CRA voor consument-IoT: EN 303 645 en slimme-thuisbeveiliging
CRA en consument-IoT: standaardplichten; klasse I (bijlage III) voor slimme-thuisbeveiliging, interactief/trackend speelgoed en gezondheids-/kinderwearables.
In dit artikel
Consument-IoT is de sector met de grootste verscheidenheid aan CRA-verplichtingen. Van eenvoudige sensoren (Standaard, zelfbeoordeling) tot slimme deurbellen (Klasse I, aangemelde instantie mogelijk vereist). EN 303 645 biedt een uitstekend startpunt voor technische compliance. Per 22 mei 2026 is het geen geharmoniseerde CRA-norm en geeft het geen vermoeden van overeenstemming onder de CRA.
Deze gids behandelt CRA-compliance voor consument-IoT-fabrikanten.
Samenvatting
- Meeste consument-IoT valt in de standaard- of Klasse I-categorie
- Slimme-thuisproducten met beveiligingsfuncties zijn Klasse I (aangemelde instantie mogelijk)
- EN 303 645 biedt een sterke technische basis, maar is per 22 mei 2026 geen geharmoniseerde CRA-norm
- Standaardwachtwoorden zijn verboden – unieke referenties of afdwingen bij eerste gebruik
- 5-jaar minimum supportperiode voor beveiligingsupdates
- SBOM vereist voor alle IoT-producten
CRA-classificatie van consument-IoT
Standaardcategorie (zelfbeoordeling)
De meeste consument-IoT valt hier:
- Slimme speakers ZONDER algemeen toepasselijk virtueel assistent
- Slimme verlichting
- Slimme stopcontacten
- Basishomeautomatie-sensoren
- Eenvoudige draadloze thermostaten
- Verbonden speelgoed zonder sociale interactieve functies en zonder locatietracking
- Niet-gezondheids- en niet-kinderfitnessbanden
Klasse I (aangemelde instantie mogelijk)
Consument-IoT met beveiligingsfuncties of andere kwalificerende kenmerken (Bijlage III Klasse I):
- Slimme beveiligingscamera's (surveillance/monitoring)
- Slimme deursloten (toegangscontrole)
- Babymonitors (privacy-gevoelig)
- Alarmsystemen (beveiliging van woningen)
- Intercomsystemen met camera
- Slimme speakers MET een algemeen toepasselijk virtueel assistent
- Verbonden speelgoed onder Richtlijn 2009/48/EG met sociale interactieve functies (spreken of filmen) of locatietracking
- Gezondheidsmonitoring wearables die niet onder MDR/IVDR vallen, en wearables bestemd voor of door kinderen
Belangrijk: De CRA definieert slimme-thuisproducten met beveiligingsfuncties als Klasse I. Dit omvat deursloten, beveiligingscamera's, babymonitors en alarmsystemen.
De Bijlage III-grens
Het criterium is "beveiligingsfunctionaliteit" in een slimme-thuiscontext:
CONSUMENT-IoT CLASSIFICATIEMATRIX
STANDAARDCATEGORIE (zelfbeoordeling):
- Slimme speakers ZONDER een algemeen toepasselijk virtueel assistent
- Verbonden camera's zonder beveiligingsfunctie (bijv. gewone webcam of vergadercamera)
- Slimme verlichting
- Verbonden thermostaten
- Niet-gezondheids- en niet-kinderfitnessbanden
- Slimme huishoudapparaten
- Verbonden speelgoed zonder sociale interactieve functies en zonder locatietracking
- Algemene slimme thuisapparaten
KLASSE I (zelfbeoordeling met geharmoniseerde normen OF derde partij)
(Bijlage III, Deel I):
Punt 16:
- Slimme speakers MET een algemeen toepasselijk virtueel assistent
Punt 17 (beveiligingsfunctie):
- Beveiligingscamera's, babyfoons, alarmsystemen, slimme deursloten
Punt 18 (speelgoed):
- Verbonden speelgoed onder Richtlijn 2009/48/EG met sociale
interactieve functies (spreken of filmen) of locatietracking
(speelgoed zonder die kenmerken blijft Standaard)
Punt 19 (wearables):
- Gezondheidsmonitoring wearables die niet onder MDR/IVDR vallen
- Wearables bestemd voor of door kinderen
(niet-gezondheids- en niet-kinderfitnessbanden blijven Standaard)
EN 303 645 en CRA-afstemming
Wat is ETSI EN 303 645?
EN 303 645 "Cybersecurity for Consumer Internet of Things" is de Europese norm voor basisbeveiliging van consument-IoT. De norm definieert:
- 13 beveiligingsmaatregelen
- Praktische implementatierichtlijnen
- Testbare vereisten
EN 303 645 ↔ CRA-mapping
| EN 303 645-maatregel | CRA-vereiste | Uitlijning |
|---|---|---|
| 5.1 Geen universele standaardwachtwoorden | Veilig door standaard | Uitstekend |
| 5.2 Kwetsbaarheidsopenbaarmaking | CVD-beleid | Goede uitlijning |
| 5.3 Software-updates | Beveiligingsupdates | Goede uitlijning |
| 5.4 Veilige opslag van gevoelige gegevens | Gegevensbescherming | Goede uitlijning |
| 5.5 Communiceer veilig | Versleuteling | Goede uitlijning |
| 5.6 Minimaliseer aanvalsoppervlak | Aanvalsoppervlaktevermindering | Goede uitlijning |
| 5.7 Zorg voor software-integriteit | Firmware-integriteit | Goede uitlijning |
| 5.8 Zorg voor persoonlijke gegevensbescherming | Dataminimalisatie | Gedeeltelijk |
| 5.9 Maak systemen veerkrachtig tegen storingen | Beschikbaarheid | Gedeeltelijk |
| 5.10 Verwerkingssystemen voor telemetriegegevens | Audit logging | Gedeeltelijk |
| 5.11 Maak het voor gebruikers eenvoudig | Gebruikersdocumentatie | Gedeeltelijk |
| 5.12 Valideer invoergegevens | Invoervalidatie | Goede uitlijning |
| 5.13 Zorg voor integriteit en vertrouwelijkheid van telemetriegegevens | Data-integriteit | Goede uitlijning |
| SBOM | Vereist door CRA | Aandachtspunt |
| CE-markering | Vereist door CRA | Aandachtspunt |
| ENISA-rapportage | Vereist door CRA | Aandachtspunt |
EN 303 645 als CRA-basis gebruiken
EN 303 645 → CRA-COMPLIANCEBENADERING
ALS U AL EN 303 645 GEÏMPLEMENTEERD HEBT:
→ Hergebruik documenten over beveiligingsmaatregelen
→ Wijs maatregelen toe aan CRA essentiële eisen
→ Bewijs voor technisch dossier
ALS U EN 303 645 AAN HET IMPLEMENTEREN BENT:
→ Gebruik het als technische basis voor CRA
→ Implementeer alle 13 maatregelen
→ Voeg CRA-specifieke vereisten toe bovenop
AANVULLEND VOOR CRA:
[ ] SBOM-generatie implementeren
[ ] ENISA-rapportagecapaciteit opzetten
[ ] 5-jaar supporttoezegging documenteren
[ ] EU-conformiteitsverklaring opstellen
[ ] CE-markering aanbrengen
Technische vereisten voor consument-IoT
Geen standaardwachtwoorden
Dit is de meest directe CRA-vereiste voor IoT:
WACHTWOORDVEREISTEN VOOR IoT
VERBODEN:
- Universele standaardwachtwoorden (bijv. "admin/admin")
- Wachtwoorden gebaseerd op apparaatidentifiers
- Makkelijk raadbare wachtwoorden
VERPLICHT (kies één aanpak):
OPTIE A: Uniek wachtwoord per apparaat
- Genereer uniek wachtwoord in fabriek
- Druk af op apparaat/verpakking
- Sla veilig op voor klantenservice
OPTIE B: Afdwingen wachtwoordinstellingen bij eerste gebruik
- Geen fabrieksstandaard ingesteld
- Vereist aanmaken wachtwoord bij activering
- Zet complexiteitsvereisten af
- Blokkeer het apparaat totdat wachtwoord ingesteld is
Veilige updateprocedures
VEREISTEN FIRMWARE-UPDATES
TECHNISCHE VEREISTEN:
[ ] Updates cryptografisch ondertekend
[ ] Handtekening geverifieerd vóór installatie
[ ] Beveiligde downloadkanaal (TLS)
[ ] Rollback-mogelijkheid bij mislukte update
[ ] Versienummering en changelogs
GEBRUIKERSCONTROLE:
[ ] Gebruiker kan updates uitstellen (maar niet voor onbepaalde tijd)
[ ] Automatische updates standaard ingeschakeld (gebruiker kan uitschakelen)
[ ] Duidelijke updatenotificaties
[ ] Updatestatus zichtbaar voor gebruiker
STANDAARD FIRMWARE-UPDATE VEREISTEN:
- Automatische beveiligingsupdates standaard ingeschakeld
- Gebruiker moet actief beslissing nemen om uit te schakelen
- Aanbevolen: informeer gebruiker over beveiligingsrisico bij uitschakelen
Gegevensbescherming voor IoT
GEGEVENSVEREISTEN CONSUMENT-IoT
DATAMINIMALISATIE:
[ ] Alleen noodzakelijke gegevens verzamelen
[ ] Bewaartermijnen definiëren
[ ] Automatische verwijdering van oude gegevens
[ ] Gerechtvaardigdheid gedocumenteerd voor elk gegevenstype
VERSLEUTELING:
[ ] Data-in-transit: TLS 1.2+ (TLS 1.3 aanbevolen)
[ ] Data-in-rust: versleuteling voor gevoelige gegevens
[ ] Sleutelbeheer gedocumenteerd
GEBRUIKERSRECHTEN:
[ ] Gebruiker kan gegevens verwijderen
[ ] Gebruiker kan account deactiveren
[ ] Optionele gegevensverzameling duidelijk aangegeven
SBOM voor IoT-producten
Firmwarecomponenten opnemen
IoT-producten hebben unieke SBOM-uitdagingen:
IoT SBOM-BENADERING
SOFTWARECOMPONENTEN:
- RTOS/embedded OS (bijv. FreeRTOS, Zephyr, Linux)
- Communicatiestacks (Wi-Fi, Bluetooth, Zigbee)
- Beveiligingsbibliotheken (TLS, cryptografie)
- Applicatiesoftware
- Cloudverbindingsmodules
FIRMWARE:
- Bootloader
- Apparaatfirmware
- Flashbare configuraties
AANPAK:
[ ] Gebruik Syft of Trivy voor firmware-SBOM-generatie
[ ] Neem alle directe en transitieve afhankelijkheden op
[ ] Documenteer proprietaire componenten handmatig
[ ] Update bij elke firmwarerelease
Leveranciersafhankelijkheden
Veel IoT-producten gebruiken modules van derden:
- Wi-Fi-modules (bijv. ESP32, Qualcomm)
- Bluetooth-chips
- Beveiligde elementen
- Cloud-SDK's
Voor elk van deze componenten:
- Vraag SBOM bij de leverancier
- Neem componentspecifieke kwetsbaarheden op
- Documenteer supportperiodeverbintenissen van leveranciers
Kwetsbaarheidsbeheer voor IoT
CVD-beleid voor IoT-fabrikanten
Uw IoT-producten hebben een gepubliceerd kwetsbaarheidsmeldingsproces nodig:
CVD-BELEID MINIMUMVEREISTEN
CONTACT PUBLICEREN:
[ ] security.txt op uw domein
[ ] E-mailadres of webformulier
[ ] Reactietijdstoezegging (bijv. 3 werkdagen)
BELEIDSDOCUMENT:
[ ] Reikwijdte (welke producten)
[ ] Hoe te melden
[ ] Responstijdlijn
[ ] Wat ontdekkers kunnen verwachten
TALEN:
[ ] Engels (vereist)
[ ] Nederlands aanbevolen voor NL-markt
ENISA-rapportage
Vanaf september 2026 moeten fabrikanten actief misbruikte kwetsbaarheden melden:
ENISA-RAPPORTAGE (CRA-specifiek, Art. 14)
Spoor (a) - Actief misbruikte kwetsbaarheid:
- Vroege waarschuwing binnen 24 uur na bekendwording
- Kwetsbaarheidsnotificatie binnen 72 uur na bekendwording
- Eindrapport uiterlijk 14 dagen nadat een corrigerende of
beperkende maatregel beschikbaar is
Spoor (b) - Ernstig incident (impact op beveiliging van het product):
- Vroege waarschuwing binnen 24 uur na bekendwording
- Incidentnotificatie binnen 72 uur na bekendwording
- Eindrapport binnen een maand na de incidentnotificatie
Gebruik het ENISA Single Reporting Platform voor beide sporen.
NIET RAPPORTEREN:
- Kwetsbaarheden die gevonden maar niet actief misbruikt zijn
- Kwetsbaarheden die al zijn gepatcht vóór misbruik
VERANTWOORDELIJKHEID:
Aangewezen beveiligingsverantwoordelijke
Intern escalatiepad
Praktische nalevingsstappenplan
Fase 1: Productbeoordeling (Nu - medio 2026)
CONSUMENT-IoT PRODUCTEVALUATIE
PRODUCTCATALOGUS:
[ ] Alle IoT-producten met digitale elementen weergeven
[ ] CRA-classificatie per product bepalen
[ ] Klasse I-producten identificeren (beveiligingsfuncties)
KLOOFSANALYSE:
[ ] Huidige wachtwoordbeleid beoordelen
[ ] Firmware-updatemechanisme beoordelen
[ ] SBOM-mogelijkheden beoordelen
[ ] CVD-beleid beoordelen
TIJDLIJN:
[ ] Deadline voor producten per categorie bepalen
[ ] Klasse II-producten identificeren (aangemelde instantie)
Fase 2: Technische uitvoering (Medio - sept. 2026)
TECHNISCHE UITVOERINGSSTAPPEN
WACHTWOORDHARDENING:
[ ] Universele standaardwachtwoorden verwijderen
[ ] Unieke wachtwoorden of afdwingingsproces implementeren
[ ] Gebruikersdocumentatie bijwerken
FIRMWARE-UPDATES:
[ ] Update-ondertekeningssysteem implementeren
[ ] Automatisch updatekanaal opzetten
[ ] Rollback-mechanisme testen
SBOM-GENERATIE:
[ ] SBOM-tools geïntegreerd in bouw-pipeline
[ ] Eerste SBOM voor elk product gegenereerd
[ ] Kwaliteit gevalideerd (TR-03183-niveau)
KWETSBAARHEIDSBEHEER:
[ ] security.txt gepubliceerd
[ ] CVD-beleid gepubliceerd
[ ] Interne triageprocedure vastgesteld
Fase 3: Compliance (Sept. 2026 - dec. 2027)
COMPLIANCEFASE
SEPTEMBER 2026:
[ ] ENISA-rapportagecapaciteit operationeel
[ ] Intern escalatieproces actief
DOOR 2027:
[ ] Technisch dossier voltooid
[ ] Conformiteitsbeoordeling uitgevoerd
[ ] EU-conformiteitsverklaring ondertekend
[ ] CE-markering aangebracht op alle producten
DECEMBER 2027:
[ ] Volledige CRA-compliance
[ ] Alle IoT-producten conform
[ ] Ondersteuningsperiodes gecommuniceerd
Checklist voor consument-IoT-fabrikanten
CHECKLIST CRA-GEREEDHEID CONSUMENT-IoT
PRODUCTCLASSIFICATIE:
[ ] Alle producten geclassificeerd
[ ] Klasse I-producten geïdentificeerd
[ ] Conformiteitsbeoordelingsroute per product bepaald
BEVEILIGING:
[ ] Standaardwachtwoorden verwijderd
[ ] Veilig updatemechanisme geïmplementeerd
[ ] Communicatieversleuteling geïmplementeerd
[ ] Invoervalidatie geïmplementeerd
SBOM:
[ ] SBOM-generatie geautomatiseerd
[ ] Alle firmwarecomponenten opgenomen
[ ] Kwetsbaarheidsstatus gedocumenteerd
KWETSBAARHEIDSBEHEER:
[ ] security.txt gepubliceerd
[ ] CVD-beleid gepubliceerd
[ ] ENISA-rapportagecapaciteit gereed (sept. 2026)
DOCUMENTATIE:
[ ] Technisch dossier voor elk product
[ ] Risicobeoordeling per product
[ ] Gebruikersbeveiligingsgids
LIFECYCLE:
[ ] 5-jaar supportperiode vastgesteld
[ ] End-of-support gecommuniceerd
[ ] Updatelevering getest
Tip: EN 303 645-implementatie geeft u een sterke technische basis. Voeg SBOM-generatie, ENISA-rapportage en CRA-conformiteitsdocumentatie toe, en behandel EN 303 645 niet als een vermoeden van overeenstemming totdat een CRA-geharmoniseerde norm formeel is geciteerd.
Gerelateerde gidsen:
- CRA-productclassificatie: Is uw product Standaard, Belangrijk of Kritisch?
- Zijn slimme camera's Belangrijke Producten onder de EU Verordening cyberweerbaarheid?
Veelgestelde vragen
Is EN 303 645 een geharmoniseerde norm onder de CRA?
Nee. Per 22 mei 2026 is EN 303 645 niet gepubliceerd als geharmoniseerde norm onder de CRA in het Publicatieblad van de EU. Het blijft nuttig technisch bewijs voor consument-IoT-beveiliging, maar levert geen vermoeden van overeenstemming met de CRA op.
Kan EN 303 645 toch helpen bij CRA-conformiteit?
Ja. EN 303 645 dekt veel basiscontroles voor consument-IoT, waaronder wachtwoordpraktijken, het openbaar maken van kwetsbaarheden, updates en gegevensbescherming. CRA-specifiek bewijs blijft nodig voor SBOM, Artikel 14-melding, CE-markering, EU-conformiteitsverklaring en het technisch dossier.
Hebben de meeste consument-IoT-producten een aangemelde instantie nodig?
De meeste consument-IoT-producten vallen waarschijnlijk in de Standaard-categorie en kunnen gebruikmaken van zelfbeoordeling, maar de classificatie hangt af van de productfunctie. Hubs, wachtwoordbeheerders, VPN-producten en beveiligingsproducten kunnen in een Belangrijke klasse vallen en vereisen een ander conformiteitstraject.
Wat voegt de CRA toe boven EN 303 645?
De CRA voegt de wettelijke conformiteitsbeoordeling, CE-markering, technische documentatie, openbaarmaking van de ondersteuningsperiode, SBOM-verwachtingen en de melding van kwetsbaarheden en incidenten uit Artikel 14 toe. EN 303 645 is een basisbeveiligingsnorm en geen volledig CRA-conformiteitssysteem.
Moet ik wachten op geharmoniseerde CRA-normen voordat ik IoT-beveiliging verbeter?
Nee. Implementeer nu basiscontroles en houd de bewijsstukken in kaart gebracht tegen Bijlage I van de CRA. Wanneer geharmoniseerde CRA-normen worden gepubliceerd, vergelijkt u de definitieve tekst met uw bestaande EN 303 645-controles en dicht u eventuele gaten.
Hoe CRA Evidence helpt
CRA Evidence ondersteunt consument-IoT-fabrikanten:
- Productclassificatiewizard: Bepaal snel uw classificatie
- SBOM-beheer: IoT-firmware SBOM-beheer
- CVD-sjablonen: Ready-to-use kwetsbaarheidsopenbaarmaking
- Technisch dossier: Documentatiestructuur voor IoT-producten
Start uw CRA-compliance op craevidence.com.
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.
Gerelateerde artikelen
CRA voor Duitse fabrikanten: BSI, CERT-Bund en CE-markering
Is de CRA van toepassing op uw product?
Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Verordening cyberweerbaarheid valt. Ontvang uw resultaat in minder dan 2 minuten.
Klaar om CRA-conformiteit te bereiken?
Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.