Verordening (EU) 2024/2847 – Cyberweerbaarheidsverordening (CRA)

Verordening (EU) 2024/2847 – de Cyber Resilience Act (CRA) – is een nieuwe EU-verordening die horizontale cyberbeveiligingseisen invoert voor “producten met digitale elementen”. De verordening is in oktober 2024 aangenomen en zal, na overgangsperioden, vanaf eind 2027 rechtstreeks van toepassing zijn in alle EU-landen. Als manager in de industriële sector – of u nu verantwoordelijk bent voor onderhoud, inkoop of compliance – is het verstandig om nu al te begrijpen welke producten onder deze verordening vallen, welke nieuwe verplichtingen zij oplegt aan fabrikanten, importeurs en distributeurs, en hoe u uw organisatie kunt voorbereiden op de komende veranderingen. Hieronder geven we de belangrijkste informatie in een praktische insteek, zonder juridisch jargon maar met technische nauwkeurigheid – zodat u de juiste voorbereidende stappen gemakkelijker kunt bepalen.

Toepassingsgebied: welke producten vallen onder de Cyber Resilience Act?

Verordening (EU) 2024/2847 heeft betrekking op alle “producten met digitale elementen” die op de EU-markt beschikbaar worden gesteld waarvan het beoogde gebruik een verbinding met een ander apparaat of een netwerk omvat (direct of indirect, fysiek of logisch). Met andere woorden: de meeste apparaten of software die met andere systemen kunnen communiceren, vallen onder de nieuwe eisen. In de praktijk gaat het onder meer om IoT-apparaten en consumentenelektronica (bijv. smartwatches, mobiele telefoons, slimme huishoudelijke apparaten/consumentenelektronica, elektronische babyfoons), draagbare apparaten (bijv. fitnessarmbanden), industriële apparatuur met netwerkfuncties (sensoren en industriële machines die op een netwerk zijn aangesloten) en uiteenlopende software (besturingssystemen, mobiele en desktopapplicaties, bedrijfssoftware enz.). Belangrijk is dat software die afzonderlijk wordt verkocht (als product) ook onder de CRA valt, net als remote dataverwerkingsdiensten die een integraal onderdeel van het product vormen – zo wordt een cloudservice die een smart-homeapparaat aanstuurt, beschouwd als onderdeel van het product en moet deze aan de veiligheidseisen voldoen.

De verordening heeft een zeer brede reikwijdte, maar voorziet ook in uitsluitingen voor bepaalde productcategorieën die al onder eigen sectorspecifieke regelgeving vallen. CRA is niet van toepassing op onder meer: medische hulpmiddelen (gereguleerd door de verordeningen MDR 2017/745 en 2017/746), voertuigen en hun uitrusting (onder meer gereguleerd door verordening 2019/2144 voor wat betreft voertuigtypegoedkeuring), luchtvaartuigen (verordening 2018/1139 inzake de luchtvaart) en maritieme uitrusting (richtlijn 2014/90/EU). Voor deze producten gelden afzonderlijke regels, die vaak al eisen bevatten die op de betreffende sector zijn toegesneden; daarom zijn ze van de reikwijdte van CRA uitgesloten. Daarnaast zijn de nieuwe bepalingen niet van toepassing op hardware en software die uitsluitend militair is of bestemd is voor de nationale veiligheid (evenals op de verwerking van gerubriceerde informatie). Ook reserveonderdelen die worden geleverd als vervanging van identieke componenten zijn uitgesloten – als het oorspronkelijke product rechtmatig op de markt is gebracht, hoeft het identieke onderdeel niet afzonderlijk aan CRA te voldoen.

Het is goed om te benadrukken dat zogeheten vrije en open software (open source) niet onder de CRA valt, zolang deze niet in het kader van een commerciële activiteit ter beschikking wordt gesteld. Als software dus wordt ontwikkeld en gepubliceerd zonder vergoeding, buiten het marktverkeer om, worden de makers ervan (bijv. de open source-community) niet beschouwd als “producenten” in de zin van de verordening en rusten de hieronder beschreven verplichtingen niet op hen. Wanneer een bedrijf echter een open source-component gebruikt in zijn commerciële product, dan ligt de verantwoordelijkheid om aan de beveiligingseisen te voldoen bij de fabrikant van het eindproduct. Samengevat richt de CRA zich vooral op professioneel ontwikkelde en verkochte digitale producten die op de interne EU-markt bij eindgebruikers terechtkomen.

Waarom is de CRA ingevoerd? Nieuwe dreigingen, een regelgevingskloof en de toeleveringsketen

De Europese Unie heeft een dringende noodzaak gezien om de cyberweerbaarheid van digitale producten te versterken tegen de toenemende dreigingen. In de afgelopen jaren is het aantal en de diversiteit van apparaten die met internet zijn verbonden explosief gegroeid – van industriële IoT-systemen in fabrieken tot slimme huishoudelijke apparaten. Helaas is het niveau van cyberbeveiliging van deze producten vaak laag, wat tot uiting komt in wijdverspreide kwetsbaarheden en het onvoldoende en inconsistente aanbieden van beveiligingsupdates. Veel fabrikanten hebben veiligheid tot nu toe niet als prioriteit behandeld gedurende de volledige levenscyclus van het product, en gebruikers hebben vaak geen bewustzijn of informatie over welke apparaten veilig zijn, hoe lang ze met updates worden ondersteund en hoe ze er veilig mee moeten omgaan. Deze combinatie van factoren leidt tot een verhoogd risico op cyberaanvallen.

De Cyber Resilience Act moet een regelgevingskloof dichten – tot nu toe ontbraken op EU-niveau uniforme, verplichte eisen voor de digitale veiligheid van producten. Er waren wel initiatieven, zoals ICT-beveiligingscertificeringen (op grond van de Cybersecurity Act 2019/881) of de vereisten van de NIS2-richtlijn voor kritieke sectoren, maar geen enkele wet legde rechtstreeks een verplichting op tot “cybersecurity by design” voor alle apparaten en software die op de markt worden gebracht. De CRA creëert precies zo’n universeel kader – het dwingt af dat hardware en software gedurende de hele levenscyclus worden ontworpen, geproduceerd en onderhouden met robuuste beschermingsmaatregelen in het achterhoofd. Het doel is dat er producten met minder kwetsbaarheden op de markt komen en dat fabrikanten zorgen voor het snel verhelpen van nieuwe dreigingen (bijv. via beveiligingspatches), in plaats van gebruikers achter te laten met lekke apparaten.

De kwestie van cyberweerbaarheid heeft ook een dimensie van de toeleveringsketen en een grensoverschrijdend karakter. In een tijd waarin alles met alles verbonden is, kan een incident in één ogenschijnlijk onbelangrijk apparaat uitgroeien tot een aanvalsvector op de hele organisatie of op zakelijke partners. Eén geïnfecteerde IoT-sensor in de productiehal kan een achterdeur naar het bedrijfsnetwerk openen; een kwetsbaarheid in een populaire applicatie kan binnen enkele minuten wereldwijd worden misbruikt. Zoals in de toelichting bij de verordening is benadrukt, kan een cyberincident in één product zich binnen enkele minuten via de toeleveringsketen over de grenzen van één land verspreiden. De kosten van dergelijke aanvallen worden niet alleen gedragen door producenten en gebruikers, maar ook door de samenleving als geheel – verstoringen van kritieke infrastructuur, financiële verliezen, aantasting van de openbare veiligheid. Gezamenlijke, verplichte regels in de hele EU moeten het algemene beschermingsniveau verhogen en voorkomen dat de zwakste schakel (een niet-weerbaar product) iedereen in gevaar brengt.

Een extra drijfveer is het vergroten van het vertrouwen in digitale producten en het gelijktrekken van de concurrentievoorwaarden. Momenteel delven producenten die investeren in security by design niet zelden het onderspit op prijs tegenover partijen die deze kwesties negeren. CRA moet ervoor zorgen dat cybersecurity een kwaliteitsstandaard wordt – iedereen zal aan minimale eisen moeten voldoen, wat de kansen gelijk trekt en de maatschappelijke kosten van aanvallen verlaagt (die vandaag de dag op de slachtoffers worden afgewenteld). Dit moet er uiteindelijk toe leiden dat de weerbaarheid van de hele EU-markt en het vertrouwen van klanten in moderne apparaten met digitale componenten toeneemt. De verordening past ook in een bredere EU-strategie (samen met RODO, NIS2, DORA enz.) die erop gericht is de cyberbeveiliging van diensten en producten te versterken als fundament van de digitale economie.

Verordening (EU) 2024/2847: belangrijkste verplichtingen voor fabrikanten, importeurs en distributeurs

De nieuwe verordening legt een reeks concrete verplichtingen op aan marktdeelnemers die betrokken zijn bij de toeleveringsketen van producten met digitale elementen. De reikwijdte van de verantwoordelijkheid hangt af van de rol – van fabrikanten wordt het meest verwacht, maar importeurs en distributeurs hebben eveneens belangrijke taken. Hieronder vatten we de belangrijkste verplichtingen samen vanuit het perspectief van een manager die toeziet op de naleving van de regelgeving door de producten van het bedrijf.

Verplichtingen van fabrikanten

De fabrikant (en ook de partij die een product onder eigen merk op de markt brengt of het wijzigt – die wordt eveneens als fabrikant beschouwd) draagt de primaire verantwoordelijkheid voor het voldoen aan de CRA-eisen. Tot zijn belangrijkste taken behoren:

• Zorgen dat het product voldoet aan de essentiële eisen op het gebied van cyberbeveiliging zoals vastgelegd in bijlage I bij de verordening. In de praktijk betekent dit dat het product al in de ontwerp- en constructiefase eigenschappen moet hebben die een passend niveau van digitale veiligheid waarborgen, evenredig aan het risico dat met het betreffende product samenhangt. De verordening noemt een reeks concrete technische eisen – waaronder geen bekende kwetsbaarheden op het moment van marktintroductie, het toepassen van veilige standaardconfiguraties (bijv. het vermijden van standaardwachtwoorden), versleuteling waar passend, beveiliging tegen ongeautoriseerde toegang, bescherming van de persoonsgegevens van de gebruiker, weerbaarheid tegen aanvallen die functies verstoren (bijv. DoS-aanvallen) en de mogelijkheid om een reset naar fabrieksinstellingen uit te voeren. Het product moet zo worden ontworpen dat het zijn “aanvalsoppervlak” maximaal beperkt – bijvoorbeeld door geen onnodige open poorten of diensten te hebben die de blootstelling aan cyberdreigingen vergroten. Deze essentiële eisen (deel I van bijlage I CRA) vormen een checklist van beveiligingskenmerken waaraan elk digitaal product moet voldoen.
• Inrichten van een proces voor het afhandelen van kwetsbaarheden en incidenten – de fabrikant moet actief zorgdragen voor de beveiliging van het product na verkoop, gedurende de volledige gedeclareerde ondersteuningsperiode. In deel II van bijlage I zijn de eisen voor het proces van kwetsbaarheidsafhandeling (vulnerability handling) vastgelegd: regelmatig testen en monitoren op nieuwe kwetsbaarheden, het ontvangen van meldingen van kwetsbaarheden (bijv. van onderzoekers of gebruikers) en het snel verhelpen/patchen van vastgestelde kwetsbaarheden door het leveren van beveiligingsupdates. De fabrikant moet een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden (coordinated disclosure) voeren – d.w.z. een aangewezen contactpunt hebben waar problemen gemeld kunnen worden, en procedures voor de opvolging van die meldingen. Het is belangrijk dat updates kwetsbaarheden onverwijld verhelpen en op een veilige manier worden gedistribueerd (bijv. digitaal ondertekend). Belangrijk is dat de fabrikant verplicht is ondersteuning en beveiligingsupdates te bieden gedurende een periode die overeenkomt met de verwachte levenscyclus van het product, minimaal 5 jaar (tenzij de aard van het product een kortere periode rechtvaardigt). Met andere woorden: als onze apparatuur klanten doorgaans ~5+ jaar moet dienen, kunnen we niet na één of twee jaar stoppen met het uitbrengen van patches – er is meerjarige ondersteuning na productintroductie vereist, zodat de gebruiker niet met een lek apparaat achterblijft.
• Uitvoeren van een cyberbeveiligingsrisicobeoordeling – voordat een product met digitale elementen op de markt wordt gebracht, moet de fabrikant een systematische risicoanalyse uitvoeren van de cyberdreigingen die met dit product samenhangen. De risicobeoordeling moet onderdeel zijn van het ontwerpproces (security by design) en onder meer rekening houden met het beoogde gebruik van het product, mogelijk onjuist gebruik, de gebruiksomstandigheden (IT-omgeving, netwerk, type gegevens dat het apparaat verwerkt). Op basis van deze analyse moeten passende beschermingsmaatregelen worden gepland en in het ontwerp worden meegenomen. De documentatie van de risicobeoordeling in cyberspace wordt onderdeel van de technische productdocumentatie en moet worden bijgewerkt als er nieuwe dreigingen opduiken. De fabrikant is verplicht de documentatie ten minste 10 jaar te bewaren vanaf het moment dat het product in de handel is gebracht (en als de gedeclareerde ondersteuningsperiode langer is dan 10 jaar – dan overeenkomstig langer). De risicobeoordeling is geen eenmalige actie – zij moet worden gecontroleerd en geactualiseerd wanneer dat nodig is, met name wanneer nieuwe kwetsbaarheden worden vastgesteld of de gebruikscontext van het product verandert.
• Toezicht op externe componenten – de fabrikant moet de nodige zorgvuldigheid betrachten bij het gebruik van componenten van derden, waaronder open source-bibliotheken. Er moet worden geborgd dat externe componenten (software en hardware) de cyberbeveiliging van het product als geheel niet in gevaar brengen. In de praktijk betekent dit dat versies en updates van de gebruikte bibliotheken moeten worden beheerd, bekende kwetsbaarheden (bijv. gepubliceerd in CVE) in deze componenten moeten worden gemonitord en dat deze moeten worden bijgewerkt/vervangen zodra er lekken aan het licht komen. Als in het product open software is gebruikt en daarin een kwetsbaarheid wordt vastgesteld, is de fabrikant verplicht de partij die verantwoordelijk is voor het onderhoud van die open source (bijv. het open source-project) over het probleem te informeren en, wanneer hij de kwetsbaarheid zelf oplost binnen de eigen scope, de community te informeren over de aangebrachte patch. Dit is bedoeld om fabrikanten te betrekken bij het ecosysteem van gecoördineerd patchen van kwetsbaarheden, ook in open source-componenten.
• Formele conformiteitsbeoordeling en documenten – voordat een product op de markt komt, moet de fabrikant een conformiteitsbeoordelingsprocedure uitvoeren volgens de CRA-eisen en documentatie opstellen die bevestigt dat aan de eisen wordt voldaan. Voor de meeste “gewone” producten (die niet in de categorie verhoogd risico vallen) volstaat een interne controle (interne beoordeling) en het opstellen van technische documentatie met o.a. een productbeschrijving, de resultaten van de risicoanalyse, een lijst van toegepaste veiligheidsmaatregelen, test- en updateprocedures, enz. Vervolgens stelt de fabrikant een EU-conformiteitsverklaring op, waarin hij verklaart dat het product voldoet aan alle toepasselijke CRA-eisen, en brengt hij op het product de CE-markering aan. Let op: als een product op het gebied van cyberbeveiliging is geclassificeerd als “belangrijk” of “kritiek” (Annex III en IV CRA), kunnen strengere conformiteitsbeoordelingsprocedures van toepassing zijn. Voor belangrijke producten (belangrijk) klasse II en voor kritieke producten is certificering door een derde partij vereist, d.w.z. een onderzoek en certificaat afgegeven door een aangemelde instantie (bijv. een geaccrediteerd laboratorium). Voor belangrijke producten klasse I is zelfcertificering alleen toegestaan als er passende geharmoniseerde normen bestaan waarvan de fabrikant gebruikmaakt – anders is ook de betrokkenheid van een derde partij nodig. De manager moet dus vaststellen tot welke categorie het product van het bedrijf behoort en of het nodig is om externe certificering in te plannen (wat invloed kan hebben op de planning van de marktintroductie).
• Monitoring van de veiligheid na het op de markt brengen en rapportage – een nieuw element dat met de CRA wordt ingevoerd, is de verplichting om ernstige beveiligingsproblemen te melden bij de bevoegde autoriteiten. De fabrikant moet elke actief uitgebuite kwetsbaarheid van zijn product en elk ernstig incident dat gevolgen heeft voor de beveiliging van het product melden aan het nationale CSIRT (respons-team) dat als coördinator is aangewezen, én aan het agentschap ENISA. De meldtermijn is zeer kort – 24 uur na ontdekking van de kwetsbaarheid/gebeurtenis (vergelijkbaar met de strenge eisen van de AVG of NIS2). Meldingen zullen verlopen via één uniform Europees platform dat door ENISA wordt beheerd. De rapportageplicht treedt eerder in werking dan de overige vereisten (september 2026 – zie de termijnen hieronder) en zal vanaf dat moment gelden voor alle producten op de markt. Daarom moet de fabrikant interne procedures hebben die een incident/kwetsbaarheid kunnen detecteren en binnen 24 uur de door de verordening vereiste informatie kunnen doorgeven. Het doel is de toezichthoudende autoriteiten een overzicht te geven van opkomende dreigingen en een gecoördineerde respons mogelijk te maken (bijv. het waarschuwen van andere gebruikers wanneer een bepaald product een kritieke kwetsbaarheid heeft).

Bovengenoemde verplichtingen dwingen vaak tot ingrijpende organisatorische veranderingen – van de implementatie van Secure SDLC binnen de R&D-afdeling, via nieuw beleid voor productonderhoud en -ondersteuning, tot extra documentatie en trainingen voor het personeel. In ruil daarvoor krijgt het bedrijf meer zekerheid dat zijn product niet de bron wordt van een ernstig cyberincident, én voldoet het aan de aankomende wetgeving, waardoor verdere verkoop op de EU-markt mogelijk blijft.

Verordening (EU) 2024/2847: Verplichtingen van importeurs en distributeurs

Partijen die producten met digitale elementen van buiten de EU invoeren (importeurs) of ze vervolgens op de EU-markt doorverkopen (distributeurs), moeten er eveneens voor zorgen dat deze producten aan de CRA voldoen. Hun rol bestaat vooral uit controleren en reageren op eventuele non-conformiteiten.

De importeur moet vóór het product op de EU-markt wordt gebracht controleren of de fabrikant aan zijn verplichtingen heeft voldaan – met andere woorden: of het product de vereiste CE-markering en een EU-conformiteitsverklaring heeft, of er instructies en veiligheidsinformatie zijn meegeleverd, en of de fabrikant de vereiste technische documentatie heeft opgesteld. De importeur hoeft de cyberbeveiliging van het product niet zelf te testen, maar als hij gegronde twijfels heeft over de conformiteit van het product met de eisen (bijv. geen CE-markering, geen informatie over de ondersteuningsperiode, enz.), mag hij een dergelijk product niet op de markt aanbieden totdat hij zeker weet dat de non-conformiteit is verholpen. Als wordt vastgesteld dat het product niet aan de CRA-eisen voldoet, is de importeur verplicht de toezichthoudende autoriteiten te informeren en corrigerende maatregelen te nemen – ervoor te zorgen dat het product in overeenstemming wordt gebracht en, als dat niet mogelijk is, het uit de handel te nemen of van de markt terug te halen. Importeurs moeten, net als fabrikanten, een kopie van de conformiteitsverklaring bewaren en ervoor zorgen dat de technische documentatie op verzoek beschikbaar is voor de autoriteiten. Ook moeten zij hun contactgegevens op het product (of de verpakking) vermelden en ervoor zorgen dat het product correct is gemarkeerd. In de praktijk komt de rol van de importeur neer op een veiligheidspoort: hij moet voorkomen dat in de EU producten worden gedistribueerd die niet over de “papieren” beschikken waaruit blijkt dat aan de CRA is voldaan.

Distributeurs (nationale groothandels, detailhandelaren enz.) bevinden zich in een vergelijkbare situatie als importeurs, met dit verschil dat zij controleren of zowel de fabrikant als – indien van toepassing – de importeur aan de eisen voldoet wanneer het product van buiten de EU komt. De distributeur moet daarom vóór verdere doorverkoop nagaan of het product is voorzien van de CE-markering, of de wettelijk vereiste verklaring of instructies zijn bijgevoegd, en of er niet publiekelijk meldingen zijn gedaan dat dit specifieke model niet aan de veiligheidseisen voldoet. Bij twijfel is hij eveneens verplicht de verkoop op te schorten totdat de kwestie is opgehelderd. Als hij van oordeel is (of geïnformeerd wordt) dat het product een ernstig risico vormt of niet aan de CRA-eisen voldoet, moet hij de fabrikant of importeur en de toezichthoudende autoriteiten daarvan op de hoogte stellen en meewerken aan corrigerende maatregelen (bijv. bij terugroepacties).

Vanuit het perspectief van een inkoopmanager betekenen deze regels dat er meer waakzaamheid nodig is bij de keuze van leveranciers van apparatuur/software. Je moet nagaan of leveranciers van buiten de EU producten leveren die al conform CRA zijn, want anders draagt ons bedrijf (als importeur) de verantwoordelijkheid voor eventuele tekortkomingen. Voor een distributeur (bijv. een bedrijf dat in automatisering handelt) komt daar de verplichting bij om te monitoren of producten van verschillende merken in het assortiment beschikken over actuele conformiteitsverklaringen en aan de eisen voldoen – in de praktijk vraagt dit om nauwe samenwerking met fabrikanten en een snelle reactie op alle beveiligingsalerts die betrekking hebben op de verkochte apparaten.

Let op: als een importeur of distributeur een product onder zijn eigen logo/merk op de markt brengt of het product wijzigt (bijv. de functionaliteit, software of configuratie aanpast op een manier die relevant is voor cyberbeveiliging), dan wordt hij volgens de verordening zelf de fabrikant van dat product. In dat geval moet hij alle verplichtingen van de fabrikant overnemen (een conformiteitsbeoordeling uitvoeren, een eigen verklaring opstellen, enz.). Dit geldt bijvoorbeeld voor systeemintegratoren die OEM-apparaten onder hun eigen merk verkopen – zij moeten extra opletten, want formeel zijn zij net zo verantwoordelijk voor de conformiteit als de oorspronkelijke producent.

Inwerkingtredingsdata en overgangsperioden

Verordening (EU) 2024/2847 is op 20 november 2024 gepubliceerd in het Publicatieblad. De verordening is in werking getreden op 10 december 2024 (20 dagen na publicatie), maar de belangrijkste verplichtingen gaan pas 36 maanden na die datum gelden. De wetgever heeft namelijk een lange overgangsperiode voorzien om de sector tijd te geven zich aan te passen. Dit zijn de belangrijkste data:

• 11 september 2026 – vanaf die datum gaan de verplichtingen voor het melden van kwetsbaarheden en incidenten gelden. De fabrikant van elk product met digitale elementen dat op de EU-markt aanwezig is, moet bij de bevoegde autoriteiten alle actief uitgebuite kwetsbaarheden en ernstige beveiligingsincidenten met betrekking tot zijn product melden. Deze datum valt 21 maanden na de inwerkingtreding van de CRA en betekent dat bedrijven al in 2026 procedures moeten hebben voor het monitoren van de beveiliging en het melden van problemen. Dit staat los van het moment waarop het product op de markt is gebracht – het geldt ook voor producten die vóór 2026 zijn verkocht en nog steeds worden gebruikt. Met andere woorden: zelfs als een apparaat bijvoorbeeld in 2025 (vóór de toepasselijkheid van de verordening) in de handel is gebracht en er in september 2026 een kritieke kwetsbaarheid in aan het licht komt, is de fabrikant verplicht die te melden en te verhelpen.
• 11 juni 2026  – vanaf die datum moeten de bepalingen over aangemelde instanties en conformiteitsbeoordelingsinstanties van kracht zijn. De lidstaten zullen uiterlijk medio 2026 een systeem voorbereiden voor de aanwijzing en aanmelding van instanties die bevoegd zijn om producten (belangrijke en kritieke) te certificeren op het voldoen aan de CRA-eisen. Voor producenten is het van belang dat in de tweede helft van 2026 de infrastructuur voor het uitvoeren van de vereiste tests en certificering al beschikbaar is.
• 11 december 2027 – volledige toepassing van de CRA-verordening. Vanaf die datum mag geen enkel product met digitale elementen dat niet aan de CRA-eisen voldoet, nog legaal op de EU-markt worden gebracht. Deze termijn (3 jaar na inwerkingtreding) is de uiterste datum om producten en processen aan te passen. Na 11.12.2027 moeten alle nieuwe apparaten en software die in de EU worden verkocht, ontworpen, geproduceerd en onderhouden worden conform de CRA – anders stelt het bedrijf zich bloot aan zware sancties. Het is belangrijk te benadrukken dat de regels een bepaalde verlichting voorzien voor producten die al op de markt zijn: als een bepaald product (een concreet exemplaar) al op de markt beschikbaar is gesteld vóór 11 december 2027, dan mag het daarna nog in de handel blijven zonder aan de CRA te voldoen. Dit geldt echter alleen voor individuele exemplaren – het type product dat vóór de CRA is ontworpen, krijgt niet automatisch een vrijstelling. Elke nieuwe partij, elk nieuw exemplaar dat na die datum in de verkoop wordt gebracht, moet CRA-conform zijn, tenzij het fysiek al eerder in de handel was (wat in de praktijk bijvoorbeeld betekent: voorraad bij een distributeur die de goederen vóór de deadline al heeft ingekocht). De regels zijn dus niet te omzeilen door “op voorraad” te produceren en pas na 2027 te verkopen – elk product valt op het moment van marktintroductie onder de actuele eisen. Een uitzondering vormen nog geldige EU-typeonderzoekcertificaten die vóór die datum op basis van andere regelgeving zijn afgegeven – die blijven geldig tot juni 2028, tenzij een kortere termijn is vastgesteld.

Voor bedrijven komt het er in de praktijk op neer dat de echte deadline eind 2027 ligt. Vanaf 2028 mogen we in de EU geen apparaten meer verkopen die niet aan de CRA-eisen voldoen. Tegelijkertijd moet je al in 2026 klaar zijn voor de nieuwe verplichtingen rond het melden van incidenten. De resterende tijd moet worden benut voor analyse en het aanpassen van producten. Hoewel 3 jaar op het eerste gezicht veel lijkt, kunnen de veranderingen ingrijpend zijn – beter is het om tijdig te starten. Hieronder presenteren we een checklist met acties die een manager zou moeten overwegen om de organisatie voor te bereiden op het voldoen aan de vereisten van de cyberweerbaarheidsverordening.

Verordening (EU) 2024/2847: hoe bereid je je voor op 2026/2027 – checklist voor managers

• Identificeer producten die onder de CRA vallen – Stel een lijst op van de bedrijfsproducten die “producten met digitale elementen” zijn (hardware of software die verbinding maakt met het netwerk/andere apparaten). Bepaal voor elk product of het in de zin van de verordening (Annex III/IV) als belangrijk of kritisch kan worden aangemerkt – bijvoorbeeld of het essentiële veiligheidsfuncties vervult, of dat compromittering ervan tot grootschalige schade kan leiden. Van deze classificatie hangt onder meer de vereiste conformiteitsbeoordelingsprocedure af (of deelname van een derde partij nodig is).
• Maak je vertrouwd met de eisen en normen – Analyseer de essentiële cyberbeveiligingseisen uit bijlage I van de CRA en vertaal deze naar je eigen producten. Controleer of er al passende geharmoniseerde normen of branche-standaarden beschikbaar zijn die het voldoen aan de eisen kunnen vergemakkelijken (bijv. normen uit de IEC 62443 -familie voor de beveiliging van systemen voor industriële automatisering kunnen helpen bij het ontwerpen van machinebeveiligingen). Blijf op de hoogte van normalisatiewerkzaamheden – mogelijk verschijnen er richtlijnen die de implementatie van de CRA-eisen in jouw vakgebied vereenvoudigen.
• Voer een gap analysis uit – Vergelijk de huidige situatie van je producten en processen met de nieuwe eisen. Beoordeel in hoeverre het huidige beveiligingsniveau aan de vereisten voldoet (bijv. of apparaten beschikken over mechanismen voor authenticatie, versleuteling, veilige updates, enz.). Analyseer het softwareontwikkelproces binnen het bedrijf – of secure-codingprincipes worden toegepast, of penetratietests worden uitgevoerd, en hoe snel jullie reageren op gemelde kwetsbaarheden. Breng tekortkomingen en verbeterpunten in kaart op het gebied van organisatie (procedures) en technologie (beveiligingsfuncties).
• Pas het productontwerp en de productontwikkeling aan – Als de gap-analyse tekortkomingen aan het licht brengt, plan dan de invoering van ontbrekende mechanismen en werkwijzen. Dit kan onder meer bestaan uit wijzigingen in de productarchitectuur (bijv. het toevoegen van een encryptiemodule, het beveiligen van communicatie-interfaces), het verbeteren van het SDLC-proces (Software Development Life Cycle) met onderdelen zoals threat modeling, code review met focus op beveiliging, fuzzingtests enz., en het vaststellen van nieuw productbeveiligingsbeleid. Zorg ervoor dat het R&D-team cybersecurity als een ontwerpeis beschouwt, net zo belangrijk als functionaliteit – de verordening dwingt een aanpak “security by design/default” af.
• Plan een update- en supportstrategie – Analyseer of je organisatie klaar is om producten gedurende een passende periode te ondersteunen. Mogelijk moet je een planning en middelen opzetten om gedurende meerdere jaren na verkoop regelmatige updates van firmware-software uit te brengen. Controleer of de producten technisch kunnen worden bijgewerkt (op afstand of lokaal) – zo niet, dan is dat een ernstig probleem, omdat de CRA vereist dat kwetsbaarheden ook na verkoop kunnen worden verholpen. Stel een realistische supportperiode (minimum 5 jaar) vast en communiceer die aan gebruikers. Werk daarnaast een plan uit voor de technische afhandeling van beveiligingsmeldingen van klanten.
• Stel de vereiste documentatie op – Zorg ervoor dat voor elk product een volledige technische documentatie op het gebied van cyberbeveiliging wordt opgesteld. Deze moet onder meer bevatten: een rapport van de risicobeoordeling, een beschrijving van de beveiligingsarchitectuur, een overzicht van de toegepaste maatregelen (bijv. versleuteling, autorisatie), de resultaten van beveiligingstests, procedures voor updates, een beleid voor het melden van kwetsbaarheden, enz. Deze documentatie vormt de basis om bij een controle de conformiteit aan te tonen (en eventueel om aan een certificerende instantie voor te leggen). Richt ook het proces in voor archivering gedurende de vereiste periode (10 jaar of langer). Stel daarnaast sjablonen op voor de EU-conformiteitsverklaring voor je producten – met inachtneming dat daarin een nieuwe formulering moet worden opgenomen die bevestigt dat aan alle eisen van de verordening is voldaan.
• Zorg voor de toeleveringsketen – Neem contact op met leveranciers van componenten (met name software, IoT-modules enz.) om de naleving van de CRA te bespreken. Werk leverancierscontracten bij door clausules op te nemen over het vereiste niveau van cyberbeveiliging van onderdelen en de verplichting om te informeren over ontdekte kwetsbaarheden. Zorg dat je toegang hebt tot informatie over de herkomst en versies van componenten (houd een SBOM – Software Bill of Materials bij voor producten; dat maakt het eenvoudiger om kwetsbaarheden in afhankelijke bibliotheken te volgen). Als je gebruikmaakt van externe clouddiensten die aan het product zijn gekoppeld, controleer dan hun beveiliging en naleving van NIS2 (want SaaS kan onder NIS2 vallen in plaats van onder de CRA). De cyberbeveiliging van een product is ook de beveiliging van alle bouwstenen waaruit het is opgebouwd – leveranciers moeten dezelfde koers varen.
• School het personeel en maak klanten bewust – Nieuwe verplichtingen betekenen dat verschillende afdelingen binnen het bedrijf basiskennis van CRA moeten hebben. Organiseer trainingen voor de afdelingen ontwerp, kwaliteit, IT en service over de eisen van de verordening en de interne procedures (bijv. hoe te reageren op een melding van een kwetsbaarheid, hoe wijzigingen te documenteren met het oog op conformiteit). Het is ook zinvol om inkoop en verkoop te informeren, zodat zij op de hoogte zijn van nieuwe markeringen en verklaringen (bijv. de noodzaak om te controleren of een leverancier van buiten de EU een conformiteitsverklaring heeft geleverd). Overweeg om voor klanten informatie op te stellen over het beveiligingsbeleid van jullie producten – transparantie op dit punt kan een commercieel voordeel worden (gebruikers gaan erop letten of een bepaald product aan de cybervereisten voldoet en of updates zijn gegarandeerd).
• Monitor de richtsnoeren en termijnen – Volg de mededelingen van de Europese Commissie en de nationale autoriteiten over de CRA. Er kunnen gedelegeerde of uitvoeringshandelingen verschijnen die bepaalde kwesties nader preciseren (bijv. sectorale uitsluitingen – de Commissie kan besluiten producten uit te zonderen van de CRA als ze onder gelijkwaardige sectorale eisen vallen). Volg ook het publicatieproces van geharmoniseerde normen – het toepassen van een norm is de eenvoudigste route naar het vermoeden van conformiteit. Zorg dat je de genoemde termijnen haalt: september 2026 (gereedheid voor het rapporteren van incidenten) en december 2027 (volledige conformiteit van alle nieuwe producten). Stel bij voorkeur veel eerder interne mijlpalen vast – bijvoorbeeld afronding van de eerste risicoanalyse tegen medio 2025, aanpassing van het ontwikkelproces tegen eind 2025, conformiteitstests en pre-certificeringen in 2026, enz., zodat je 2027 ingaat met vrijwel volledige naleving van de eisen. Een last-minute verrassing kan leiden tot het stilleggen van de verkoop; een proactieve aanpak is daarom cruciaal.

Door dit “huiswerk” alvast te doen, voorkom je nerveuze haast in 2027 en de bijbehorende risico’s. In plaats van CRA alleen als een verplichting te zien, loont het om het te beschouwen als een kans om het algehele beveiligingsniveau van producten te verhogen – wat zowel het bedrijf als de klanten beschermt tegen kostbare incidenten.

CRA en de Machineverordening (EU) 2023/1230 – wat valt onder welke?

Veel managers in de industriële sector vragen zich af hoe de nieuwe regels rond cyberweerbaarheid zich verhouden tot de al bekende Machineverordening (EU) 2023/1230 (die de Machinerichtlijn zal vervangen). Is er sprake van overlappende eisen, of vullen deze verordeningen elkaar juist aan? Cruciaal is om te begrijpen welke aspecten van het product door de afzonderlijke wetgevingshandelingen worden gereguleerd.

De Machineverordening 2023/1230 heeft betrekking op machineveiligheid in de traditionele betekenis – met de nadruk op de bescherming van de gezondheid en veiligheid van gebruikers van machines. Zij beschrijft de zogeheten essentiële veiligheids- en gezondheidseisen (EHSR), die onder meer gaan over mechanische en elektrische aspecten, ergonomie, geluid, EMC enz. De nieuwe machineverordening heeft weliswaar ook de eis geïntroduceerd om gevaren in verband met internettoegang en cyberaanvallen mee te nemen als een potentiële bedreiging voor de veiligheid. Dit betekent dat de machinefabrikant bij de risicobeoordeling scenario’s moet overwegen waarin bijvoorbeeld ingrijpen op afstand in het besturingssysteem van de machine een ongeval zou kunnen veroorzaken. Hij moet daarom maatregelen ontwerpen die zulke situaties voorkomen (bijv. netwerkbeveiliging die verhindert dat een onbevoegde de controle over de machine overneemt). De machineverordening regelt cyberbeveiliging echter alleen voor zover die invloed heeft op de fysieke veiligheid van mensen die machines bedienen. Dit is één van de vele onderdelen van de conformiteitsbeoordeling van een machine; ze gaat daarentegen niet in op gedetailleerde IT-eisen – je vindt er geen lijst met cryptografische mechanismen en ook geen verplichting om de software van de machine na verkoop te actualiseren. Je kunt het zo samenvatten: de Machineverordening zorgt ervoor dat de machine geen gevaar oplevert voor leven/gezondheid (ook niet als gevolg van een cyberincident), terwijl CRA zorgt voor de algemene cyberbeveiliging van het product (waaronder vertrouwelijkheid van gegevens, robuustheid van diensten, de volledige levenscyclus).

De Cyber Resilience Act bestrijkt een veel breder spectrum aan IT-onderwerpen dan de machineverordening. Zelfs voor industriële machines legt de CRA bijvoorbeeld eisen op rond het melden van kwetsbaarheden, het beschikbaar stellen van updates gedurende X jaar en bescherming tegen dataverlies – zaken die niet rechtstreeks samenhangen met de veiligheid van de machinegebruiker, maar met cyberbeveiliging als zodanig. In de praktijk betekent dit dat een machine die een product met digitale elementen is, tegelijkertijd onder de bepalingen van beide verordeningen valt. De fabrikant van zo’n machine moet voldoen aan de eisen van beide regelgevingen – zowel die over een veilig ontwerp, bijvoorbeeld op mechanisch vlak (Machineverordening), als die over de beveiliging van software, netwerken en data (CRA). Voldoen aan de eisen van de ene verordening betekent niet automatisch conformiteit met de andere, omdat de beoordelingscriteria verschillen.

Vanuit het oogpunt van de conformiteitsbeoordelingsprocedure geldt dat een product dat onder meer dan één EU-verordening valt, vóór het aanbrengen van de CE-markering aan alle toepasselijke voorschriften moet voldoen. Bijvoorbeeld: een fabrikant die een collaboratieve industriële robot met een functie voor monitoring op afstand op de markt brengt, moet ervoor zorgen dat de robot voldoet aan de essentiële veiligheidseisen voor machines (verord. 2023/1230) én aan de essentiële cyberbeveiligingseisen (Verordening (EU) 2024/2847). De EU-conformiteitsverklaring van zo’n machine moet beide rechtsinstrumenten vermelden. De onderhoudsmanager die zo’n apparaat aanschaft, moet op zijn beurt zowel de conformiteit met “CE voor machines” als met “CE voor cyber” controleren. In de praktijk is de CE-markering één en dezelfde – maar de documentatie moet aantonen dat aan alle voorschriften van de nieuwe aanpak is voldaan die op het betreffende product van toepassing zijn.

Het is nuttig om enkele voorbeelden te geven van wat onder welke verordening valt:

• Puur elektronische IT-apparaten (zonder machinefuncties) – bijv. routers, smartphones, IP-camera’s – vallen niet onder de Machineverordening (omdat het geen machines zijn), maar vallen wél onder de CRA als ze digitale elementen bevatten en via een netwerk communiceren. In hun geval draait het vooral om cyberbeveiliging, en spelen aspecten van de fysieke veiligheid van de gebruiker geen rol (afgezien van algemene ARBO-/EMC-voorschriften).
• Traditionele machines zonder digitale verbinding – bijv. een hydraulische pers met volledig analoge besturing – vallen onder de Machineverordening (er moet worden voldaan aan eisen m.b.t. constructie, afschermingen, veiligheidskringen enz.), maar vallen niet rechtstreeks onder de CRA, omdat ze geen digitale componenten bevatten die extern communiceren. Uiteraard kan, als er in de machine besturingselektronica aanwezig is, die op zichzelf als digitale apparatuur worden beschouwd – maar zolang er geen connectiviteit is (bijv. geen netwerkpoorten, geen toegang op afstand), voldoet dit niet aan de definitie van een “product met digitale elementen” in de zin van de CRA.
• Moderne machines met digitale functies – bijv. robots, productielijnen met IoT, AGV-voertuigen die met het beheersysteem communiceren – vallen onder beide regelgevingen. Hier zal de Machineverordening onder meer een traditionele risicobeoordeling afdwingen (zodat de machine geen mechanische/elektrische gevaren veroorzaakt) én de eis dat bijvoorbeeld externe toegang tot de robot niet tot een gevaarlijke situatie kan leiden (dus: cyberdreigingen die relevant zijn voor veiligheid meenemen). De CRA legt daarbovenop de verplichting op dat die robot in het algemeen beveiligde software heeft (bijv. versleutelde datatransmissies, unieke wachtwoorden), door de fabrikant wordt geüpdatet en dat bij het ontdekken van een kwetsbaarheid deze wordt gepatcht en gemeld aan de autoriteiten. De fabrikant van dergelijke apparatuur moet dus zorgen voor weerbaarheid tegen cyberaanvallen, zowel in het kader van de veiligheid van mensen als van bedrijfscontinuïteit, vertrouwelijkheid van gegevens enz.

Samengevat: de Machineverordening en de CRA concurreren niet met elkaar, maar vullen elkaar aan. De eerste borgt de functionele veiligheid van machines (inclusief minimale cybervereisten om te zorgen dat de machine veilig is), de tweede richt zich op de bredere cyberbeveiliging van het product gedurende de volledige levenscyclus. Voor managers betekent dit dat multidimensionale compliance nodig is: een slim product moet zowel constructief veilig als cyberveilig zijn. Het is dus zaak de eisen van beide regelgevingen te blijven volgen. Gelukkig liggen de ingangsdata dicht bij elkaar – de Machineverordening zal in de praktijk ook vanaf januari 2027 worden toegepast (ter vervanging van de richtlijn), en de CRA vanaf eind 2027. Daardoor kun je de voorbereidingen voor beide bundelen in één samenhangend complianceprogramma. Denk bijvoorbeeld aan: bij het ontwerpen van een nieuwe machine meteen zowel de eisen voor machineveiligheid als IT-beveiligingsmaatregelen meenemen; en bij het testen van een prototype niet alleen de conformiteit met normen zoals ISO 13849 (safety) controleren, maar ook bijvoorbeeld penetratietests van het besturingssysteem uitvoeren. Met zo’n aanpak borgt het bedrijf integrale compliance en voorkomt het een situatie waarin het aan de ene wet voldoet ten koste van het negeren van de andere.

Verordening (EU) 2024/2847 is ongetwijfeld een uitdaging voor fabrikanten en leveranciers, maar tegelijk een noodzakelijke reactie op de realiteit van vandaag. Machines en apparaten worden steeds slimmer en meer verbonden – de regelgeving moet daarin mee. Managers die nu al voorbereidende stappen zetten, bouwen een voorsprong op: hun bedrijven stappen niet alleen zonder pijn over naar het nieuwe juridische kader, maar vergroten ook de concurrentiekracht en geloofwaardigheid van hun producten in de ogen van klanten, voor wie digitale veiligheid net zo belangrijk wordt als prijs of functionaliteit. Met de juiste ondersteuning van experts op het gebied van machineveiligheid en IT kan de implementatie van de CRA-eisen worden benaderd als onderdeel van continue verbetering, en niet alleen als een wettelijke verplichting. Uiteindelijk profiteert zowel het bedrijf als de eindgebruikers én het hele digitale ecosysteem. Veiligere producten betekenen minder risico op stilstand, aanvallen en verliezen – en dat is het doel dat zowel de wetgever als verantwoordelijke marktpartijen voor ogen hebben.