IT sau OT şi la informaţiile sensibile din cadrul unei organizaţii, inclusiv sistemele care pun în aplicare politici diferenţiate de control al accesului pentru utilizatorii privilegiaţi. Această categorie include, fără a se limita la acestea, cititoarele de autentificare şi de control al accesului, cititoarele biometrice, software-ul de autentificare unică (Single Sign-On), software-ul federat de gestionare a identităţii, software-ul de generat parole unice, dispozitivele hardware de autentificare, cum ar fi generatoarele de numere de autentificare a tranzacţiei (transaction autentificare number - TAN), software-ul de autentificare şi software-ul de autentificare multifactorială.
2. Browsere autonome şi încorporate	Produse software cu elemente digitale care permit utilizatorilor finali să acceseze, să redea şi să interacţioneze cu conţinutul şi serviciile web găzduite pe servere conectate la reţele precum internetul. Acestea includ, de regulă, un motor de browser pentru interpretarea şi afişarea conţinutului scris într-un limbaj de marcare (de exemplu HTML), suport pentru protocoale web (de exemplu HTTP sau HTTPS), capacitatea de a executa scripturi şi de a gestiona textul introdus de utilizatori, precum şi stocarea de date temporare sau persistente de pe site-uri (cookie-uri). Această categorie include, dar nu se limitează la aplicaţiile de sine stătătoare care îndeplinesc funcţiile browserelor, browserele încorporate destinate integrării într-un alt sistem sau într-o altă aplicaţie, precum şi browserele în care sunt integraţi agenţi IA.
3. Manageri de parole	Produse cu elemente digitale care stochează parole, la nivel local pe un dispozitiv sau pe un server la distanţă, incluzând funcţii precum generarea de parole şi partajarea parolelor şi integrarea cu aplicaţii locale sau terţe pentru utilizarea parolelor. Această categorie include, dar nu se limitează la managerii de parole locali, managerii de parole puşi la dispoziţie ca extensii ale browserelor, managerii de parole de întreprindere, precum şi managerii de parole bazaţi pe hardware.
4. Software care caută, elimină sau plasează în carantină programe informatice malware	Produse software cu elemente digitale, denumite de obicei antivirus sau antimalware, care detectează sau caută programe sau cod malware pe dispozitive sau elimină sau plasează în carantină un astfel de program, pentru a menţine integritatea, confidenţialitatea sau disponibilitatea unor astfel de dispozitive. În contextul acestei categorii de produse, program malware înseamnă un program care conţine caracteristici sau capacităţi rău-intenţionate care pot cauza prejudicii direct sau indirect utilizatorului şi/sau sistemului informatic, cum ar fi virusuri, viermi informatici, ransomware, programe spion şi troiani. Această categorie include, dar nu se limitează la software care detectează sau caută programe malware în timp real sau manual, diskuri de detectare şi salvare de tip rootkit cu funcţionalitatea de bază de căutare, eliminare sau plasare în carantină a programelor malware.
5. Produse cu elemente digitale cu funcţie de reţea privată virtuală (VPN)	Produse cu elemente digitale care stabilesc un tunel logic criptat construit din resursele de sistem ale unei reţele fizice sau virtuale. Această categorie include, dar nu se limitează la clienţii de reţea virtuală privată (VPN), serverele de reţea virtuală privată şi gateway-urile de reţea virtuală privată.
6. Sisteme de administrare a reţelei	Produse cu elemente digitale care gestionează elemente de reţea conectate, cum ar fi servere, routere, comutatoare, staţii de lucru, imprimante sau dispozitive mobile, prin monitorizarea acestora şi controlarea funcţionării şi configurării lor în reţea. Această categorie include, dar nu se limitează la sistemele de gestionare de la un capăt la altul şi sistemele dedicate de gestionare a configuraţiei, cum ar fi controlerele pentru crearea de reţele definite prin software.
7. Sisteme de gestionare a informaţiilor de securitate şi a evenimentelor de securitate (SIEM)	Produse cu elemente digitale care colectează date din surse multiple, analizează şi corelează datele respective şi le prezintă ca informaţii care pot fi puse în aplicare în scopuri legate de securitate, cum ar fi detectarea ameninţărilor şi a incidentelor, analiza criminalistică sau asigurarea conformităţii.
8. Manageri de boot	Produse software cu elemente digitale care gestionează procesul de pornire iniţială a sistemului după pornirea/repornirea sistemului, prin iniţializarea hardware-ului, încărcarea sau transferul controlului către mediul sistemului de operare sau resursele sistemului şi selectarea opţiunilor de boot. Această categorie include, dar nu se limitează la firmware UEFI şi bootloader-e cu un singur stadiu sau cu mai multe stadii.
9. Infrastructuri publice esenţiale şi software pentru emiterea de certificate digitale	Produsele cu elemente digitale utilizate ca parte a unei infrastructuri de chei publice (PKI) care gestionează validarea, crearea, emiterea, distribuirea, publicarea statutului, reînnoirea sau revocarea certificatelor digitale sau generarea, stocarea, plasarea în escrow, schimbul, distrugerea sau rotaţia cheilor criptografice asociate cu astfel de certificate digitale. Această categorie include, dar nu se limitează la sistemele de gestionare a cheilor, sistemele de gestionare a certificatelor digitale, sistemele de răspuns la cererile din cadrul protocoalelor de verificare online a statutului certificatelor şi soluţiile PKI de tip all-in-one.
10. Interfeţe fizice şi virtuale de reţea	Interfeţele fizice de reţea sunt produse cu elemente digitale care conectează direct un dispozitiv la o reţea prin intermediul unei interfeţe de programare a aplicaţiilor (API) furnizate de driverele interfeţei, care funcţionează de regulă la nivelul legăturii de date şi care au adaptoare hardware la suporturile de transmisie echipate cu firmware corespunzător, funcţionând de obicei la nivelul fizic şi la nivelul legăturii de date. Interfeţele virtuale de reţea sunt produse cu elemente digitale care conectează direct sau indirect un dispozitiv la o reţea prin intermediul unei API care o imită pe cea a driverelor interfeţelor fizice de reţea, funcţionând de obicei la nivelul legăturii de date. Această categorie include, dar nu se limitează la carduri de interfaţă de reţea cu fir şi fără fir, controlere şi adaptoare, cum ar fi pentru Wi-Fi, Ethernet, IrDA, USB, Bluetooth, NearLink, Zigbee sau Fieldbus, precum şi produse autonome pur virtuale, cum ar fi cardurile de interfaţă virtuală de reţea, interfeţele de reţea în containere şi interfeţele VPN.
11. Sisteme de operare	Produse software cu elemente digitale care oferă o interfaţă abstractă cu hardware-ul subiacent şi controlează executarea software-ului şi care pot furniza servicii precum gestionarea şi configurarea resurselor informatice, programarea, controlul intrărilor şi al ieşirilor, gestionarea datelor şi furnizarea unei interfeţe prin care aplicaţiile interacţionează cu resursele sistemului şi cu perifericele. Această categorie include, dar nu se limitează la sistemele de operare în timp real, sistemele de operare de uz general şi sistemele de operare cu destinaţie specială.
12. Routere, modemuri destinate conectării la internet şi comutatoare	Routerele sunt produse cu elemente digitale care stabilesc şi controlează fluxul de date dintre diferite reţele prin selectarea căilor sau a rutelor utilizând mecanisme şi algoritmi de protocol de rutare, funcţionând de obicei la nivelul reţelei. Această categorie include, dar nu se limitează la routerele cu fir şi fără fir, routerele virtuale şi routerele cu sau fără modemuri.
	Modemurile destinate conectării la internet sunt produse hardware cu elemente digitale care utilizează tehnici de modulare şi demodulare digitală pentru a converti semnalele analogice în, respectiv din semnale digitale pentru comunicarea bazată pe protocolul IP. Această categorie include, dar nu se limitează la modemuri pentru fibră optică, modemuri pentru linie de abonat digitală (DSL), modemuri pentru cablu (DOCSIS), modemuri pentru satelit şi modemuri celulare.
	Comutatoarele sunt produse cu elemente digitale care asigură conectivitatea între dispozitivele din reţea prin mecanisme de transmitere a pachetelor şi care au o componentă de gestionare, de regulă implementată la nivelul legăturii de date sau al reţelei. Această categorie include, dar nu se limitează la comutatoare gestionate, comutatoare inteligente, comutatoare multistrat, comutatoare de securitate virtuale, comutatoare programabile pentru reţele definite prin software şi punţi, cum ar fi punctele de acces fără fir.
13. Microprocesoare cu funcţionalităţi legate de securitate	Produse cu elemente digitale care sunt circuite integrate ce îndeplinesc funcţii centrale de procesare bazate pe memorie externă şi periferice, inclusiv microcod şi alte tipuri de firmware de nivel scăzut. În plus, acestea oferă funcţionalităţi legate de securitate, cum ar fi criptarea, autentificarea, stocarea securizată a cheilor, generarea aleatorie de numere, un mediu de executare de încredere sau alte mecanisme de protecţie bazate pe hardware care vizează securizarea altor produse, reţele sau servicii dincolo de microprocesorul în sine, cum ar fi o secvenţă de bootare securizată, virtualizarea sau interfeţele de comunicare securizate.
14. Microcontrolere cu funcţionalităţi legate de securitate	Produse cu elemente digitale care sunt circuite integrate ce îndeplinesc funcţii centrale de procesare şi care au o memorie integrată ce permite programarea microcontrolerului şi, în mod tipic, şi a altor periferice, inclusiv microcod şi alte tipuri de firmware de nivel scăzut. În plus, acestea oferă funcţionalităţi legate de securitate, cum ar fi criptarea, autentificarea, stocarea securizată a cheilor, generarea aleatorie de numere, un mediu de executare de încredere sau alte mecanisme de protecţie bazate pe hardware care vizează securizarea altor produse, reţele sau servicii dincolo de microcontrolerul în sine, cum ar fi o secvenţă de bootare securizată, virtualizarea sau interfeţele de comunicare securizate.
15. Circuite integrate specifice aplicaţiilor (ASIC) şi reţele de porţi programabile de utilizator (FPGA) cu funcţionalităţi legate de securitate	Circuitele integrate specifice aplicaţiilor (ASIC) cu funcţionalităţi legate de securitate sunt produse cu elemente digitale care sunt circuite integrate concepute integral sau parţial pentru a îndeplini o funcţie specifică sau pentru a implementa o aplicaţie specifică, inclusiv microcod şi alte tipuri de firmware de nivel scăzut. În plus, acestea oferă funcţionalităţi legate de securitate, cum ar fi criptarea, autentificarea, stocarea securizată a cheilor, generarea aleatorie de numere, un mediu de executare de încredere sau alte mecanisme de protecţie bazate pe hardware care vizează securizarea altor produse, reţele sau servicii dincolo de ASIC în sine, cum ar fi o secvenţă de bootare securizată, virtualizarea sau interfeţele de comunicare securizate.
	Circuitele integrate programabile de către utilizator (FPGA) cu funcţionalităţi legate de securitate sunt produse cu elemente digitale care sunt circuite integrate caracterizate de o matrice de blocuri logice configurabile concepute pentru a fi reprogramabile după producere pentru a îndeplini o funcţie specifică sau pentru a implementa o aplicaţie specifică, inclusiv microcod şi alte tipuri de firmware de nivel scăzut. În plus, acestea oferă funcţionalităţi legate de securitate, cum ar fi criptarea, autentificarea, stocarea securizată a cheilor, generarea aleatorie de numere, un mediu de executare de încredere sau alte mecanisme de protecţie bazate pe hardware care vizează securizarea altor produse, reţele sau servicii dincolo de FPGA în sine, cum ar fi o secvenţă de bootare securizată, virtualizarea sau interfeţele de comunicare securizate.
16. Asistenţi virtuali de uz general pentru locuinţe inteligente	Produsele cu elemente digitale care comunică pe internetul public, fie direct, fie prin intermediul altor echipamente, care procesează cereri, sarcini sau întrebări formulate într-un limbaj natural, cum ar fi pe cale audio sau în scris, şi care, pe baza acestor cereri, sarcini sau întrebări, oferă acces la alte servicii sau controlează funcţiile unor dispozitive conectate în contexte rezidenţiale. Această categorie include, dar nu se limitează la difuzoarele inteligente cu un asistent virtual integrat şi asistenţii virtuali de sine stătători care corespund acestei descrieri.
17. Produse pentru locuinţe inteligente cu funcţionalităţi legate de securitate, inclusiv încuietori inteligente ale uşilor, camere de securitate, sisteme de monitorizare a bebeluşilor şi sisteme de alarmă	Produse cu elemente digitale care protejează securitatea fizică a consumatorilor într-un mediu rezidenţial şi care pot fi controlate sau gestionate de la distanţă de alte sisteme, precum şi hardware-ul şi software-ul care controlează la nivel central astfel de produse. Această categorie include, dar nu se limitează la dispozitivele inteligente de încuiere a uşilor, sistemele de monitorizare a bebeluşilor, sistemele de alarmă şi camerele de securitate pentru locuinţe.
18. Jucării conectate la internet care intră sub incidenţa Directivei 2009/48/CE a Parlamentului European şi a Consiliului (¹), care au caracteristici sociale interactive (de exemplu, vorbire sau filmare) sau care au funcţii de localizare	Jucăriile conectate la internet care au caracteristici sociale interactive sunt produse cu elemente digitale care intră sub incidenţa Directivei 2009/48/CE şi care comunică pe internetul public, fie direct, fie prin intermediul oricărui alt echipament, şi care au tehnologii integrate ce permit comunicarea către şi dinspre dispozitiv, cum ar fi tastatură, microfon, difuzor sau cameră video.
	Jucăriile conectate la internet care au funcţii de localizare sunt produse cu elemente digitale care intră sub incidenţa Directivei 2009/48/CE şi care comunică pe internetul public, fie direct, fie prin intermediul oricărui alt echipament, şi care au tehnologii care permit urmărirea sau deducerea locaţiei geografice a jucăriei sau a utilizatorului acesteia. În cazul în care jucăria nu face decât să detecteze proximitatea utilizatorului sau a altor jucării prin utilizarea tehnologiilor de detecţie, se consideră că jucăria nu are caracteristici de localizare şi urmărire.
19. Produse purtabile personale care urmează să fie purtate sau plasate pe un corp uman care au un scop de monitorizare a stării de sănătate (cum ar fi urmărirea) şi cărora nu li se aplică Regulamentul (UE) 2017/745 (²) sau (UE) 2017/746 (³) al Parlamentului European şi al Consiliului, sau produse purtabile personale care sunt destinate utilizării de către şi pentru copii	Produsele purtabile personale destinate să fie purtate sau plasate pe un corp uman care au un scop de monitorizare a stării de sănătate sunt produse cu elemente digitale care sunt purtate pe corp direct sau prin îmbrăcăminte sau accesorii şi care pot, în mod regulat sau continuu, să capteze şi să proceseze informaţii relevante pentru sănătatea utilizatorului, inclusiv parametri corporali, cu excepţia produselor care intră în domeniul de aplicare al Regulamentului (UE) 2017/745 sau al Regulamentului (UE) 2017/746. Această categorie include, dar nu se limitează la dispozitivele de urmărire a activităţii fizice, ceasurile inteligente, bijuteriile inteligente, îmbrăcămintea inteligentă şi îmbrăcămintea sportivă care corespund acestei descrieri.
	Produsele purtabile personale destinate utilizării de către şi pentru copii sunt produse cu elemente digitale care pot fi purtate sau plasate pe corpul persoanelor cu vârsta sub 14 ani, direct sau prin îmbrăcăminte sau accesorii. Această categorie include, dar nu se limitează la dispozitivele purtabile de siguranţă pentru copii.
(¹) Directiva 2009/48/CE a Parlamentului European şi a Consiliului din 18 iunie 2009 privind siguranţa jucăriilor (JO L 170, 30.6.2009, p. 1, ELI: http://data.europa.eu/eli/dir/2009/48/oj). (²) Regulamentul (UE) 2017/745 al Parlamentului European şi al Consiliului din 5 aprilie 2017 privind dispozitivele medicale, de modificare a Directivei 2001/83/CE, a Regulamentului (CE) nr. 178/2002 şi a Regulamentului (CE) nr. 1223/2009 şi de abrogare a Directivelor 90/385/CEE şi 93/42/CEE ale Consiliului (JO L 117, 5.5.2017, p. 1, ELI: http://data.europa.eu/eli/reg/2017/745/oj). (³) Regulamentul (UE) 2017/746 al Parlamentului European şi al Consiliului din 5 aprilie 2017 privind dispozitivele medicale pentru diagnostic in vitro şi de abrogare a Directivei 98/79/CE şi a Deciziei 2010/227/UE a Comisiei (JO L 117, 5.5.2017, p. 176, ELI: http://data.europa.eu/eli/reg/2017/746/oj).

2.Clasa II

Categoria de produse	Descrierea tehnică
1. Hipervizoare şi sisteme de runtime a containerelor care sprijină executarea virtualizată a sistemelor de operare şi a mediilor similare	Hipervizoarele sunt produse software cu elemente digitale care abstrag şi/sau alocă resurse informatice şi care permit executarea, gestionarea şi orchestrarea maşinilor virtuale care sunt separate logic unele de altele şi/sau de hardware-ul fizic. Hipervizoarele pot rula direct pe hardware (bare metal), printr-un sistem de operare sau în cadrul unei alte maşini virtuale (virtualizare imbricată). În contextul acestei categorii de produse, o maşină virtuală este un compartiment logic definit prin software al unui mediu informatic, care include un set virtualizat de resurse hardware (de exemplu CPU, memorie, stocare şi interfeţe de reţea) şi are, de regulă, propriul sistem de operare. Această categorie include, dar nu se limitează la hipervizoarele de tip 1 (bare metal), hipervizoarele de tip 2 (găzduite într-un sistem de operare) şi hipervizoarele hibride.
	Sistemele de executare (runtime) a containerelor sunt produse software cu elemente digitale care gestionează executarea şi ciclul de viaţă al containerelor care rulează pe un singur sistem de operare gazdă ca procese izolate, alocând resursele şi permiţând gestionarea şi orchestrarea containerelor individuale. În contextul acestei categorii de produse, un container este un mediu de executare bazat pe software care încapsulează una sau mai multe componente software şi dependenţele acestora într-un singur pachet, permiţându-i să funcţioneze independent şi consecvent.
2. Firewall-uri, sisteme de detectare şi prevenire a intruziunilor	Firewall-urile sunt produse cu elemente digitale care protejează o reţea conectată sau un sistem conectat împotriva accesului neautorizat prin monitorizarea şi restricţionarea traficului de comunicaţii de date către şi dinspre reţeaua respectivă. Această categorie include, dar nu se limitează la firewall-urile de reţea şi firewall-urile pentru aplicaţii, cum ar fi firewall-urile pentru aplicaţii web sau filtrele şi gateway-urile antispam.
	Sistemele de detectare a intruziunilor sunt produse cu elemente digitale care monitorizează traficul odată ce acesta a intrat în mediul reţelei, pentru a identifica activităţi suspecte, şi detectează sau identifică faptul că s-a încercat, este în curs de producere sau s-a produs o intruziune într-o reţea conectată sau un sistem conectat. Această categorie include, dar nu se limitează la sistemele de detectare a intruziunilor bazate pe reţea şi bazate pe gazdă.
	Sistemele de prevenire a intruziunilor sunt produse cu elemente digitale compuse dintr-un sistem de detectare a intruziunilor care răspunde în mod activ la o intruziune într-o reţea conectată sau un sistem conectat. Această categorie include, dar nu se limitează la sistemele de prevenire a intruziunilor de la nivelul reţelei şi sistemele de prevenire a intruziunilor de la nivelul gazdei.
3. Microprocesoare rezistente la manipulare frauduloasă	Produse cu elemente digitale care sunt microprocesoare cu funcţionalităţi legate de securitate menţionate în tabelul "Clasa I" punctul 13 din prezenta anexă, inclusiv indicii ale manipulării frauduloase, rezistenţă la manipulare frauduloasă sau reacţie la manipulare frauduloasă, şi care, în plus, sunt concepute pentru a asigura o protecţie AVA_VAN de nivelul 2 sau 3, astfel cum se prevede în criteriile comune şi în metodologia comună de evaluare.
4. Microcontrolere rezistente la manipulare frauduloasă	Produse cu elemente digitale care sunt microcontrolere cu funcţionalităţi legate de securitate menţionate în tabelul "Clasa I" punctul 14 din prezenta anexă, inclusiv indicii ale manipulării frauduloase, rezistenţă la manipulare frauduloasă sau reacţie la manipulare frauduloasă, şi care, în plus, sunt concepute pentru a asigura o protecţie AVA_VAN de nivelul 2 sau 3, astfel cum se prevede în criteriile comune şi în metodologia comună de evaluare.

ANEXA II:PRODUSELE CRITICE CU ELEMENTE DIGITALE

Categoria de produse	Descrierea tehnică
1. Dispozitive hardware cu casete de securitate	Produse hardware cu elemente digitale care stochează, procesează sau gestionează în condiţii de siguranţă date sensibile sau efectuează operaţiuni criptografice şi care constau în mai multe componente distincte, încorporând un înveliş fizic hardware care oferă indicii ale manipulării frauduloase, rezistenţă la manipulare frauduloasă sau reacţie la manipulare frauduloasă drept contramăsuri împotriva atacurilor fizice. Această categorie include, dar nu se limitează la terminalele fizice de plată, modulele de securitate hardware care generează şi gestionează elemente criptografice şi tahografele care corespund descrierii de mai sus.
2. Gateway-urile contoarelor inteligente din cadrul sistemelor de contorizare inteligentă în sensul definiţiei de la articolul 2 punctul 23 din Directiva (UE) 2019/944 a Parlamentului European şi a Consiliului (¹) şi alte dispozitive utilizate în scopuri avansate de securitate, inclusiv pentru procesarea criptografică securizată	Gateway-urile contoarelor inteligente sunt produse cu elemente digitale care controlează comunicarea dintre componente ale sistemelor de contorizare inteligentă sau conectate la acestea, astfel cum sunt definite la articolul 2 punctul 23 din Directiva (UE) 2019/944, şi părţile terţe autorizate, cum ar fi furnizorii de utilităţi. Gateway-urile contoarelor inteligente colectează, procesează şi stochează date provenite de la contoare sau date cu caracter personal, protejează fluxurile de date şi informaţii răspunzând unor nevoi criptografice specifice, cum ar fi criptarea şi decriptarea datelor, încorporează funcţionalităţi de firewall şi oferă mijloacele de control al altor dispozitive. Această categorie include, dar nu se limitează la gateway-urile contoarelor inteligente aferente sistemelor de contorizare inteligentă care măsoară energia electrică, astfel cum sunt definite la articolul 2 punctul 23 din Directiva (UE) 2019/944. Categoria poate include, de asemenea, gateway-urile pentru contoare inteligente utilizate în alte sisteme de contorizare inteligentă care măsoară consumul altor surse de energie, cum ar fi gazele sau căldura, cu condiţia ca gateway-ul respectiv să corespundă acestei descrieri.
3. Carduri inteligente sau dispozitive similare, inclusiv elemente de securitate	Elementele de securitate sunt microcontrolere sau microprocesoare cu funcţionalităţi legate de securitate, inclusiv indicii ale manipulării frauduloase, rezistenţă la manipulare frauduloasă sau reacţie la manipulare frauduloasă. De regulă acestea stochează, procesează sau gestionează operaţiuni criptografice sau date sensibile, cum ar fi credenţialele de autentificare sau de plată. Elementele de securitate sunt concepute pentru a oferi protecţie la un nivel cel puţin egal cu AVA_VAN.4, astfel cum se prevede în criteriile comune sau în metodologia comună de evaluare. Acestea pot fi cipuri distincte sau pot fi integrate în sisteme pe cip (System on a Chip - SoC). Elementele de securitate pot încorpora un mediu de aplicaţie sau un sistem de operare şi pot include una sau mai multe aplicaţii. Această categorie include, dar nu se limitează la modulele de platformă de încredere (Trusted Platform Modules - TPM) şi cardurile inteligente universale (Universal Integrated Circuit Card - UICC) încorporate.
	Cardurile inteligente sau dispozitivele similare sunt elemente de securitate integrate într-un material suport, cum ar fi plasticul sau lemnul, sub forma unui card, sau elemente de securitate integrate în materiale suport având alte forme. Această categorie include, dar nu se limitează la documentele de identitate şi de călătorie, cardurile de semnătură calificate, UICC care pot fi înlocuite, cardurile fizice de plată, cardurile fizice de acces, cardurile de tahograf digital sau brăţările cu elemente de securitate a plăţilor integrate.
(¹) Directiva (UE) 2019/944 a Parlamentului European şi a Consiliului din 5 iunie 2019 privind normele comune pentru piaţa internă de energie electrică şi de modificare a Directivei 2012/27/UE (JO L 158, 14.6.2019, p. 125, ELI: http://data.europa.eu/eli/dir/2019/944/oj).