CRA-compliance voor industriële automatisering: IEC 62443-afstemming en OT-beveiligingsgids

Hoe de CRA van toepassing is op industriële automatiserings- en OT-producten. Behandelt IEC 62443-afstemming, Belangrijk Klasse II-classificatie en praktische compliance voor PLC's, SCADA en industriële IoT.

CRA Evidence Team Gepubliceerd 8 januari 2026 Bijgewerkt 19 april 2026
CRA-compliance voor industriële automatisering: IEC 62443-afstemming en OT-beveiligingsgids
In dit artikel

Industriële automatiseringsproducten hebben specifieke CRA-uitdagingen vanwege hun kritieke rol in productie, energie en infrastructuur. Veel vallen in Belangrijk Klasse II, waarvoor een conformiteitsbeoordeling door derden vereist is. De gevestigde norm IEC 62443 biedt een sterke basis voor CRA-compliance.

Deze gids behandelt CRA-compliance voor fabrikanten van industriële automatisering.

Samenvatting

  • Veel industriële automatiseringsproducten zijn Belangrijk Klasse II (beoordeling door derden vereist).
  • IEC 62443-certificering ondersteunt CRA-compliance aanzienlijk (geen automatische gelijkwaardigheid).
  • OT-omgevingen hebben unieke update- en levenscyclusuitdagingen.
  • Onder CRA Artikel 13, lid 8 geldt een minimale supportperiode van 5 jaar, dus plan productlevenscycli dienovereenkomstig.
  • SBOM-vereisten zijn van toepassing op industriële besturingssystemen.
  • Integratie van veiligheid en beveiliging is cruciaal (IEC 62443 met IEC 61508 / ISO 13849).
5 jaar
Minimale supportperiode
CRA Artikel 13, lid 8
24 uur
Vroege waarschuwing
aan CSIRT en ENISA
72 uur
Kwetsbaarheidsmelding
CRA Artikel 14, lid 2, onder b
14 dagen
Eindrapport
na herstel

Bron: Verordening (EU) 2024/2847, Artikel 13, lid 8 (supportperiode) en Artikel 14, lid 2, onder a), b) en c) (meldcadans).

Welke industriële producten vallen onder de CRA?

CRA-toepassingsgebied voor industriële automatisering

De CRA is van toepassing op "producten met digitale elementen" die op de EU-markt worden aangeboden. Voor industriële automatisering omvat dit:

Duidelijk in het toepassingsgebied:

  • PLC's (programmeerbare logische besturingen)
  • Industriële pc's en HMI's
  • SCADA-software
  • DCS-systemen
  • Industriële IoT-sensoren en -gateways
  • Industriële routers en switches
  • Oplossingen voor externe toegang
  • Engineering-werkstations en -software

Vrijstellingen kunnen van toepassing zijn:

  • Producten uitsluitend voor nationale veiligheid
  • Producten ontworpen voor militair gebruik
  • Op maat gemaakte eenmalige industriële systemen (kunnen kwalificeren als "reserveonderdelen")

CRA-classificatie voor industriële producten

De meeste industriële automatiseringsproducten vallen in Belangrijk Klasse I of II.

Belangrijk Klasse II

Beoordeling door derden vereist.

  • Firewalls voor industrieel gebruik
  • Industriële IDS-/IPS-systemen
  • Microcontrollers met beveiligingsfuncties
  • HSM's voor industriële toepassingen
  • Slimme meters (energie-infrastructuur)
  • Industriële routers in kritieke infrastructuur
Belangrijk Klasse I

Zelfbeoordeling mogelijk met geharmoniseerde normen.

  • PLC's en industriële controllers
  • SCADA-/DCS-software
  • Industriële IoT-gateways
  • Oplossingen voor externe toegang en VPN
  • Industriële netwerkapparatuur
Standaard

Zelfbeoordeling.

  • Basissensoren zonder netwerkcapaciteit
  • Eenvoudige industriële randapparatuur
  • Niet-genetwerkte apparatuur
Verifieer met de primaire bron

Classificatie hangt af van specifieke productmogelijkheden. Raadpleeg CRA Bijlagen III en IV voor de definitieve classificatie.

IEC 62443 en CRA-afstemming

Wat is IEC 62443?

IEC 62443 is de internationale normenserie voor de beveiliging van industriële automatiserings- en besturingssystemen (IACS). De norm behandelt:

  • IEC 62443-4-1: beveiligde ontwikkelingslevenscyclus.
  • IEC 62443-4-2: componentbeveiligingsvereisten (4 Security Levels, SL 1 tot SL 4).
  • IEC 62443-3-3: systeembeveiligingsvereisten.
  • IEC 62443-2-4: vereisten voor dienstverleners.

IEC 62443 ↔ CRA-dekking in één oogopslag

Dekkingskaart IEC 62443 en CRA: welke CRA-vereisten door IEC 62443 worden gedekt, gedeeltelijk gedekt of niet gedekt.
Waar IEC 62443-bewijs rechtstreeks op CRA-vereisten aansluit, waar het slechts een deel van de verplichting dekt en waar de CRA nieuwe verplichtingen toevoegt.

IEC 62443 ↔ CRA-mapping

CRA-vereisteIEC 62443-dekkingStatus
Standaard beveiligdSL-vereisten (4-2)Gedeeltelijk, CRA-standaard strenger
Kwetsbaarheidsafhandeling4-1 (SDL), 2-4 (onderhoud)Goede afstemming
Beveiligingsupdates4-1, 2-4Procesafstemming
Geen bekende kwetsbaarheden4-1 (kwetsbaarheidsbeheer)Proces afgestemd
Gegevensbescherming4-2 (vertrouwelijkheid)Gedeeltelijk
Toegangscontrole4-2 (authenticatie, autorisatie)Sterke afstemming
Cryptografie4-2 (versleutelingsvereisten)Goede afstemming
Auditlogging4-2 (auditlogs)Goede afstemming
Updatecapaciteit4-2 (firmware-update)Afstemming
SBOMNiet in IEC 62443Hiaat
CE-markeringNiet in IEC 62443Hiaat
Support van 5 jaarNiet gespecificeerdHiaat

IEC 62443 als basis, niet als gelijkwaardigheid

Belangrijk

IEC 62443-certificering betekent NIET automatisch CRA-compliance. Gebruik deze als basis en bewijs, niet als gelijkwaardigheid.

Wat IEC 62443 biedt:

  • Sterke technische beveiligingsgrondslag.
  • Volwassen beveiligde ontwikkelingslevenscyclus.
  • Goed gedocumenteerde beveiligingsmogelijkheden.
  • Bewijs voor de conformiteitsbeoordeling.

Wat de CRA bovenop IEC 62443 toevoegt:

  • SBOM-vereisten (nieuw).
  • Specifieke kwetsbaarheidsmelding aan het als coördinator aangewezen CSIRT en ENISA (vroege waarschuwing binnen 24 uur, kwetsbaarheidsmelding binnen 72 uur en eindrapport binnen 14 dagen volgens CRA Artikel 14, lid 2).
  • CE-markering en EU-conformiteitsverklaring.
  • Toezegging van een minimale supportperiode van 5 jaar volgens CRA Artikel 13, lid 8.
  • Specifieke vereisten aan het documentatieformat.
  • Coördinatie van markttoezicht.

IEC 62443 benutten voor de CRA

  1. Als u een IEC 62443-4-1-certificering heeft. Hergebruik de SDL-documentatie voor het CRA-technisch dossier, toon uw beveiligde ontwikkelingslevenscyclus aan en gebruik deze als bewijs voor de risicobeoordelingsaanpak.
  2. Als u een IEC 62443-4-2-certificering heeft. Hergebruik de documentatie over beveiligingsmogelijkheden, koppel elk bereikt Security Level aan de essentiële CRA-vereisten en leg deze over als bewijs voor de implementatie van beveiligingsfuncties.
  3. Voeg de CRA-specifieke punten toe. Genereer een SBOM, implementeer ENISA-meldcapaciteit, documenteer de toezegging voor de supportperiode van 5 jaar, stel de EU-conformiteitsverklaring op en breng de CE-markering aan.

OT-specifieke compliance-uitdagingen

Update- en patchinguitdagingen

Industriële omgevingen hebben unieke beperkingen voor updates.

Uitdagingen:

  • 24/7-activiteiten zonder onderhoudsvensters.
  • Hervalidatie van veiligheidssystemen na updates.
  • Integratie van legacy-systemen.
  • Air-gapped of semi-verbonden omgevingen.
  • Lange kwalificatiecycli.

CRA-vereisten blijven van toepassing:

  • Beveiligingsupdates moeten minimaal 5 jaar worden geleverd (CRA Artikel 13, lid 8).
  • Er moet een mechanisme zijn om updates te leveren.
  • Kwetsbaarheden moeten binnen een redelijke tijd worden verholpen.
  1. Gefaseerde uitrol. Eerst testomgevingen, daarna pilotproductielijnen en vervolgens de volledige uitrol met monitoring.
  2. Updateplanning. Coördineer met geplande onderhoud, geef weken of maanden vooraf kennisgeving en ondersteun door de klant geplande updatecycli.
  3. Offline levering. USB-gebaseerde updatepakketten, updateservers binnen het OT-netwerk of beveiligde bestandsoverdrachtsmechanismen voor air-gapped locaties.
  4. Hervalidatie van veiligheid. Documenteer de impact van de update op veiligheidsfuncties, geef hervalidatierichtlijnen en overweeg co-engineering van veiligheid en beveiliging.

Lange productlevenscycli

Industriële producten hebben vaak levenscycli van 15 tot 20+ jaar, maar de CRA vereist slechts minimaal 5 jaar.

Jaar 1 tot 5

Actieve verkoop en CRA-supportperiode (minimum). Beveiligingsupdates en kwetsbaarheidsafhandeling gelden verplicht.

Jaar 5 tot 10

Uitgebreide support. De fabrikant kan beveiligingsupdates blijven leveren na de CRA-ondergrens, vooral wanneer het product nog in gebruik is.

Jaar 10 tot 15

Legacy-support. Beperkte updates, een groter deel van het operationele risico verschuift naar de klant.

Vanaf jaar 15

End of life. Klantverantwoordelijkheid, communiceer einddatums van support duidelijk bij verkoop.

CRA-regel voor de supportperiode

Minimaal 5 jaar vanaf de verkoopdatum van elk exemplaar, of langer als de verwachte productlevensduur 5 jaar overschrijdt. Plan de supportperiode op basis van een redelijke productlevensduur, niet alleen op de CRA-ondergrens.

Documentatiebehoeften:

  • Communiceer de supportperiode duidelijk bij aankoop.
  • Verstrek een einddatum voor support.
  • Documenteer de klantverantwoordelijkheden na afloop van support.

Integratie van veiligheid en beveiliging

Industriële producten hebben vaak veiligheidsvereisten (SIL-niveaus volgens IEC 61508 / ISO 13849). De CRA voegt beveiligingsvereisten toe.

1 · Risicobeoordeling

Gecombineerde modellering van veiligheids- en beveiligingsdreigingen. Behandel beveiligingsdreigingen voor veiligheidsfuncties als een volwaardige faalmodus.

2 · Vereisten

Veiligheidsvereisten (SIL 1 tot SIL 4) en beveiligingsvereisten (SL 1 tot SL 4) staan naast elkaar. Geen beveiligingsmaatregel mag de veiligheid in gevaar brengen.

3 · Validatie

Veiligheidsvalidatie, beveiligingstests en gecombineerd scenariotesten lopen vóór de release. Elke discipline geeft onafhankelijk akkoord.

4 · Wijzigingsbeheer

Veiligheidshervalidatie voor beveiligingspatches. Beveiligingsbeoordeling voor veiligheidswijzigingen. Beide lussen zijn verplicht, niet optioneel.

Kernprincipe

Geen beveiligingsmaatregel mag de veiligheid in gevaar brengen. Wanneer beide disciplines botsen, wint de veiligheid en past het beveiligingsontwerp zich aan.

SBOM voor industriële systemen

Uitdagingen bij componentidentificatie

Industriële producten bevatten vaak:

  • Realtime besturingssystemen (RTOS).
  • Propriëtaire firmware.
  • Bibliotheken van derden (OPC UA, MQTT, Modbus-stacks).
  • Hardwarecomponenten met firmware.
  1. Softwarecomponenten. RTOS en kernel, protocolstacks (OPC UA, Modbus, EtherNet/IP, PROFINET), beveiligingsbibliotheken (TLS, crypto), middleware van derden en applicatiesoftware.
  2. Firmware. Bootloader, apparaatfirmware en veldprogrammeerbare componenten.
  3. Diepte. Primaire componenten zijn door de fabrikant gecontroleerd, vraag SBOM's op bij leveranciers voor componenten van derden en ga zo diep als praktisch mogelijk in geneste componenten.
Formaat
CycloneDX of SPDX. Beide zijn acceptabel.
Identifiers
Neem PURL-identifiers op waar beschikbaar.
Aangepaste componenten
Documenteer aangepaste en propriëtaire componenten expliciet.

Complexiteit van de toeleveringsketen

Industriële producten hebben vaak complexe toeleveringsketens.

Tier 1 · Uw product

Uw software en firmware. Volledige SBOM vereist.

Tier 2 · Directe leveranciers

Componenten van derden. Vraag bij elke leverancier een SBOM op en neem deze op in uw eigen SBOM.

Tier 3 · Subleveranciers

Componenten binnen componenten. Opname naar beste vermogen. Documenteer bekende beperkingen.

Acties:

  • Werk leveranciersovereenkomsten bij met SBOM-vereisten.
  • Leg een SBOM-uitwisselingsformaat met leveranciers vast.
  • Stel een proces voor SBOM-integratie in.
  • Documenteer beperkingen van de toeleveringsketen.

Conformiteitsbeoordeling voor industriële producten

Module B+C (EU-typeonderzoek)

Voor Belangrijk Klasse II-industriële producten:

  1. Module B, typeonderzoek. De aangemelde instantie beoordeelt de volledigheid van het technisch dossier, de toereikendheid van de risicobeoordeling, de dekking van beveiligingsvereisten, een als bewijs overgelegde IEC 62443-certificering, de kwaliteit van de SBOM en testresultaten. Oplevering: EU-typeonderzoekscertificaat.
  2. Module C, conformiteit met het type. De fabrikant zorgt dat de productie overeenkomt met het onderzochte type, voert interne kwaliteitsborging uit en houdt de documentatie actueel. Oplevering: zelfverklaring van conformiteit met het type.

IEC 62443-certificering gebruiken

Als u een IEC 62443-4-2-certificering heeft:

  1. Indienen bij de aangemelde instantie. Dien het IEC 62443-4-2-certificaat, het bereikte Security Level (SL 1 tot SL 4), eventueel het ISASecure-certificaat en het evaluatierapport in.
  2. Beoordeling door de aangemelde instantie. De aangemelde instantie erkent IEC 62443 als bewijs, verifieert de dekking van de CRA-vereisten, identificeert eventuele hiaten en kan de testomvang verminderen.
  3. Aanvullend bewijs blijft nodig. SBOM (niet gedekt door IEC 62443), ENISA-meldcapaciteit, gedocumenteerde toezegging voor de supportperiode van 5 jaar en gebruikersdocumentatie.

Branchespecifieke richtlijnen

PLC's en controllers

Meestal Belangrijk Klasse I of II.

Kernvereisten. Secure boot-capaciteit, versleutelde communicatie (optioneel gaat richting standaard), sterke authenticatie, auditlogging, firmware-updatemechanisme, SBOM voor firmware en runtime.

IEC 62443-afstemming. Gebruik IEC 62443-4-2 SL2+ als basis, documenteer beveiligingsmogelijkheden, test beveiligingsfuncties.

Aandachtspunten. Realtime beperkingen tegenover beveiligingsverwerking, bescherming van veiligheidsfuncties, ondersteuning van legacy-protocollen (Modbus en andere).

SCADA- / DCS-software

Meestal Belangrijk Klasse I.

Kernvereisten. Beveiligde architectuur, op rollen gebaseerde toegangscontrole, versleutelde communicatie, audittrail, updatemechanisme, SBOM voor alle componenten.

Aandachtspunten. Databasebeveiliging, OPC UA-beveiligingsconfiguratie, gegevensbescherming van historicus, beveiliging van externe toegang.

Industriële IoT-gateways

Meestal Belangrijk Klasse I.

Kernvereisten. Secure boot, ondersteuning voor netwerksegmentatie, versleutelde protocollen (MQTT-TLS en vergelijkbaar), apparaatauthenticatie, firmware-updatemechanisme, SBOM.

Aandachtspunten. Beveiliging van edge computing, beveiliging van cloudverbinding, beveiliging van protocoltranslatie, gegevensfiltering en -validatie.

Praktische compliance-routekaart

Fase 1 · Beoordeling

Productinventaris.

  • Alle producten met digitale elementen opsommen.
  • Classificeren per CRA-categorie.
  • Belangrijk Klasse II-producten identificeren.

Bestaande certificeringen.

  • IEC 62443-certificeringen opsommen.
  • Koppelen aan CRA-vereisten.
  • Hiaten identificeren.

Hiatenanalyse.

  • SBOM-capaciteit.
  • Gereedheid voor kwetsbaarheidsmelding.
  • Planning van support voor 5 jaar.
  • Documentatiehiaten.
Fase 2 · Voorbereiding

Technisch.

  • SBOM-generatie implementeren.
  • Kwetsbaarheidsafhandelingsproces opzetten.
  • ENISA-meldcapaciteit voorbereiden.
  • Beveiligingsbaselines van producten bijwerken.

Documentatie.

  • Structuur van het technisch dossier.
  • Beveiligingsdocumentatie bijwerken.
  • Gebruikersrichtlijnen voor veilige inzet.
  • Communicatie over de supportperiode.

Commercieel.

  • Definities van de supportperiode.
  • Contractupdates voor klanten.
  • Prijsreview bij significante compliancekosten.
Fase 3 · Compliance

Vanaf 11 september 2026.

  • Kwetsbaarheidsmelding operationeel.
  • Eén meldplatform in gebruik.

Tijdens 2027.

  • Conformiteitsbeoordelingen afronden.
  • Aangemelde instanties inschakelen (Belangrijk Klasse II).
  • EU-typeonderzoekscertificaten verkrijgen.
  • Alle productdocumentatie bijwerken.

Uiterlijk 11 december 2027.

  • Alle onder de CRA vallende producten compliant.
  • CE-markering aangebracht.
  • Klantcommunicatie voltooid.

Branchebronnen

Normalisatieorganisaties

  • IEC (International Electrotechnical Commission). IEC 62443-normenserie. iec.ch
  • ISA (International Society of Automation). Ontwikkeling van ISA/IEC 62443, ISASecure-certificeringsprogramma. isa.org
  • NAMUR (Process Industry Association). NE-aanbevelingen voor OT-beveiliging. namur.net
  • NIST. Cybersecurity Framework, SP 800-82 (OT-beveiligingsgids). nist.gov

Brancheverenigingen

Vereniging Focus Website
ZVEI (Duitsland) Elektro-industrie zvei.org
ORGALIM Europese engineering orgalim.eu
VDMA (Duitsland) Machinebouw vdma.org
GAMBICA (VK) Industriële automatisering gambica.org.uk
ODVA Industriële netwerken odva.org

Als u machines met digitale elementen fabriceert, zie dan onze gids voor machinefabrikanten voor specifieke richtlijnen over dubbele compliance met de CRA en de EU-machineverordening.

Checklist voor industriële automatisering

Productclassificatie
  • Classificatie bepaald (Standaard / Belangrijk I / Belangrijk II).
  • Pad voor conformiteitsbeoordeling gekozen.
  • Aangemelde instantie geïdentificeerd, indien nodig.
Bestaande certificeringen
  • IEC 62443-4-1 (SDL).
  • IEC 62443-4-2 (componentbeveiliging).
  • ISASecure-certificering.
  • Gekoppeld aan CRA-vereisten.
Technische compliance
  • Standaard-beveiligde configuratie.
  • Beveiligd updatemechanisme.
  • SBOM-generatiecapaciteit.
  • Kwetsbaarheidsafhandelingsproces.
  • ENISA-meldcapaciteit.
Documentatie
  • Technisch dossier voorbereid.
  • Risicobeoordeling gedocumenteerd.
  • Beveiligingsarchitectuur gedocumenteerd.
  • Beveiligingsrichtlijnen voor gebruikers voorbereid.
Levenscyclus
  • Supportperiode van 5 jaar gedefinieerd.
  • Mechanisme voor updatelevering.
  • End-of-life-planning.
  • Hervalidatieproces voor veiligheid bij updates.
Toeleveringsketen
  • SBOM-vereisten voor leveranciers.
  • Beoordeling van componentbeveiliging.
  • Documentatie van toeleveringsketen.
NIS 2-essentiële entiteiten

Industriële automatiseringsproducten voor NIS 2-essentiële entiteiten worden geclassificeerd als Belangrijk Klasse II, waarvoor een verplichte beoordeling door derden vereist is.

Voorsprong door IEC 62443

IEC 62443-afstemming geeft u een voorsprong op CRA-compliance. Veel vereisten overlappen, waardoor uw aanvullende compliance-last afneemt.

Veelgestelde vragen

Is een IEC 62443-certificering gelijkwaardig aan CRA-compliance?

Nee. Een IEC 62443-certificering betekent niet automatisch CRA-compliance. Zij biedt een sterke technische beveiligingsgrondslag en bewijs dat een aangemelde instantie kan hergebruiken, maar de CRA voegt verplichtingen toe die IEC 62443 niet dekt: SBOM-vereisten, ENISA-incidentmelding volgens Artikel 14, CE-markering en conformiteitsverklaring, en een minimale supporttoezegging van 5 jaar volgens Artikel 13, lid 8.

Welke industriële automatiseringsproducten vallen in Belangrijk Klasse II?

Industriële firewalls, industriële IDS-/IPS-systemen, hardwarebeveiligingsmodules (HSM's) voor industriële toepassingen, microcontrollers met beveiligingsfuncties, slimme meters voor energie-infrastructuur en industriële routers in kritieke infrastructuur. Belangrijk Klasse II-producten vereisen een conformiteitsbeoordeling door derden (doorgaans Module B+C of Module H). Zie de productclassificatiegids voor het volledige beslissingspad.

Geldt de CRA-minimale supportperiode van 5 jaar ook voor producten met industriële levenscycli van 15 tot 20 jaar?

Ja. Vijf jaar is de ondergrens volgens CRA Artikel 13, lid 8. Als het product redelijkerwijs langer in gebruik zal zijn, moet de fabrikant een langere supportperiode vaststellen die deze levensduur weerspiegelt. Industriële producten met levenscycli van 15 tot 20 jaar moeten de support doorgaans ruim voorbij de ondergrens van 5 jaar plannen en de einddatum van support duidelijk communiceren bij verkoop.

Hoe handelen wij CRA-beveiligingsupdates af in OT-omgevingen zonder onderhoudsvensters?

Gebruik een combinatie van gefaseerde uitrol (test, pilot, volledige productie), geplande updatevensters in afstemming met geplande onderhoud, offline leveringsmechanismen zoals USB-pakketten of updateservers binnen het OT-netwerk, en een gedocumenteerde hervalidatie van de veiligheid voor elke update. De CRA vereist geen doorlopende online verbinding, maar schrijft voor dat er een mechanisme voor updatelevering bestaat en dat kwetsbaarheden binnen een redelijke tijd worden verholpen.

Welke CRA-vereisten zijn niet gedekt door IEC 62443?

SBOM-generatie en -onderhoud, melding van kwetsbaarheden en ernstige incidenten aan het als coördinator aangewezen CSIRT en ENISA in de cadans van 24 uur, 72 uur en 14 dagen volgens CRA Artikel 14, lid 2, CE-markering met een EU-conformiteitsverklaring, de minimale supporttoezegging van 5 jaar en coördinatie van markttoezicht. IEC 62443-bewijs helpt bij de technische vereisten, maar ontslaat u niet van deze verplichtingen.

Kan een IEC 62443-4-2-certificering de testomvang van de aangemelde instantie verminderen?

Ja, dat kan. Een aangemelde instantie die IEC 62443-4-2 als bewijs erkent, verifieert de dekking van de CRA-vereisten, identificeert eventuele hiaten en kan de testomvang daaraan aanpassen. Leg het certificaat over, het bereikte Security Level (SL 1 tot SL 4), eventueel een ISASecure-certificaat en het evaluatierapport. Daarnaast moet u SBOM-bewijs, ENISA-meldcapaciteit, een gedocumenteerde toezegging voor de supportperiode van 5 jaar en gebruikersdocumentatie leveren. Zie de beslissingsgids voor conformiteitsbeoordeling voor de volledige modulevergelijking.

Wat u nu kunt doen

  1. Classificeer elk product (Standaard / Belangrijk I / Belangrijk II) met de CRA-productclassificatiegids.
  2. Koppel uw IEC 62443-bewijs aan de structuur van het technisch dossier beschreven in de Bijlage VII-gids voor het technisch dossier.
  3. Voeg SBOM-generatie toe aan uw build-pipeline. IEC 62443 dekt dit niet. Zie de SBOM-generatiegids.
  4. Richt ENISA-incidentmelding volgens 24 uur, 72 uur en 14 dagen in vóór 11 september 2026 met de meldgids.
  5. Leg de supportperiode vast en communiceer deze bij verkoop met de planningsgids voor de supportperiode.
  6. Als een product Belangrijk Klasse II is, kies dan de module voor conformiteitsbeoordeling met de beslissingsgids Module A / B+C / H.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.

CRA Beveiligingsstandaarden Productklassen Industrieel
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
Productclassificatie

Hoe de CRA producten indeelt op risiconiveau en wat elke categorie betekent voor de verplichtingen.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
View full CRA compliance guide