14 okt. 2025
1 minuut
Wij zijn een machinebouwer die voor de besturing van onze machines gebruik maken van een Programmable Logic Controller (PLC) van een gerenommeerde Duitse fabrikant. Ik vraag me af of wij als fabrikant van een machine naast de Machineverordening ook aan de Cyber Resilience Act (CRA) moeten gaan voldoen.
Ik heb begrepen dat vanaf 20-1-2027 de Verordening (EU) 2023/1230 betreffende machines (verder afgekort als: VbM) wettelijke eisen stelt aan de cyberweerbaarheid van machines.
Daarnaast heb ik begrepen dat een fabrikant van producten vanaf eind 2027 te maken gaat krijgen met de Cyber Resilience Act (verder afgekort als: CRA) ofwel Verordening Cyberweerbaarheid (EU) 2024/2847.
Vraag
Geldt de Cyber Resilience Act ook voor onze machines?
Antwoord
U geeft terecht aan dat de Verordening (EU) 2023/1230 betreffende machines (afgekort: VbM) vanaf 20-1-2027 eisen stelt aan een fabrikant van machines. Deze eisen zijn opgenomen in Bijlage III Deel B van de VbM en wel in eis 1.1.9 ‘Bescherming tegen corruptie’. Zie zoals weergegeven in Kader 1.
Kader 1: Eis van de VbM ten aanzien van cybersecurity
1.1.9. Bescherming tegen corruptie
De machine of het verwante product moet zodanig ontworpen en gebouwd zijn dat de verbinding ervan met een ander apparaat, via een functie van het aangesloten apparaat zelf of via een apparaat op afstand dat communiceert met de machine of het verwante product, niet tot een gevaarlijke situatie leidt.
Een hardwarecomponent die een signaal of gegevens uitzendt die relevant zijn voor aansluiting op of toegang tot software die van essentieel belang is voor de overeenstemming van de machine of het verwante product met de relevante essentiële veiligheids- en gezondheidseisen, moet zodanig ontworpen zijn dat deze afdoende
beschermd is tegen al dan niet opzettelijke corruptie. De machine of het verwante product moet bewijzen verzamelen van al dan niet rechtmatige ingrepen in de bovenvermelde hardwarecomponent indien deze relevant zijn voor de aansluiting op of de toegang tot software die van essentieel belang is voor de overeenstemming van de machine of het verwante product.
Software en gegevens die van cruciaal belang zijn voor de overeenstemming van de machine of het verwante product met de relevante essentiële gezondheids- en veiligheidseisen, moeten als zodanig herkenbaar zijn en afdoende beveiligd worden tegen al dan niet opzettelijke corruptie.
De machine of het verwante product moet de in zich geïnstalleerde software die nodig is om veilig te functioneren identificeren en deze informatie te allen tijde in een gemakkelijk toegankelijke vorm kunnen verstrekken.
De machine of het verwante product moet bewijzen van al dan niet rechtmatige ingrepen in en wijzigingen van de in de machine of het verwante product of een configuratie ervan geïnstalleerde software verzamelen
Hierbij de link naar de volledige wettekst van de VbM: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:02023R1230-20230629
Zoals u kunt zien vraagt deze eis om een systematische aanpak door de machinefabrikant bij het ontwerp en de bouw van zijn machinebesturing. De fabrikant dient ervoor te zorgen dat de software en gegevens die van cruciaal belang zijn voor de overeenstemming van de machine met VbM Bijlage III als zodanig herkenbaar zijn en afdoende beveiligd worden tegen al dan niet opzettelijke corruptie. Zie ook het praktisch advies verderop.
De Cyber Resilience Act (CRA), in het Nederlands de Verordening cyberweerbaarheid, richt zich op het verbeteren van de beveiliging van ‘producten met digitale elementen’.
Figuur 1: Beslisboom uit de Nederlandse ‘Gids Cyber Resilience Act’
De CRA is op 10 december 2024 in werking getreden en daarmee is de gefaseerde inwerkingtredingstermijn van in totaal drie jaar van start gegaan. Tijdens deze periode worden technische normen (bijv. prEN 50742:202x; Safety of machinery – Protection against corruption) uitgewerkt en wordt tijd geboden aan fabrikanten om al tijdens de ontwikkeling van een product met digitale elementen rekening te houden met de eisen uit de CRA.
Vanaf 11 september 2026 gaat de meldplicht voor actief misbruikte kwetsbaarheden en incidenten in. En vanaf 11 december 2027 gaan alle eisen in en moeten alle ‘producten met digitale elementen’ die op de Europese markt gebracht worden voldoen aan de CRA.
Wat is nu precies een ‘product met digitale elementen’?
In beginsel vallen alle producten met digitale elementen die in de Europese Unie (EU) in de handel worden gebracht onder de Cyber Resilience Act (CRA). Onder producten met digitale elementen vallen alle software en hardware producten en bijbehorende oplossingen voor gegevensverwerking op afstand. Diensten vallen niet onder de CRA. Een oplossing voor gegevensverwerking op afstand valt alleen onder de CRA wanneer het essentieel is voor de functionaliteit van een product met digitale elementen dat onder de CRA valt. Ook afzonderlijke software- en hardwarecomponenten vallen onder de CRA.
Gebruikers in de EU moeten erop kunnen vertrouwen dat producten digitaal veilig zijn. Door de CRA moeten digitale producten aan essentiële veiligheidseisen voldoen en moeten deze producten voor de hele verwachte gebruiksduur van het product veilig gehouden worden door veiligheidsupdates. Dit zorgt ervoor dat consumenten en bedrijven veilig gebruik kunnen maken van digitale producten.
Met andere woorden: alle producten met digitale elementen moeten vanaf 11 december 2027 voldoen aan de CRA. Dit zijn niet alleen fysieke producten zoals IoT-apparatuur, firewalls of netwerkapparatuur. Denk ook aan software zoals videogames, mobiele apps en besturingssystemen zoals Windows. Ook componenten zoals videokaarten en software libraries vallen onder de CRA. Deze digitale producten moeten veilig zijn ontworpen en gemaakt. Dit heet security-by-design.
De link naar de volledige wettekst van de CRA vindt u hier: https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng
Een link naar de Nederlandse ‘Gids Cyber Resilience Act’ versie 2.0 vindt u hier: https://www.rdi.nl/documenten/brochures/2025/09/19/gids-cyber-resilience-act
Het ondernemersplein wordt het platform voor de CRA, zie de link: ondernemersplein.nl
Praktisch advies CRA
- Controleer of jullie alleen producten integreren of ook zelf digitale producten ontwikkelen (zoals softwaremodules, HMI’s of (cloud)verbindingen). In dat laatste geval zou de CRA rechtstreeks op jullie van toepassing zijn.
- Integreer een centraal patch management in je serviceprocessen zodat je zowel de CRA meldplicht (vanaf 11-09-2026) als de VbM eis 1.1.9 kunt nakomen.
- Ontwikkel een duidelijk communicatie template voor de eindgebruiker (bijv. ‘Security Update Bulletin’) waarin je aangeeft: welke component, welke versie, waarom de update nodig is, en hoe/wanneer deze moet worden geïmplementeerd. De machinebouwer is juridisch verplicht (volgens VbM) om de eindgebruiker te informeren over alle benodigde beveiligingsupdates voor de volledige machine. De PLC- (of router-) fabrikant moet alleen de leverancier van de component informeren, die informatie wordt vervolgens door de machinebouwer doorgestuurd naar de eindgebruiker.
- Werk nauw samen met de PLC-leverancier (en andere leveranciers van digitale elementen) om te verifiëren dat hun producten CRA-conform zijn vóór 11 september 2026.
- Verwijs in jullie eigen conformiteitsdossier (onder de VbM) naar de cybersecuritymaatregelen, inclusief afhankelijkheden van CRA-conforme componenten. Waarbij een onderbouwde risicobeoordeling zeer belangrijk is.
Meer informatie is ook te vinden in de whitepaper ‘Cyberweerbaarheid en de Cyber Resilience Act (CRA)’ op de website van het Mikrocentrum:
Hierin staat stap voor stap de aanpak, vanaf pagina 10.
Conclusie
De voornoemde machine maakt gebruik van dergelijke digitale producten (bijvoorbeeld PLC met busnetwerk), maar wordt niet in zijn geheel gezien als ‘product met digitale elementen’. Eigenlijk kan je zeggen dat de CRA de machinefabrikant helpt met producten die voldoen aan de CRA, waarmee de machinefabrikant aan eis 1.1.9 ‘Bescherming tegen corruptie’ uit Bijlage III Deel B van de Verordening (EU) 2023/1230 kan voldoen. Echter een machinefabrikant is er niet door alleen maar ‘CRA proof’ producten in zijn machinebesturing te stoppen.
Deze vraag is beantwoord door:
Dhr. Toine Lueb van Compurity, website: https://www.compurity.eu
en
dhr. Nick de With van FUSACON B.V. website: https://www.fusacon.nl
Het laatste nieuws
