CRA-compliance voor consument-IoT: EN 303 645-afstemming en gids voor slimme-thuisbeveiliging

Consument-IoT is de sector met de grootste verscheidenheid aan CRA-verplichtingen. Van eenvoudige sensoren (Standaard, zelfbeoordeling) tot slimme deurbellen (Klasse I, aangemelde instantie mogelijk vereist). EN 303 645 biedt een uitstekend startpunt voor technische compliance.

Deze gids behandelt CRA-compliance voor consument-IoT-fabrikanten.

Samenvatting

• Meeste consument-IoT valt in de standaard- of Klasse I-categorie
• Slimme-thuisproducten met beveiligingsfuncties zijn Klasse I (aangemelde instantie mogelijk)
• EN 303 645 biedt sterke technische basis voor CRA-compliance
• Standaardwachtwoorden zijn verboden — unieke referenties of afdwingen bij eerste gebruik
• 5-jaar minimum supportperiode voor beveiligingsupdates
• SBOM vereist voor alle IoT-producten

CRA-classificatie van consument-IoT

Standaardcategorie (zelfbeoordeling)

De meeste consument-IoT valt hier:

• Slimme speakers (alleen audio, geen bewakingsfunctie)
• Slimme verlichting
• Slimme stopcontacten
• Basishomeautomatie-sensoren
• Eenvoudige draadloze thermostaten

Klasse I (aangemelde instantie mogelijk)

Consument-IoT met beveiligingsfuncties:

• Slimme beveiligingscamera's (surveillance/monitoring)
• Slimme deursloten (toegangscontrole)
• Babymonitors (privacy-gevoelig)
• Alarmsystemen (beveiliging van woningen)
• Intercomsystemen met camera

Belangrijk: De CRA definieert slimme-thuisproducten met beveiligingsfuncties als Klasse I. Dit omvat deursloten, beveiligingscamera's, babymonitors en alarmsystemen.

De Bijlage III-grens

Het criterium is "beveiligingsfunctionaliteit" in een slimme-thuiscontext:

SLIMME-THUISCLASSIFICATIEMATRIX

KLASSE I (Bijlage III, Deel I, punt 17):
"Slimme-thuisproducten met beveiligingsfunctionaliteiten,
inclusief slimme deursloten, beveiligingscamera's,
babyfoons en alarmsystemen"

TOETSVRAAG:
Heeft het product een beveiligingsfunctionaliteit?
→ Deur-/raamvergrendeling: JA → Klasse I
→ Videoopname/-bewaking: JA → Klasse I
→ Alarmmeldingen: JA → Klasse I
→ Toegangscontrole: JA → Klasse I
→ Alleen temperatuurregistratie: NEE → Standaard
→ Alleen lichtregeling: NEE → Standaard

EN 303 645 en CRA-afstemming

Wat is ETSI EN 303 645?

EN 303 645 "Cybersecurity for Consumer Internet of Things" is de Europese norm voor basisbeveiliging van consument-IoT. De norm definieert:

• 13 beveiligingsmaatregelen
• Praktische implementatierichtlijnen
• Testbare vereisten

EN 303 645 ↔ CRA-mapping

EN 303 645 als CRA-basis gebruiken

EN 303 645 → CRA-COMPLIANCEBENADERING

ALS U AL EN 303 645 GEÏMPLEMENTEERD HEBT:
→ Hergebruik documenten over beveiligingsmaatregelen
→ Wijs maatregelen toe aan CRA essentiële eisen
→ Bewijs voor technisch dossier

ALS U EN 303 645 AAN HET IMPLEMENTEREN BENT:
→ Gebruik het als technische basis voor CRA
→ Implementeer alle 13 maatregelen
→ Voeg CRA-specifieke vereisten toe bovenop

AANVULLEND VOOR CRA:
[ ] SBOM-generatie implementeren
[ ] ENISA-rapportagecapaciteit opzetten
[ ] 5-jaar supporttoezegging documenteren
[ ] EU-conformiteitsverklaring opstellen
[ ] CE-markering aanbrengen

Technische vereisten voor consument-IoT

Geen standaardwachtwoorden

Dit is de meest directe CRA-vereiste voor IoT:

WACHTWOORDVEREISTEN VOOR IoT

VERBODEN:
- Universele standaardwachtwoorden (bijv. "admin/admin")
- Wachtwoorden gebaseerd op apparaatidentifiers
- Makkelijk raadbare wachtwoorden

VERPLICHT (kies één aanpak):
OPTIE A: Uniek wachtwoord per apparaat
- Genereer uniek wachtwoord in fabriek
- Druk af op apparaat/verpakking
- Sla veilig op voor klantenservice

OPTIE B: Afdwingen wachtwoordinstellingen bij eerste gebruik
- Geen fabrieksstandaard ingesteld
- Vereist aanmaken wachtwoord bij activering
- Zet complexiteitsvereisten af
- Blokkeer het apparaat totdat wachtwoord ingesteld is

Veilige updateprocedures

VEREISTEN FIRMWARE-UPDATES

TECHNISCHE VEREISTEN:
[ ] Updates cryptografisch ondertekend
[ ] Handtekening geverifieerd vóór installatie
[ ] Beveiligde downloadkanaal (TLS)
[ ] Rollback-mogelijkheid bij mislukte update
[ ] Versienummering en changelogs

GEBRUIKERSCONTROLE:
[ ] Gebruiker kan updates uitstellen (maar niet voor onbepaalde tijd)
[ ] Automatische updates standaard ingeschakeld (gebruiker kan uitschakelen)
[ ] Duidelijke updatenotificaties
[ ] Updatestatus zichtbaar voor gebruiker

STANDAARD FIRMWARE-UPDATE VEREISTEN:
- Automatische beveiligingsupdates standaard ingeschakeld
- Gebruiker moet actief beslissing nemen om uit te schakelen
- Aanbevolen: informeer gebruiker over beveiligingsrisico bij uitschakelen

Gegevensbescherming voor IoT

GEGEVENSVEREISTEN CONSUMENT-IoT

DATAMINIMALISATIE:
[ ] Alleen noodzakelijke gegevens verzamelen
[ ] Bewaartermijnen definiëren
[ ] Automatische verwijdering van oude gegevens
[ ] Gerechtvaardigdheid gedocumenteerd voor elk gegevenstype

VERSLEUTELING:
[ ] Data-in-transit: TLS 1.2+ (TLS 1.3 aanbevolen)
[ ] Data-in-rust: versleuteling voor gevoelige gegevens
[ ] Sleutelbeheer gedocumenteerd

GEBRUIKERSRECHTEN:
[ ] Gebruiker kan gegevens verwijderen
[ ] Gebruiker kan account deactiveren
[ ] Optionele gegevensverzameling duidelijk aangegeven

SBOM voor IoT-producten

Firmwarecomponenten opnemen

IoT-producten hebben unieke SBOM-uitdagingen:

IoT SBOM-BENADERING

SOFTWARECOMPONENTEN:
- RTOS/embedded OS (bijv. FreeRTOS, Zephyr, Linux)
- Communicatiestacks (Wi-Fi, Bluetooth, Zigbee)
- Beveiligingsbibliotheken (TLS, cryptografie)
- Applicatiesoftware
- Cloudverbindingsmodules

FIRMWARE:
- Bootloader
- Apparaatfirmware
- Flashbare configuraties

AANPAK:
[ ] Gebruik Syft of Trivy voor firmware-SBOM-generatie
[ ] Neem alle directe en transitieve afhankelijkheden op
[ ] Documenteer proprietaire componenten handmatig
[ ] Update bij elke firmwarerelease

Leveranciersafhankelijkheden

Veel IoT-producten gebruiken modules van derden:

• Wi-Fi-modules (bijv. ESP32, Qualcomm)
• Bluetooth-chips
• Beveiligde elementen
• Cloud-SDK's

Voor elk van deze componenten:

• Vraag SBOM bij de leverancier
• Neem componentspecifieke kwetsbaarheden op
• Documenteer supportperiodeverbintenissen van leveranciers

Kwetsbaarheidsbeheer voor IoT

CVD-beleid voor IoT-fabrikanten

Uw IoT-producten hebben een gepubliceerd kwetsbaarheidsmeldingsproces nodig:

CVD-BELEID MINIMUMVEREISTEN

CONTACT PUBLICEREN:
[ ] security.txt op uw domein
[ ] E-mailadres of webformulier
[ ] Reactietijdstoezegging (bijv. 3 werkdagen)

BELEIDSDOCUMENT:
[ ] Reikwijdte (welke producten)
[ ] Hoe te melden
[ ] Responstijdlijn
[ ] Wat ontdekkers kunnen verwachten

TALEN:
[ ] Engels (vereist)
[ ] Nederlands aanbevolen voor NL-markt

ENISA-rapportage

Vanaf september 2026 moeten fabrikanten actief misbruikte kwetsbaarheden melden:

ENISA-RAPPORTAGEDREMPEL VOOR IoT

RAPPORTEER ALS:
- Kwetsbaarheid in uw IoT-product wordt actief misbruikt
- Bevestigd of sterk vermoed misbruik in het wild

TIJDLIJN:
- 24 uur: Vroege waarschuwing aan ENISA
- 72 uur: Gedetailleerde notificatie
- 14 dagen: Eindrapport (kwetsbaarheden)
- 30 dagen: Eindrapport (incidenten)

NIET RAPPORTEREN:
- Kwetsbaarheden die gevonden maar niet misbruikt zijn
- Kwetsbaarheden die al zijn gepatcht vóór misbruik

VERANTWOORDELIJKHEID:
Aangewezen beveiligingsverantwoordelijke
Intern escalatiepad
Ontwerp: aanmelding bij ENISA SRP

Praktische nalevingsstappenplan

Fase 1: Productbeoordeling (Nu - medio 2026)

CONSUMENT-IoT PRODUCTEVALUATIE

PRODUCTCATALOGUS:
[ ] Alle IoT-producten met digitale elementen weergeven
[ ] CRA-classificatie per product bepalen
[ ] Klasse I-producten identificeren (beveiligingsfuncties)

KLOOFSANALYSE:
[ ] Huidige wachtwoordbeleid beoordelen
[ ] Firmware-updatemechanisme beoordelen
[ ] SBOM-mogelijkheden beoordelen
[ ] CVD-beleid beoordelen

TIJDLIJN:
[ ] Deadline voor producten per categorie bepalen
[ ] Klasse II-producten identificeren (aangemelde instantie)

Fase 2: Technische uitvoering (Medio - sept. 2026)

TECHNISCHE UITVOERINGSSTAPPEN

WACHTWOORDHARDENING:
[ ] Universele standaardwachtwoorden verwijderen
[ ] Unieke wachtwoorden of afdwingingsproces implementeren
[ ] Gebruikersdocumentatie bijwerken

FIRMWARE-UPDATES:
[ ] Update-ondertekeningssysteem implementeren
[ ] Automatisch updatekanaal opzetten
[ ] Rollback-mechanisme testen

SBOM-GENERATIE:
[ ] SBOM-tools geïntegreerd in bouw-pipeline
[ ] Eerste SBOM voor elk product gegenereerd
[ ] Kwaliteit gevalideerd (TR-03183-niveau)

KWETSBAARHEIDSBEHEER:
[ ] security.txt gepubliceerd
[ ] CVD-beleid gepubliceerd
[ ] Interne triageprocedure vastgesteld

Fase 3: Compliance (Sept. 2026 - dec. 2027)

COMPLIANCEFASE

SEPTEMBER 2026:
[ ] ENISA-rapportagecapaciteit operationeel
[ ] Intern escalatieproces actief

DOOR 2027:
[ ] Technisch dossier voltooid
[ ] Conformiteitsbeoordeling uitgevoerd
[ ] EU-conformiteitsverklaring ondertekend
[ ] CE-markering aangebracht op alle producten

DECEMBER 2027:
[ ] Volledige CRA-compliance
[ ] Alle IoT-producten conform
[ ] Ondersteuningsperiodes gecommuniceerd

Checklist voor consument-IoT-fabrikanten

CHECKLIST CRA-GEREEDHEID CONSUMENT-IoT

PRODUCTCLASSIFICATIE:
[ ] Alle producten geclassificeerd
[ ] Klasse I-producten geïdentificeerd
[ ] Conformiteitsbeoordelingsroute per product bepaald

BEVEILIGING:
[ ] Standaardwachtwoorden verwijderd
[ ] Veilig updatemechanisme geïmplementeerd
[ ] Communicatieversleuteling geïmplementeerd
[ ] Invoervalidatie geïmplementeerd

SBOM:
[ ] SBOM-generatie geautomatiseerd
[ ] Alle firmwarecomponenten opgenomen
[ ] Kwetsbaarheidsstatus gedocumenteerd

KWETSBAARHEIDSBEHEER:
[ ] security.txt gepubliceerd
[ ] CVD-beleid gepubliceerd
[ ] ENISA-rapportagecapaciteit gereed (sept. 2026)

DOCUMENTATIE:
[ ] Technisch dossier voor elk product
[ ] Risicobeoordeling per product
[ ] Gebruikersbeveiligingsgids

LIFECYCLE:
[ ] 5-jaar supportperiode vastgesteld
[ ] End-of-support gecommuniceerd
[ ] Updatelevering getest

Gerelateerde gidsen:

• CRA-productclassificatie: Is uw product Standaard, Belangrijk of Kritisch?
• Zijn slimme camera's Belangrijke Producten onder de EU Cyber Resilience Act?

Hoe CRA Evidence helpt

CRA Evidence ondersteunt consument-IoT-fabrikanten:

• Productclassificatiewizard: Bepaal snel uw classificatie
• SBOM-beheer: IoT-firmware SBOM-beheer
• CVD-sjablonen: Ready-to-use kwetsbaarheidsopenbaarmaking
• Technisch dossier: Documentatiestructuur voor IoT-producten

Start uw CRA-compliance op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.