CRA-naleving voor automotivleveranciers: ISO/SAE 21434 en typegoedkeuring

De Europese automotiefketen heeft de meest complexe CRA-situatie van alle sectoren. Sommige producten zijn vrijgesteld. Sommige vallen zowel onder de CRA als onder voertuigregelgeving. En de toeleveringsketen strekt zich uit over meerdere niveaus, waarbij elke laag zijn eigen complianceverplichtingen heeft.

Deze gids behandelt CRA-compliance vanuit het perspectief van automotivleveranciers.

Samenvatting

• Voertuigcomponenten die onder typegoedkeuring vallen zijn vrijgesteld van de CRA
• Autonome software en aftermarket-producten kunnen volledig onder de CRA vallen
• ISO/SAE 21434 biedt een goede basis maar dekt niet alle CRA-vereisten
• SBOM-vereisten zijn nieuw ten opzichte van bestaande automotive cybersecuritynormen
• Tier 1/2/3-leveranciers moeten begrijpen hoe verplichtingen door de keten stromen

Welke automotiveproducten vallen onder de CRA?

Vrijstellingen begrijpen

De CRA bevat een expliciete vrijstelling voor motorvoertuigen en aanverwante producten die al onder bestaande EU-typegoedkeuringsregelgeving vallen:

Vrijgesteld (typegoedkeuring dekt dit):

• ECU's en regeleenheden die zijn geïntegreerd in voertuigen onder Verordening (EU) 2019/2144
• Voertuiggateways die deel uitmaken van de typegoedkeuring
• OBD-systemen die zijn gecertificeerd als onderdeel van voertuigcertificering

Mogelijk onder de CRA (geval per geval beoordelen):

• Standalone softwaretools voor diagnose en onderhoud
• Aftermarket-verbindingsapparaten die worden verkocht aan consumenten
• Fleet management software die wordt verkocht als zelfstandig product
• Testequipment voor automotive
• Voertuigsimulatoren en trainingssystemen

Vrijstellingslogica:

VRIJSTELLINGSCONTROLE VOOR AUTOMOTIVE

VRAAG 1: Is het product een motorvoertuig?
→ JA: Kijk naar typegoedkeuring (Verordening 2019/2144)
→ NEE: Ga door naar vraag 2

VRAAG 2: Is het onderdeel van een voertuig dat
         UITSLUITEND voor gebruik in dat voertuig is?
→ JA: Mogelijk vrijgesteld als het onder typegoedkeuring valt
→ NEE: Ga door naar vraag 3

VRAAG 3: Wordt het zelfstandig verkocht, buiten
         voertuigtypegoedkeuring?
→ JA: CRA waarschijnlijk van toepassing
→ NEE: Beoordeel op basis van typegoedkeuringsdekking

BEVESTIG ALTIJD MET PRIMAIRE BRON: Raadpleeg de definitieve CRA-
vrijstellingsleidraad van de Europese Commissie voor de
uiteindelijke classificatie van uw product.

Aftermarket versus OEM

De vrijstellingsgrenslijn loopt tussen integratie in het voertuig (OEM) en afzonderlijke verkoop (aftermarket):

ISO/SAE 21434 en CRA-afstemming

Wat is ISO/SAE 21434?

ISO/SAE 21434 "Road vehicles — Cybersecurity engineering" is de internationale norm voor automotive cybersecurity. Deze behandelt:

• Cybersecuritymanagement (CSMS)
• Risicobeoordelingsmethoden (TARA — Threat Analysis and Risk Assessment)
• Conceptuele productontwikkeling met cybersecurity
• Gedetailleerde ontwerp- en implementatierichtlijnen
• Verificatie en validatie
• Operationele en onderhoudsfasen

ISO/SAE 21434 ↔ CRA-mapping

Certificering voor CRA-producten benutten

Als uw product onder de CRA valt (zelfstandige automotive software/hardware), is bestaande ISO/SAE 21434-certificering waardevol maar niet voldoende:

ISO/SAE 21434 → CRA-BENADERING

ALS U ISO/SAE 21434 CSMS HEBT:
→ Gebruik CSMS-documentatie als bewijs voor SDL
→ Toon beveiligingsontwikkelingslevenscyclus aan
→ Lever bewijs voor risicobeoordeling (TARA-documenten)

ALS U ISO/SAE 21434 TARA HEBT UITGEVOERD:
→ Hergebruik TARA als CRA-risicobeoordeling (pas aan waar nodig)
→ Wijs TARA-dreigingen toe aan CRA-essentiële eisen
→ Documenteer restrisico's per CRA-format

AANVULLEND VOOR CRA:
[ ] SBOM-generatie implementeren
[ ] ENISA-rapportagecapaciteit opzetten
[ ] 5-jaar supporttoezegging documenteren
[ ] EU-conformiteitsverklaring opstellen
[ ] CE-markering aanbrengen

Praktische compliancestappen

Fase 1: Productenscoping (Nu - medio 2026)

AUTOMOTIVLEVERANCIER — PRODUCTBEOORDELING

PRODUCTENLIJST:
[ ] Alle producten met digitale elementen inventariseren
[ ] Per product vaststellen: typegoedkeuring of CRA?
[ ] Zelfstandige software/hardware identificeren
[ ] Aftermarket-producten identificeren

VRIJSTELLINGSANALYSE:
[ ] Typegoedkeuringsdekking per product controleren
[ ] Juridisch advies inwinnen voor grensgevallen
[ ] Vrijstellingsbeslissingen documenteren

CLASSIFICATIE (voor CRA-producten):
[ ] Standaard, Belangrijk Klasse I of Klasse II?
[ ] Aanmeldende instantie identificeren indien vereist

Fase 2: Compliancevoorbereiding (Medio 2026 - sept. 2026)

VOORBEREIDINGSFASE

TECHNISCH:
[ ] SBOM-generatie implementeren
[ ] Kwetsbaarheidsbeheerproces opzetten
[ ] ENISA-rapportagecapaciteit voorbereiden
[ ] Beveiligingsbaselines bijwerken

DOCUMENTATIE:
[ ] Technisch dossier opzetten
[ ] Beveiligingsdocumentatie bijwerken
[ ] Gebruikersbegeleiding voor veilige implementatie opstellen
[ ] Supportperiodecommunicatie voorbereiden

Fase 3: Compliance (Sept. 2026 - dec. 2027)

COMPLIANCEFASE

SEPTEMBER 2026:
[ ] Kwetsbaarheidsmeldingen operationeel
[ ] ENISA SRP-registratie

DOOR 2027:
[ ] Conformiteitsbeoordelingen afronden
[ ] Aanmeldende instanties inschakelen (Klasse II)
[ ] Alle productdocumentatie bijwerken

DECEMBER 2027:
[ ] Alle producten CRA-compliant
[ ] CE-markering aangebracht
[ ] Klantcommunicatie afgerond

Ketenverantwoordelijkheden

OEM-leveranciersrelaties

In de automotive-keten hebben OEM's en Tier 1/2-leveranciers verdeelde CRA-verantwoordelijkheden:

CRA-VERANTWOORDELIJKHEDEN IN DE AUTOMOTIVE-KETEN

VOOR VRIJGESTELDE VOERTUIGCOMPONENTEN:
OEM → Verantwoordelijk voor typegoedkeuring
Tier 1 → Levert aan OEM-specificaties
Tier 2/3 → Levert componenten aan Tier 1

VOOR ZELFSTANDIGE CRA-PRODUCTEN:
Producent van het zelfstandige product →
  Verantwoordelijk voor CRA-conformiteit
  Conformiteitsbeoordeling
  SBOM
  Kwetsbaarheidsbeheer
  CE-markering

Contractuele overwegingen

Automotivleveranciers moeten CRA-vereisten in de keten adresseren:

Van klanten ontvangen:

• Specificaties die cybersecurity-eisen bevatten
• Vereisten voor SBOM-levering
• Kwetsbaarheidsnotificatiebepalingen
• Supportperiodeverplichtingen

Aan leveranciers opleggen:

• SBOM-levering voor componenten
• Beveiligingsscanresultaten
• Kwetsbaarheidsnotificatiebepalingen
• Ondersteuning bij conformiteitsbeoordeling

Checklist voor automotivleveranciers

CHECKLIST CRA-GEREEDHEID AUTOMOTIVLEVERANCIERS

PRODUCTBEOORDELING:
[ ] Typegoedkeuringsvrijstelling beoordeeld
[ ] CRA-producten geïdentificeerd
[ ] Classificatie vastgesteld

ISO/SAE 21434 UITLIJNING:
[ ] Bestaande 21434-certificeringen in kaart gebracht
[ ] Aandachtspunten ten opzichte van CRA geïdentificeerd
[ ] Actieplan voor aandachtspunten

TECHNISCHE COMPLIANCE:
[ ] SBOM-generatiecapaciteit
[ ] Kwetsbaarheidsbeheerproces
[ ] ENISA-rapportagecapaciteit

DOCUMENTATIE:
[ ] Technisch dossier opgesteld
[ ] Risicobeoordeling gedocumenteerd
[ ] Beveiligingsarchitectuur gedocumenteerd
[ ] Gebruikersbegeleiding opgesteld

LIFECYCLE:
[ ] 5-jaar supportperiode vastgesteld
[ ] Updateleveringsmechanisme
[ ] End-of-life-planning
[ ] Veiligheidshervalidatieproces voor updates

KETEN:
[ ] SBOM-vereisten voor leveranciers
[ ] Componentbeveiligingsbeoordeling
[ ] Ketensdocumentatie

Belangrijk: Automotive-producten die onder typegoedkeuring vallen zijn vrijgesteld van de CRA. Zelfstandige softwaretools, aftermarket-apparaten en diagnosesystemen zijn dat waarschijnlijk niet.

Gerelateerde gidsen:

• CRA-productclassificatie: Is uw product Standaard, Belangrijk of Kritisch?
• CRA-conformiteitsbeoordeling: Module A vs. B+C vs. H beslissingsgids

Hoe CRA Evidence helpt

CRA Evidence ondersteunt automotivleveranciers:

• ISO/SAE 21434-mapping: Templates afgestemd op 21434-structuur
• SBOM-beheer: Ondersteuning voor automotive-componenttracking
• Kwetsbaarheidsopsporing: Automotive-productbeheer voor kwetsbaarheden
• Compliance-bewijs: Bewijsverzameling voor indiening bij aanmeldende instanties

Start uw CRA-compliance op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.