CRA voor industriële automatisering: IEC 62443 en OT-beveiliging

Hoe de CRA geldt voor industriële automatisering en OT: IEC 62443, waarom PLC's en SCADA meestal standaardcategorie zijn en wat de klasse verhoogt.

CRA Evidence Team Gepubliceerd 8 januari 2026 Bijgewerkt 13 juni 2026
CRA voor industriële automatisering: IEC 62443 en OT-beveiliging
In dit artikel

De meeste PLC's, SCADA-systemen en DCS-producten zijn standaard in-scope producten. Ze zijn niet automatisch Belangrijk of Kritiek. Classificatie volgt de kernfunctie van het product, niet de sector waarin het wordt ingezet. Een PLC voor productieaansturing valt in de Standaardcategorie. Een PLC die op de markt wordt gebracht met een ingebouwde industriële firewall als kernfunctie, schuift op naar Klasse II. IEC 62443 geeft u een sterke technische basis voor de CRA. Het gat dat u moet dichten is de SBOM: IEC 62443 heeft nooit een SBOM vereist.

Deze gids behandelt CRA-compliance voor fabrikanten van industriële automatisering.

Samenvatting

  • De meeste PLC's, SCADA- en DCS-producten zijn standaard in-scope (Standaardcategorie). Producten waarvan de kernfunctie een VPN, firewall, IDS/IPS, routering of beveiligingschip is, vallen in de categorie Belangrijk.
  • IEC 62443-certificering ondersteunt CRA-compliance aanzienlijk. Automatische gelijkwaardigheid bestaat niet.
  • OT-omgevingen hebben unieke update- en levenscyclusuitdagingen.
  • De supportperiode moet de verwachte productlevensduur weerspiegelen (Artikel 13, lid 8). Vijf jaar is de ondergrens, geen standaard uitgangspunt.
  • SBOM-vereisten zijn van toepassing op industriële besturingssystemen. IEC 62443 kent geen vergelijkbare vereiste.
  • Integratie van veiligheid en beveiliging is cruciaal (IEC 62443 met IEC 61508 / ISO 13849).
5 jaar
Minimale supportperiode
CRA Artikel 13, lid 8
24 uur
Vroege waarschuwing
aan CSIRT en ENISA
72 uur
Kwetsbaarheidsmelding
CRA Artikel 14, lid 2, onder b
14 dagen
Eindrapport kwetsbaarheid
na beschikbaarheid herstelmaatregel

Bron: Verordening (EU) 2024/2847, Artikel 13, lid 8 (supportperiode) en Artikel 14, lid 2, onder a), b) en c) (spoor voor actief misbruikte kwetsbaarheden). Artikel 14 kent twee parallelle meldsporen: het kwetsbaarheidsspoor hierboven, en een spoor voor ernstige incidenten met een cadans van 24 uur / 72 uur / 1 maand (eindrapport uiterlijk één maand na de 72-uurmelding van het incident, op grond van Artikel 14, lid 4, onder c)).

Welke industriële producten vallen onder de CRA?

CRA-toepassingsgebied voor industriële automatisering

De CRA is van toepassing op "producten met digitale elementen" die op de EU-markt worden aangeboden. Voor industriële automatisering omvat dit:

Duidelijk in het toepassingsgebied:

  • PLC's (programmeerbare logische besturingen)
  • Industriële pc's en HMI's
  • SCADA-software
  • DCS-systemen
  • Industriële IoT-sensoren en -gateways
  • Industriële routers en switches
  • Oplossingen voor externe toegang
  • Engineering-werkstations en -software

Vrijstellingen kunnen van toepassing zijn:

  • Producten uitsluitend voor nationale veiligheid
  • Producten ontworpen voor militair gebruik
  • Op maat gemaakte eenmalige industriële systemen (kunnen kwalificeren als "reserveonderdelen")

CRA-classificatie voor industriële producten

Classificatie wordt bepaald door de kernfunctie waarmee een product op de markt wordt gebracht, niet door de locatie waar het is geïnstalleerd (Artikel 7, lid 1). Een PLC in een kerncentrale is Standaard als de kernfunctie industriële aansturing is. Een router op een kantoor is Belangrijk Klasse I als hij verbinding maakt met het internet. De sector bepaalt de klasse niet. De functie wel.

Klasse Wat bepaalt de klasse Conformiteitsroute Industriële voorbeelden
Kritiek Kernfunctie komt overeen met Bijlage IV: apparaten met beveiligingsboxen (Hardware Devices with Security Boxes); slimme-metergateways of andere apparaten voor geavanceerde beveiligingsdoeleinden inclusief veilige cryptoverwerking; smartcards en beveiligde elementen Europees certificeringsschema of Module B+C / Module H als er geen schema van toepassing is (Art. 32, lid 4) Een hardware-appliance in een manipulatiebestendige beveiligingsbox; slimme-metergateway als bedoeld in Richtlijn (EU) 2019/944; industrieel beveiligd element of smartcard
Belangrijk Klasse II Kernfunctie is: firewall of IDS/IPS (Bijlage III Klasse II, punt 2); manipulatiebestendige microprocessor (punt 3); manipulatiebestendige microcontroller (punt 4) Module B+C of Module H. Aangemelde instantie vereist. Of een certificeringsschema op 'substantieel' zekerheidsnieau (Art. 32, lid 3) Industriële firewalls, industriële IDS/IPS-systemen; manipulatiebestendige microprocessors en microcontrollers waarbij het apparaat zelf het beveiligingsproduct is
Belangrijk Klasse I Kernfunctie is: VPN (punt 5); netwerkbeheer (punt 6); SIEM (punt 7); router, modem bestemd voor het internet, of switch (punt 12); beveiligingsgerelateerde microprocessor (punt 13) of microcontroller (punt 14) Module A (zelfbeoordeling) uitsluitend als geharmoniseerde normen of gemeenschappelijke specificaties volledig worden toegepast. Anders Module B+C of Module H (Art. 32, lid 2) Producten met VPN als kernfunctie; industriële routers en switches die verbinding maken met het internet; producten gebouwd rond een beveiligingsgerelateerde microcontroller
Standaard (standaard in-scope) Elk product met digitale elementen dat niet in een hogere categorie valt. De meeste PLC's, SCADA- en DCS-producten vallen hier. Module A: interne controle, zelfbeoordeling PLC's, SCADA-software, DCS, de meeste IIoT-gateways, industriële pc's, HMI's, engineering-werkstations
Een geïntegreerd Bijlage III-component classificeert het hostproduct niet

Een PLC die een microcontroller met beveiligingsgerelateerde functies bevat, wordt daardoor zelf niet Belangrijk Klasse I. Artikel 7, lid 1, is expliciet: de integratie van een product waarvan de kernfunctie overeenkomt met een categorie uit Bijlage III, maakt het product waarin het is geïntegreerd niet zelf onderworpen aan de conformiteitsbeoordelingsprocedures voor Belangrijk. Controleer waarvoor het product zelf op de markt wordt gebracht en is ontworpen. Raadpleeg de productclassificatiegids voor het volledige beslispad.

IEC 62443 en CRA-afstemming

Wat is IEC 62443?

IEC 62443 is de internationale normenserie voor de beveiliging van industriële automatiserings- en besturingssystemen (IACS). De norm behandelt:

  • IEC 62443-4-1: beveiligde ontwikkelingslevenscyclus.
  • IEC 62443-4-2: componentbeveiligingsvereisten (4 Security Levels, SL 1 tot SL 4).
  • IEC 62443-3-3: systeembeveiligingsvereisten.
  • IEC 62443-2-4: vereisten voor dienstverleners.

IEC 62443 ↔ CRA-dekking in één oogopslag

Goed gedekt door IEC 62443
  • Proces voor kwetsbaarheidsafhandeling
  • Toegangscontrole
  • Cryptografie
  • Auditlogging
  • Updatecapaciteit
Gedeeltelijk gedekt
  • Secure by default
  • Gegevensbescherming
  • Bewijs van geen bekende kwetsbaarheden
CRA-only aanvullingen
  • SBOM
  • CE-markering / EU-conformiteitsverklaring
  • Artikel 14-melding
  • Verklaring over supportperiode

Waar IEC 62443-bewijs rechtstreeks aansluit op CRA-vereisten, waar het slechts een deel van de verplichting dekt en waar de CRA nieuwe verplichtingen toevoegt.

IEC 62443 ↔ CRA-mapping

CRA-vereisteIEC 62443-dekkingStatus
Standaard beveiligdSL-vereisten (4-2)Gedeeltelijk, CRA-standaard strenger
Kwetsbaarheidsafhandeling4-1 (SDL), 2-4 (onderhoud)Goede afstemming
Beveiligingsupdates4-1, 2-4Procesafstemming
Geen bekende kwetsbaarheden4-1 (kwetsbaarheidsbeheer)Proces afgestemd
Gegevensbescherming4-2 (vertrouwelijkheid)Gedeeltelijk
Toegangscontrole4-2 (authenticatie, autorisatie)Sterke afstemming
Cryptografie4-2 (versleutelingsvereisten)Goede afstemming
Auditlogging4-2 (auditlogs)Goede afstemming
Updatecapaciteit4-2 (firmware-update)Afstemming
SBOMNiet in IEC 62443Hiaat
CE-markeringNiet in IEC 62443Hiaat
Support van 5 jaarNiet gespecificeerdHiaat

IEC 62443 als basis, niet als gelijkwaardigheid

Belangrijk

IEC 62443-certificering betekent NIET automatisch CRA-compliance. Gebruik deze als basis en bewijs, niet als gelijkwaardigheid.

Wat IEC 62443 biedt:

  • Sterke technische beveiligingsgrondslag.
  • Volwassen beveiligde ontwikkelingslevenscyclus.
  • Goed gedocumenteerde beveiligingsmogelijkheden.
  • Bewijs voor de conformiteitsbeoordeling.

Wat de CRA bovenop IEC 62443 toevoegt:

  • SBOM-vereisten. IEC 62443 kent geen vergelijkbare vereiste.
  • Melding van actief misbruikte kwetsbaarheden: vroege waarschuwing binnen 24 uur, kwetsbaarheidsmelding binnen 72 uur, eindrapport binnen 14 dagen nadat een herstel- of mitigatiemaatregel beschikbaar is. Zowel het als coördinator aangewezen CSIRT als ENISA ontvangen meldingen gelijktijdig via het ENISA Single Reporting Platform.
  • Melding van ernstige incidenten: dezelfde vroege sporen van 24 uur / 72 uur, maar het eindrapport is verschuldigd binnen één maand na de 72-uurmelding van het incident, niet binnen 14 dagen. Een incident is ernstig wanneer het de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van belangrijke functies negatief beïnvloedt, of leidt tot uitvoering van kwaadaardige code (Artikel 14, lid 5).
  • Gebruikersmelding: nadat een fabrikant kennis krijgt van een actief misbruikte kwetsbaarheid of een ernstig incident, moet hij getroffen gebruikers informeren, en waar passend alle gebruikers, over de kwetsbaarheid of het incident en de herstel- of mitigatiemaatregelen die zij kunnen nemen (Artikel 14, lid 8).
  • CE-markering en EU-conformiteitsverklaring.
  • Supportperiode die de verwachte productlevensduur weerspiegelt, met vijf jaar als absolute ondergrens op grond van CRA Artikel 13, lid 8.
  • Specifieke vereisten aan het documentatieformat (Bijlage VII).
  • Coördinatie van markttoezicht.

IEC 62443 benutten voor de CRA

Als u al een IEC 62443-4-1- of 4-2-certificering heeft, begint u niet bij nul. U beschikt over iets wat de meeste softwarefabrikanten niet hebben: een gedocumenteerde SDL en geteste beveiligingsmogelijkheden. De praktische vraag is of IEC 62443 uiteindelijk een geharmoniseerde CRA-norm wordt onder Mandaat M/606. Als dat het geval is, kunnen Belangrijk Klasse I-fabrikanten Module A gebruiken zonder aangemelde instantie. Dat staat nog niet vast. Controleer de statustracker voor geharmoniseerde normen voordat u uw conformiteitsroute plant.

  1. Als u een IEC 62443-4-1-certificering heeft. Hergebruik de SDL-documentatie voor het CRA-technisch dossier, toon uw beveiligde ontwikkelingslevenscyclus aan en gebruik deze als bewijs voor de risicobeoordelingsaanpak.
  2. Als u een IEC 62443-4-2-certificering heeft. Hergebruik de documentatie over beveiligingsmogelijkheden, koppel elk bereikt Security Level aan de essentiële CRA-vereisten en leg deze over als bewijs voor de implementatie van beveiligingsfuncties.
  3. Voeg de CRA-specifieke punten toe. Genereer een SBOM, implementeer ENISA-meldcapaciteit voor zowel het kwetsbaarheidsspoor als het ernstige-incidentenspoor, stel de EU-conformiteitsverklaring op en breng de CE-markering aan.

OT-specifieke compliance-uitdagingen

Update- en patchinguitdagingen

Industriële omgevingen hebben unieke beperkingen voor updates.

Uitdagingen:

  • 24/7-activiteiten zonder onderhoudsvensters.
  • Hervalidatie van veiligheidssystemen na updates.
  • Integratie van legacy-systemen.
  • Air-gapped of semi-verbonden omgevingen.
  • Lange kwalificatiecycli.

CRA-vereisten blijven van toepassing:

  • Beveiligingsupdates moeten worden geleverd gedurende de gehele supportperiode. Het minimum is vijf jaar, en langer wanneer het product naar verwachting langer in gebruik is (CRA Artikel 13, lid 8).
  • Er moet een mechanisme zijn om updates te leveren. Doorlopende online verbinding is niet vereist, maar de capaciteit moet aanwezig zijn.
  • Kwetsbaarheden moeten binnen een redelijke tijd worden verholpen.
  1. Gefaseerde uitrol. Eerst testomgevingen, daarna pilotproductielijnen en vervolgens de volledige uitrol met monitoring.
  2. Updateplanning. Coördineer met geplande onderhoud, geef weken of maanden vooraf kennisgeving en ondersteun door de klant geplande updatecycli.
  3. Offline levering. USB-gebaseerde updatepakketten, updateservers binnen het OT-netwerk of beveiligde bestandsoverdrachtsmechanismen voor air-gapped locaties.
  4. Hervalidatie van veiligheid. Documenteer de impact van de update op veiligheidsfuncties, geef hervalidatierichtlijnen en overweeg co-engineering van veiligheid en beveiliging.

Lange productlevenscycli

Industriële producten hebben vaak levenscycli van 15 tot 20+ jaar, maar de CRA vereist slechts minimaal 5 jaar.

Jaar 1 tot 5
Actieve verkoop en CRA-supportperiode

Beveiligingsupdates en kwetsbaarheidsafhandeling zijn van kracht gedurende de minimale supportperiode.

Jaar 5 tot 10
Uitgebreide support

De fabrikant kan beveiligingsupdates blijven leveren na de CRA-ondergrens, vooral wanneer het product nog in gebruik is.

Jaar 10 tot 15
Legacy-support

Beperkte updates. Een groter deel van het operationele risico verschuift naar de klant.

Vanaf jaar 15
End of life

Klantverantwoordelijkheid. Communiceer einddatums van support duidelijk bij verkoop.

CRA-regel voor de supportperiode

De supportperiode moet de duur weerspiegelen waarvan het product naar verwachting in gebruik is, rekening houdend met redelijke verwachtingen van gebruikers, de aard en het beoogde doel van het product en relevante EU-wetgeving. Vijf jaar is de absolute ondergrens. Voor industriële producten met een gebruikslevensduur van 15 tot 20 jaar is vijf jaar het startpunt, niet het plan. Plan de supportperiode vanuit het perspectief van de klant, niet vanuit de CRA-ondergrens.

Documentatiebehoeften:

  • Communiceer de supportperiode duidelijk bij aankoop.
  • Verstrek een einddatum voor support.
  • Documenteer de klantverantwoordelijkheden na afloop van support.

Integratie van veiligheid en beveiliging

Industriële producten hebben vaak veiligheidsvereisten (SIL-niveaus volgens IEC 61508 / ISO 13849). De CRA voegt beveiligingsvereisten toe.

1
Risicobeoordeling

Gecombineerde modellering van veiligheids- en beveiligingsdreigingen. Behandel beveiligingsdreigingen voor veiligheidsfuncties als een volwaardige faalmodus.

2
Vereisten

Veiligheidsvereisten (SIL 1 tot SIL 4) en beveiligingsvereisten (SL 1 tot SL 4) staan naast elkaar. Geen beveiligingsmaatregel mag de veiligheid in gevaar brengen.

3
Validatie

Veiligheidsvalidatie, beveiligingstests en gecombineerd scenariotesten lopen vóór de release. Elke discipline geeft onafhankelijk akkoord.

4
Wijzigingsbeheer

Veiligheidshervalidatie voor beveiligingspatches. Beveiligingsbeoordeling voor veiligheidswijzigingen. Beide lussen zijn verplicht, niet optioneel.

Kernprincipe

Geen beveiligingsmaatregel mag de veiligheid in gevaar brengen. Wanneer beide disciplines botsen, wint de veiligheid en past het beveiligingsontwerp zich aan.

SBOM voor industriële systemen

Uitdagingen bij componentidentificatie

Industriële producten bevatten vaak:

  • Realtime besturingssystemen (RTOS).
  • Propriëtaire firmware.
  • Bibliotheken van derden (OPC UA, MQTT, Modbus-stacks).
  • Hardwarecomponenten met firmware.
  1. Softwarecomponenten. RTOS en kernel, protocolstacks (OPC UA, Modbus, EtherNet/IP, PROFINET), beveiligingsbibliotheken (TLS, crypto), middleware van derden en applicatiesoftware.
  2. Firmware en hardwarecomponenten. Bootloader, apparaatfirmware en veldprogrammeerbare componenten. Industriële producten bevatten vaak hardwarecomponenten met ingebedde firmware die thuishoren in de SBOM. Een HBOM (Hardware Bill of Materials) documenteert hardwarecomponenten en bijbehorende firmware. Beoordeel of uw product er één nodig heeft naast de software-SBOM.
  3. Diepte. Primaire componenten zijn door de fabrikant gecontroleerd, vraag SBOM's op bij leveranciers voor componenten van derden en ga zo diep als praktisch mogelijk in geneste componenten.
Formaat
CycloneDX of SPDX. Beide zijn acceptabel onder de CRA.
Identifiers
Neem PURL-identifiers op waar beschikbaar.
Aangepaste componenten
Documenteer aangepaste en propriëtaire componenten expliciet.

Complexiteit van de toeleveringsketen

Industriële producten hebben vaak complexe toeleveringsketens.

Tier 1
Uw product

Uw software en firmware. Volledige SBOM vereist.

Tier 2
Directe leveranciers

Componenten van derden. Vraag bij elke leverancier een SBOM op en neem deze op in uw eigen SBOM.

Tier 3
Subleveranciers

Componenten binnen componenten. Opname naar beste vermogen. Documenteer bekende beperkingen.

Acties:

  • Werk leveranciersovereenkomsten bij met SBOM-vereisten.
  • Leg een SBOM-uitwisselingsformaat met leveranciers vast.
  • Stel een proces voor SBOM-integratie in.
  • Documenteer beperkingen van de toeleveringsketen.

Conformiteitsbeoordeling voor industriële producten

Module B+C (EU-typeonderzoek)

Voor Belangrijk Klasse II-industriële producten:

  1. Module B, typeonderzoek. De aangemelde instantie beoordeelt de volledigheid van het technisch dossier, de toereikendheid van de risicobeoordeling, de dekking van beveiligingsvereisten, een als bewijs overgelegde IEC 62443-certificering, de kwaliteit van de SBOM en testresultaten. Oplevering: EU-typeonderzoekscertificaat.
  2. Module C, conformiteit met het type. De fabrikant zorgt dat de productie overeenkomt met het onderzochte type, voert interne kwaliteitsborging uit en houdt de documentatie actueel. Oplevering: zelfverklaring van conformiteit met het type.

IEC 62443-certificering gebruiken

Als u een IEC 62443-4-2-certificering heeft:

  1. Indienen bij de aangemelde instantie. Dien het IEC 62443-4-2-certificaat, het bereikte Security Level (SL 1 tot SL 4), eventueel het ISASecure-certificaat en het evaluatierapport in.
  2. Beoordeling door de aangemelde instantie. De aangemelde instantie erkent IEC 62443 als bewijs, verifieert de dekking van de CRA-vereisten, identificeert eventuele hiaten en kan de testomvang verminderen.
  3. Aanvullend bewijs blijft nodig. SBOM (niet gedekt door IEC 62443), ENISA-meldcapaciteit voor beide meldsporen, een gedocumenteerde toezegging voor de supportperiode die de verwachte productlevensduur weerspiegelt (vijf jaar als ondergrens op grond van Artikel 13, lid 8) en gebruikersdocumentatie.

Branchespecifieke richtlijnen

ProducttypeGebruikelijke CRA-klasseKernvereistenIEC 62443-afstemmingAandachtspunten
ProducttypePLC's en controllers Gebruikelijke CRA-klasseStandaard (standaard in-scope) in de meeste gevallen. Een PLC met een ingebouwde VPN, firewall of IDS/IPS als kernfunctie op de markt schuift op naar Belangrijk. KernvereistenSecure-boot-capaciteit, versleutelde communicatie, sterke authenticatie, auditlogging, firmware-updatemechanisme, SBOM voor firmware en runtime. IEC 62443-afstemmingIEC 62443-4-2 SL2+ sluit goed aan op de essentiële vereisten. Documenteer beveiligingsmogelijkheden en test beveiligingsfuncties als bewijs. AandachtspuntenRealtime beperkingen tegenover beveiligingsverwerking; bescherming van veiligheidsfuncties; ondersteuning van legacy-protocollen (Modbus en andere); verwar de klasse van de PLC niet met een Bijlage III-component daarin.
ProducttypeSCADA- / DCS-software Gebruikelijke CRA-klasseStandaard (standaard in-scope) in de meeste gevallen. SCADA en DCS staan niet in Bijlage III. Als de kernfunctie van het product een netwerkbeheersysteem of SIEM-achtige beveiligingsmonitoring is, is een Belangrijk Klasse I-analyse op zijn plaats. KernvereistenBeveiligde architectuur, op rollen gebaseerde toegangscontrole, versleutelde communicatie, audittrail, updatemechanisme, SBOM voor alle componenten. IEC 62443-afstemmingKoppel op rollen gebaseerde toegangscontrole, audit, update en communicatiebeheersing aan IEC 62443-systeem- en componentvereisten. AandachtspuntenDatabasebeveiliging, OPC UA-beveiligingsconfiguratie, gegevensbescherming van historicus, beveiliging van externe toegang.
ProducttypeIndustriële IoT-gateways Gebruikelijke CRA-klasseSituatieafhankelijk. Een gateway waarvan de kernfunctie VPN, internetverbonden routering of netwerkbeheer is, kan Belangrijk Klasse I zijn. Een gateway die voornamelijk sensordata verzamelt en doorstuurt, is waarschijnlijk Standaard. KernvereistenSecure boot, ondersteuning voor netwerksegmentatie, versleutelde protocollen (MQTT-TLS en vergelijkbaar), apparaatauthenticatie, firmware-updatemechanisme, SBOM. IEC 62443-afstemmingGebruik IEC 62443-4-2 voor componentbeveiligingsfuncties en documenteer de segmentatie-aannames van de gateway. AandachtspuntenBeveiliging van edge computing, beveiliging van cloudverbinding, beveiliging van protocoltranslatie, gegevensfiltering en -validatie.

Praktische compliance-routekaart

Fase 1: Beoordeling

Productinventaris.

  • Alle producten met digitale elementen opsommen.
  • Classificeren per CRA-categorie.
  • Belangrijk Klasse II-producten identificeren.

Bestaande certificeringen.

  • IEC 62443-certificeringen opsommen.
  • Koppelen aan CRA-vereisten.
  • Hiaten identificeren.

Hiatenanalyse.

  • SBOM-capaciteit.
  • Gereedheid voor kwetsbaarheidsmelding.
  • Planning van support voor 5 jaar.
  • Documentatiehiaten.

Fase 2: Voorbereiding

Technisch.

  • SBOM-generatie implementeren.
  • Kwetsbaarheidsafhandelingsproces opzetten.
  • ENISA-meldcapaciteit voorbereiden.
  • Beveiligingsbaselines van producten bijwerken.

Documentatie.

  • Structuur van het technisch dossier.
  • Beveiligingsdocumentatie bijwerken.
  • Gebruikersrichtlijnen voor veilige inzet.
  • Communicatie over de supportperiode.

Commercieel.

  • Definities van de supportperiode.
  • Contractupdates voor klanten.
  • Prijsreview bij significante compliancekosten.

Fase 3: Compliance

Vanaf 11 september 2026.

  • Kwetsbaarheidsmelding operationeel.
  • Eén meldplatform in gebruik.

Tijdens 2027.

  • Conformiteitsbeoordelingen afronden.
  • Aangemelde instanties inschakelen (Belangrijk Klasse II).
  • EU-typeonderzoekscertificaten verkrijgen.
  • Alle productdocumentatie bijwerken.

Uiterlijk 11 december 2027.

  • Alle onder de CRA vallende producten compliant.
  • CE-markering aangebracht.
  • Klantcommunicatie voltooid.

Wat geldt wanneer

Producten die al op de markt zijn

Als uw product vóór 11 december 2027 op de EU-markt is gebracht, hoeft u geen conformiteitsbeoordeling, technisch dossier of CE-markering met terugwerkende kracht toe te voegen. De grensdatum is het moment waarop het product op de markt is gebracht, niet het moment waarop het is gefabriceerd. Een exemplaar van een bestaande productlijn dat u vanaf 11 december 2027 op de EU-markt brengt, moet op het moment van verkoop volledig CRA-compliant zijn.

Melding geldt voor uw gehele portfolio vanaf september 2026

De overgangsuitzondering dekt geen kwetsbaarheidsmelding. Vanaf 11 september 2026 moet u actief misbruikte kwetsbaarheden en ernstige incidenten melden voor elk in-scope product waarvan u kennis krijgt, inclusief producten die al op de markt zijn. U moet ook getroffen gebruikers informeren over kwetsbaarheden en de herstelmaatregelen die zij kunnen nemen. Een grote geïnstalleerde basis is geen vrijstelling.

Een bestaand product wijzigen

Een wijziging is ingrijpend als zij de conformiteit met de essentiële cyberveiligheidsvereisten aantast of het beoogde doel wijzigt waartegen het product is beoordeeld. Een ingrijpend gewijzigd product doorloopt opnieuw de volledige CRA-compliance vanaf het moment dat het opnieuw op de markt wordt gebracht. Degene die de wijziging aanbrengt en het product opnieuw op de markt brengt, wordt voor CRA-doeleinden de fabrikant. Dit is relevant voor OT-systeemintegratoren die producten van derden wijzigen en doorverkopen.

De definitie staat in de verordening. Hoe die van toepassing is op specifieke OT-wijzigingen vereist nog verduidelijking van de Commissie.

Klasse II- en Kritieke producten: begin nu met het zoeken naar een aangemelde instantie

Lidstaten moeten tegen december 2026 voldoende capaciteit bij aangemelde instanties hebben. In de vroege overgangsperiode kan de capaciteit nog beperkt zijn. Een vertraging bij het vinden van een aangemelde instantie schuift uw CE-markeringsdeadline op. Stel dit niet uit tot 2027.

Branchebronnen

Normalisatieorganisaties

  • IEC (International Electrotechnical Commission). IEC 62443-normenserie. iec.ch
  • ISA (International Society of Automation). Ontwikkeling van ISA/IEC 62443, ISASecure-certificeringsprogramma. isa.org
  • NAMUR (Process Industry Association). NE-aanbevelingen voor OT-beveiliging. namur.net
  • NIST. Cybersecurity Framework, SP 800-82 (OT-beveiligingsgids). nist.gov

Brancheverenigingen

Vereniging Focus Website
ZVEI (Duitsland) Elektro-industrie zvei.org
ORGALIM Europese engineering orgalim.eu
VDMA (Duitsland) Machinebouw vdma.org
GAMBICA (VK) Industriële automatisering gambica.org.uk
ODVA Industriële netwerken odva.org

Als u machines met digitale elementen fabriceert, zie dan onze gids voor machinefabrikanten voor specifieke richtlijnen over dubbele compliance met de CRA en de EU-machineverordening.

Checklist voor industriële automatisering

Productclassificatie

  • Classificatie bepaald (Standaard / Belangrijk I / Belangrijk II).
  • Pad voor conformiteitsbeoordeling gekozen.
  • Aangemelde instantie geïdentificeerd, indien nodig.

Bestaande certificeringen

  • IEC 62443-4-1 (SDL).
  • IEC 62443-4-2 (componentbeveiliging).
  • ISASecure-certificering.
  • Gekoppeld aan CRA-vereisten.

Technische compliance

Documentatie

  • Technisch dossier voorbereid.
  • Risicobeoordeling gedocumenteerd.
  • Beveiligingsarchitectuur gedocumenteerd.
  • Beveiligingsrichtlijnen voor gebruikers voorbereid.

Levenscyclus

  • Supportperiode gedefinieerd en afgestemd op verwachte productlevensduur.
  • Mechanisme voor updatelevering.
  • End-of-life-planning.
  • Hervalidatieproces voor veiligheid bij updates.

Toeleveringsketen

  • SBOM-vereisten voor leveranciers.
  • Beoordeling van componentbeveiliging.
  • Documentatie van toeleveringsketen.
NIS 2-essentiële entiteiten

Verkopen aan NIS 2-essentiële entiteiten kan de risico- en bewijsverwachtingen verhogen, maar verandert de CRA-klasse van een product niet. De klasse hangt nog steeds af van de kernfunctie van het product onder Bijlage III/IV (Artikel 7, lid 1).

Voorsprong door IEC 62443

Met een IEC 62443-certificering loopt u voor op de meeste softwarefabrikanten die de CRA ingaan. De SDL, toegangscontroles, auditlogging en kwetsbaarheidsafhandelingsproces vertalen rechtstreeks. Het echte werk zit in de drie dingen die IEC 62443 nooit vereiste: een SBOM, een formeel meldkanaal naar ENISA en een gepubliceerde supportperiode-toezegging. Die hiaten zijn reëel, maar beheersbaar.

Veelgestelde vragen

Is een IEC 62443-certificering gelijkwaardig aan CRA-compliance?

Nee. Een IEC 62443-certificering betekent niet automatisch CRA-compliance. Zij biedt een sterke technische beveiligingsgrondslag en bewijs dat een aangemelde instantie kan hergebruiken, maar de CRA voegt verplichtingen toe die IEC 62443 niet dekt: SBOM-vereisten, ENISA-incidentmelding op grond van Artikel 14, CE-markering en conformiteitsverklaring, en een minimale supporttoezegging van 5 jaar.

Welke industriële automatiseringsproducten vallen in Belangrijk Klasse II?

Industriële firewalls, industriële IDS/IPS-systemen en manipulatiebestendige microprocessors en microcontrollers (waarbij het apparaat zelf het beveiligingsproduct is) vallen in Belangrijk Klasse II. Dit vereist een conformiteitsbeoordeling door derden (doorgaans Module B+C of Module H). Microcontrollers en microprocessors met beveiligingsgerelateerde functies, en industriële routers en switches die verbinding maken met het internet, zijn Belangrijk Klasse I. Voor Kritieke producten dekt Bijlage IV drie categorieën: apparaten met beveiligingsboxen (punt 1), slimme-metergateways en andere apparaten voor geavanceerde beveiligingsdoeleinden inclusief veilige cryptoverwerking (punt 2), en smartcards en beveiligde elementen (punt 3). Elke categorie vereist een eigen Bijlage IV-analyse. Raadpleeg de productclassificatiegids voor het volledige beslispad.

Geldt de CRA-minimale supportperiode van 5 jaar ook voor producten met industriële levenscycli van 15 tot 20 jaar?

Ja. Vijf jaar is de ondergrens. Wanneer het product redelijkerwijs langer in gebruik zal zijn, moet de fabrikant een langere supportperiode vaststellen die deze levensduur weerspiegelt. Industriële producten met levenscycli van 15 tot 20 jaar moeten de support doorgaans ruim voorbij de ondergrens van 5 jaar plannen en de einddatum van support duidelijk communiceren bij verkoop.

Hoe handelen wij CRA-beveiligingsupdates af in OT-omgevingen zonder onderhoudsvensters?

Gebruik een combinatie van gefaseerde uitrol (test, pilot, volledige productie), geplande updatevensters in afstemming met gepland onderhoud, offline leveringsmechanismen zoals USB-pakketten of updateservers binnen het OT-netwerk, en een gedocumenteerde hervalidatie van de veiligheid voor elke update. De CRA vereist geen doorlopende online verbinding, maar schrijft voor dat er een mechanisme voor updatelevering bestaat en dat kwetsbaarheden binnen een redelijke tijd worden verholpen.

Welke CRA-vereisten zijn niet gedekt door IEC 62443?

IEC 62443 vereist geen SBOM. De CRA wel. De norm dekt ook niet de twee CRA Artikel 14-meldsporen: het spoor voor actief misbruikte kwetsbaarheden (vroege waarschuwing binnen 24 uur, melding binnen 72 uur, eindrapport binnen 14 dagen na beschikbaarheid van een herstelmaatregel) en het spoor voor ernstige incidenten (vroege waarschuwing binnen 24 uur, melding binnen 72 uur, eindrapport binnen één maand na de 72-uurmelding). Na kennisname van een van beide moet u getroffen gebruikers informeren, en waar passend alle gebruikers, over de kwetsbaarheid of het incident en de herstelstappen. CE-markering met een EU-conformiteitsverklaring en een gedocumenteerde supportperiode die de verwachte productlevensduur weerspiegelt, zijn eveneens verplicht. IEC 62443-bewijs ondersteunt uw technisch dossier, maar geen van deze verplichtingen wordt door de norm gedekt.

Kan een IEC 62443-4-2-certificering de testomvang van de aangemelde instantie verminderen?

Ja, dat kan. Een aangemelde instantie die IEC 62443-4-2 als bewijs erkent, verifieert de dekking van de CRA-vereisten, identificeert eventuele hiaten en kan de testomvang daaraan aanpassen. Leg het certificaat over, het bereikte Security Level (SL 1 tot SL 4), eventueel een ISASecure-certificaat en het evaluatierapport. Daarnaast moet u SBOM-bewijs, ENISA-meldcapaciteit voor beide meldsporen, een gedocumenteerde toezegging voor de supportperiode die de verwachte productlevensduur weerspiegelt, en gebruikersdocumentatie leveren. Raadpleeg de beslissingsgids voor conformiteitsbeoordeling voor de volledige modulevergelijking.

Onze PLC heeft geen internetverbinding. Valt hij nog steeds binnen het toepassingsgebied?

De meeste air-gapped PLC's vallen nog steeds binnen het toepassingsgebied. De toepassingsgebiedstoets is gebaseerd op het beoogde doel of redelijkerwijs voorzienbaar gebruik van het product, niet op de manier waarop het tijdens gebruik is verbonden. Een PLC met een Ethernet-programmeringspoort of een USB-interface valt binnen het toepassingsgebied, ook als hij in de praktijk nooit verbinding maakt met een live netwerk. Zeer weinig industriële producten hebben helemaal geen verbindingscapaciteit.

Air-gapped zijn is een risicobeperkende maatregel. Die hoort thuis in uw beveiligingsrisicobeoordeling. Het neemt de CRA-verplichting niet weg.

De vraag naar internetverbinding is alleen relevant voor classificatie. Of een router of modem Belangrijk Klasse I is, hangt af van of hij bestemd is om verbinding te maken met het internet. Dat is een classificatieregel. Die heeft geen invloed op de vraag of uw PLC binnen het toepassingsgebied valt.

Wat u nu kunt doen

  1. Classificeer elk product (Standaard / Belangrijk I / Belangrijk II) met de CRA-productclassificatiegids.
  2. Koppel uw IEC 62443-bewijs aan de structuur van het technisch dossier beschreven in de Bijlage VII-gids voor het technisch dossier.
  3. Voeg SBOM-generatie toe aan uw build-pipeline. IEC 62443 dekt dit niet. Zie de SBOM-generatiegids.
  4. Richt beide CRA-meldsporen in vóór 11 september 2026: het kwetsbaarheidsspoor (24 uur / 72 uur / 14 dagen na beschikbaarheid herstelmaatregel) en het ernstige-incidentenspoor (24 uur / 72 uur / 1 maand). Registreer u op het ENISA Single Reporting Platform en test het indieningsproces voor de deadline.
  5. Leg de supportperiode vast en communiceer deze bij verkoop met de planningsgids voor de supportperiode.
  6. Als een product Belangrijk Klasse II is, kies dan de module voor conformiteitsbeoordeling met de beslissingsgids Module A / B+C / H.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.

CRA Beveiligingsstandaarden Productklassen Industrieel
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Verordening cyberweerbaarheid valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Doorlopende gidsen over de eisen, processen en rollen uit de EU-cyberweerbaarheidsverordening (CRA).

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Europese cyberbeveiligingscertificering (EUCC)

Hoe het EUCC-certificeringsschema werkt en wanneer het kan bijdragen aan CRA-conformiteit.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
Bekijk de volledige CRA-nalevingsgids