De Europese Unie scherpt de beveiligingseisen voor slimme apparaten aan met de Cyber Resilience Act (CRA). Fabrikanten van embedded systemen en IoT‑producten in Nederland en Europa moeten de komende jaren aantoonbaar veilig ontwerpen, updaten en melden. Dat raakt ook de Europese AI-verordening gevolgen overheid, vooral bij inkoop van sensoren en slimme systemen. Dit stappenplan legt uit wat nu te doen is en wanneer.
Nieuwe EU-eisen voor IoT
De CRA geldt voor “producten met digitale elementen”, zoals gateways, slimme meters, medische sensoren en firmware. Fabrikanten moeten risico’s beheersen, kwetsbaarheden afhandelen en beveiligingsupdates leveren. Importeurs en distributeurs krijgen controleplichten. Overtredingen kunnen leiden tot boetes en het intrekken van de CE‑markering.
Op het moment van schrijven treedt het grootste deel van de verplichtingen na ongeveer 36 maanden in werking. Voor meldplichten rond actief misbruikte kwetsbaarheden en incidenten gelden kortere termijnen, vaak rond 21 maanden. Wie vroeg begint, beperkt herontwerp en kosten in de supply chain. Voor mkb’ers zijn bestaande normen en tools een snelle route.
De wet bouwt voort op Europese regels zoals NIS2 en de AVG. Het doel is “security by design” en een langere levensduur van veilige producten. Dat vraagt om processen, niet alleen technische fixes. Bedrijven moeten dit borgen in ontwikkeling, inkoop en service.
Start met risicoanalyse
Begin met een productclassificatie en bedreigingsmodel. Breng functies, datastromen en misbruikscenario’s in kaart. Noteer welke persoonlijke gegevens worden verwerkt en waarom. Dit helpt keuzes te maken die passen bij de AVG, zoals dataminimalisatie en versleuteling.
Bepaal of uw product in een kritische klasse valt. Voor sommige categorieën zijn strengere beoordelingen door een aangewezen keuringsinstantie nodig. Denk aan netwerkbeveiligingsproducten of identiteitsbeheer. Voor de meeste IoT‑consumentenproducten volstaat een interne beoordeling met duidelijke onderbouwing.
Leg risico’s en mitigerende maatregelen vast in een beknopt dossier. Gebruik eenvoudige methodes zoals STRIDE of een checklist per interface. Actualiseer dit bij elke grote firmware‑release. Dit dossier wordt onderdeel van de technische documentatie voor CE.
Bouw een PSIRT-proces
Richt een PSIRT in: een team dat productkwetsbaarheden ontvangt, beoordeelt en oplost. Publiceer een laagdrempelige kwetsbaarheidsmeldpagina (VDP) met PGP‑sleutel. Spreek met onderzoekers redelijke termijnen af voor disclosure. Registreer alle stappen en beslissingen.
Gebruik bekende normen als kapstok. ISO/IEC 30111 (afhandeling) en ISO/IEC 29147 (disclosure) sluiten aan bij de CRA‑eisen. Voor de organisatiebrede borging helpt ISO/IEC 27001. Koppel het PSIRT aan klantenservice en legal voor snellere respons.
Houd rekening met meldplichten. Op het moment van schrijven vraagt de CRA om snelle melding van actief misbruikte kwetsbaarheden en ernstige incidenten, binnen circa 24 uur na ontdekking. Gebruik waar mogelijk de centrale EU‑kanalen voor rapportage. Oefen dit proces vooraf met table‑top scenario’s.
Techniek: updates en beveiliging
Bouw veilige updates in vanaf dag één. Gebruik ondertekende firmware, secure boot (beveiligde start) en rollback‑bescherming. Regel OTA‑updates (draadloze updates) met versleuteling. Documenteer hoe lang u updates levert en hoe gebruikers die ontvangen.
Schakel standaardwachtwoorden uit en dwing unieke inloggegevens af. Minimaliseer open poorten en services. Versleutel gevoelige data in rust en tijdens transport. Log cruciale gebeurtenissen, maar verzamel niet meer persoonsgegevens dan nodig is (AVG‑principe).
Beheer de softwareketen. Houd een Software Bill of Materials (SBOM) bij met gebruikte componenten en licenties. Scan op bekende kwetsbaarheden en vervang end‑of‑life libraries. Borg prestatie‑impact en batterijverbruik bij elke beveiligingsmaatregel.
Documentatie en CE-markering
Maak een compleet technisch dossier. Voeg designkeuzes, risicobeoordeling, testresultaten, update‑beleid, PSIRT‑procedures en de SBOM toe. Bewaar dit ten minste tien jaar na het op de markt brengen. Stel een EU‑conformiteitsverklaring op en breng de CE‑markering aan.
Baseer u op geharmoniseerde normen zodra CEN/CENELEC en ETSI deze publiceren. Tot die tijd bieden ETSI EN 303 645 (consumenten‑IoT) en delen van IEC 62443 (industriële automatisering) bruikbare handvatten. In Nederland publiceert NEN de nationale versies. Dit maakt aantonen van conformiteit eenvoudiger bij audits.
Plan tijdig voor producten in kritische klassen. Dan kan een aangewezen instantie meelezen in ontwerp en testen. Reserveer budget en doorlooptijd in de roadmap. Betrek ook toeleveranciers bij de documentatieplicht.
De CRA eist dat fabrikanten kwetsbaarheden kunnen ontvangen, beoordelen en verhelpen — en deze aanpak aantoonbaar vastleggen in de technische documentatie voor CE.
AI-verordening gevolgen overheid
Gebruikt uw apparaat AI voor beslissingen, zoals beeldherkenning of voorspellend onderhoud? Dan kan ook de Europese AI‑verordening (AI Act) gelden. Hoogrisico‑toepassingen krijgen extra plichten rond datakwaliteit, logging en menselijke controle. Deze eisen komen boven op de CRA‑verplichtingen.
Voor Nederlandse overheden speelt dit direct bij inkoop. Aanbestedingen vragen steeds vaker om CRA‑conformiteit, een SBOM en AI‑risicobeheer. Leveranciers die dit nu inbouwen, scoren beter op compliance en lifecycle‑kosten. Dit verkleint ook lock‑in bij updates en onderdelen.
Let op de samenloop met de AVG. AI‑functies in sensoren verwerken vaak persoonsgegevens. Documenteer grondslag, bewaartermijn en privacy‑maatregelen. Combineer daarom security‑by‑design (CRA) met privacy‑by‑design (AVG) in één ontwikkelproces.
