CRA-compliance voor industriële automatisering: IEC 62443-afstemming en OT-beveiligingsgids

Industriële automatiseringsproducten hebben specifieke CRA-uitdagingen vanwege hun kritieke rol in productie, energie en infrastructuur. Veel vallen in Belangrijk Klasse II, waarvoor een conformiteitsbeoordeling door derden vereist is. Gelukkig biedt de gevestigde IEC 62443-norm een sterke basis voor CRA-compliance.

Deze gids behandelt CRA-compliance voor fabrikanten van industriële automatisering.

Samenvatting

• Veel industriële automatiseringsproducten zijn Belangrijk Klasse II (beoordeling door derden vereist)
• IEC 62443-certificering ondersteunt CRA-compliance significant (geen automatische gelijkwaardigheid)
• OT-omgevingen hebben unieke update- en levenscyclusuitdagingen
• Minimale supportperiode van 5 jaar is van toepassing; plan productlevenscycli dienovereenkomstig
• SBOM-vereisten zijn van toepassing op industriële besturingssystemen
• Integratie van veiligheid en beveiliging is cruciaal (IEC 62443 + IEC 61508/ISO 13849)

Welke industriële producten vallen onder de CRA?

CRA-toepassingsgebied voor industriële automatisering

De CRA is van toepassing op "producten met digitale elementen" die op de EU-markt worden geplaatst. Voor industriële automatisering omvat dit:

Duidelijk in het toepassingsgebied:

• PLC's (programmeerbare logische besturingen)
• Industriële pc's en HMI's
• SCADA-software
• DCS-systemen
• Industriële IoT-sensoren en -gateways
• Industriële routers en switches
• Oplossingen voor externe toegang
• Engineering-werkstations en -software

Vrijstellingen kunnen van toepassing zijn:

• Producten uitsluitend voor nationale veiligheid
• Producten ontworpen voor militair gebruik
• Op maat gemaakte eenmalige industriële systemen (kunnen kwalificeren als "reserveonderdelen")

CRA-classificatie voor industriële producten

De meeste industriële automatiseringsproducten vallen in Belangrijk Klasse I of II:

CRA-CLASSIFICATIE INDUSTRIËLE AUTOMATISERING

BELANGRIJK KLASSE II (beoordeling door derden vereist):
- Firewalls voor industrieel gebruik
- Industriële IDS/IPS-systemen
- Microcontrollers met beveiligingsfuncties
- HSM's voor industriële toepassingen
- Slimme meters (energie-infrastructuur)
- Industriële routers in kritieke infrastructuur

BELANGRIJK KLASSE I (zelfbeoordeling mogelijk met geharmoniseerde normen):
- PLC's en industriële controllers
- SCADA/DCS-software
- Industriële IoT-gateways
- Oplossingen voor externe toegang/VPN
- Industriële netwerkapparatuur

STANDAARDCATEGORIE (zelfbeoordeling):
- Basissensoren (geen netwerkcapaciteit)
- Eenvoudige industriële randapparatuur
- Niet-genetwerkte apparatuur

LET OP: Classificatie hangt af van specifieke productmogelijkheden. Raadpleeg CRA Bijlagen III en IV voor definitieve classificatie.

IEC 62443 en CRA-afstemming

Wat is IEC 62443?

IEC 62443 is de internationale normenserie voor de beveiliging van industriële automatiserings- en besturingssystemen (IACS). Het behandelt:

• IEC 62443-4-1: Beveiligde ontwikkelingslevenscyclus
• IEC 62443-4-2: Componentbeveiligingsvereisten (4 beveiligingsniveaus)
• IEC 62443-3-3: Systeembeveiligingsvereisten
• IEC 62443-2-4: Vereisten voor dienstverleners

IEC 62443 ↔ CRA-mapping

IEC 62443 als basis, niet als gelijkwaardigheid

Belangrijk: IEC 62443-certificering betekent NIET automatisch CRA-compliance.

Wat IEC 62443 biedt:

• Sterke technische beveiligingsgrondslag
• Volwassen beveiligingsontwikkelingslevenscyclus
• Goed gedocumenteerde beveiligingsmogelijkheden
• Bewijs voor conformiteitsbeoordeling

Wat CRA toevoegt bovenop IEC 62443:

• SBOM-vereisten (nieuw)
• Specifieke kwetsbaarheidsrapportage aan ENISA (24u/72u)
• CE-markering en conformiteitsverklaring
• Minimale supporttoezegging van 5 jaar
• Specifieke documentatieformatvereisten
• Coördinatie van markttoezicht

IEC 62443 benutten voor CRA

IEC 62443 → CRA-COMPLIANCEBENADERING

ALS u IEC 62443-4-1-certificering heeft:
→ SDL-documentatie hergebruiken voor CRA-technisch dossier
→ "Beveiligde ontwikkelingslevenscyclus" aantonen
→ Bewijs voor risicobeoordelingsaanpak

ALS u IEC 62443-4-2-certificering heeft:
→ Documentatie beveiligingsmogelijkheden hergebruiken
→ Beveiligingsniveau koppelen aan essentiële CRA-vereisten
→ Bewijs voor implementatie beveiligingsfuncties

AANVULLEND VOOR CRA:
[ ] SBOM-generatie aan uw proces toevoegen
[ ] ENISA-rapportagecapaciteit implementeren
[ ] Toezegging supportperiode van 5 jaar documenteren
[ ] EU-conformiteitsverklaring opstellen
[ ] CE-markering aanbrengen

OT-specifieke compliance-uitdagingen

Update- en patchinguitdagingen

Industriële omgevingen hebben unieke beperkingen voor updates:

Uitdagingen:

• 24/7-activiteiten zonder onderhoudsvensters
• Hervalidatie van veiligheidssystemen na updates
• Integratie van legacy-systemen
• Air-gapped of semi-verbonden omgevingen
• Lange kwalificatiecycli

CRA-vereisten zijn nog steeds van toepassing:

• Moet beveiligingsupdates leveren gedurende 5+ jaar
• Moet een mechanisme hebben om updates te leveren
• Moet kwetsbaarheden binnen redelijke tijd verhelpen

Praktische benaderingen:

OT-UPDATESTRATEGIE VOOR CRA

1. GEFASEERDE UITROL:
   - Eerst testomgevingen
   - Pilotproductielijnen
   - Volledige uitrol met monitoring

2. UPDATEPLANNING:
   - Coördineer met geplande onderhoud
   - Bied vooraf kennisgeving (weken/maanden)
   - Ondersteun geplande updatecycli

3. OFFLINE LEVERING:
   - USB-gebaseerde updatepakketten
   - Updateservers binnen OT-netwerk
   - Beveiligde bestandsoverdrachtsmechanismen

4. HERVALIDATIE VEILIGHEID:
   - Impact van update op veiligheidsfuncties documenteren
   - Hervalidatierichtlijnen verstrekken
   - Co-engineering veiligheid en beveiliging overwegen

Lange productlevenscycli

Industriële producten hebben vaak levenscycli van 15-20+ jaar, maar de CRA vereist slechts minimaal 5 jaar.

Levenscyclusplanning:

INDUSTRIËLE PRODUCTLEVENSCYCLUS + CRA

Jaar 1-5:   Actieve verkoop + CRA-supportperiode (minimum)
Jaar 5-10:  Uitgebreide support (kan beveiligingsupdates voortzetten)
Jaar 10-15: Legacy-support (beperkte updates, klantrisico)
Jaar 15+:   End of life (klantverantwoordelijkheid)

CRA-VEREISTEN:
- 5-jaar minimum vanaf verkoopdatum van elk exemplaar
- Of langer als verwachte productlevensduur 5 jaar overschrijdt
- Supportperiode plannen op basis van redelijke productlevensduur

Documentatiebehoeften:

• Supportperiode duidelijk communiceren bij aankoop
• Einddatum support verstrekken
• Klantverantwoordelijkheden na support documenteren

Integratie veiligheid en beveiliging

Industriële producten hebben vaak veiligheidsvereisten (SIL-niveaus per IEC 61508/ISO 13849). CRA voegt beveiligingsvereisten toe.

Integratieaanpak:

CO-ENGINEERING VEILIGHEID + BEVEILIGING

Veiligheidsnormen:              Beveiligingsnormen:
IEC 61508 (Functioneel)        IEC 62443 (Industrieel)
ISO 13849 (Machines)           CRA (EU-verordening)

INTEGRATIEPUNTEN:
1. Risicobeoordeling:
   - Gecombineerde modellering veiligheids-/beveiligingsdreigingen
   - Beveiligingsdreigingen voor veiligheidsfuncties

2. Vereisten:
   - Veiligheidsvereisten (SIL 1-4)
   - Beveiligingsvereisten (SL 1-4)
   - Geen beveiligingsmaatregel mag veiligheid in gevaar brengen

3. Validatie:
   - Veiligheidsvalidatie
   - Beveiligingstests
   - Gecombineerd scenariotesten

4. Wijzigingsbeheer:
   - Veiligheidshervalidatie voor beveiligingspatches
   - Beveiligingsbeoordeling voor veiligheidswijzigingen

SBOM voor industriële systemen

Uitdagingen bij componentidentificatie

Industriële producten bevatten vaak:

• Realtime besturingssystemen (RTOS)
• Propriëtaire firmware
• Bibliotheken van derden (OPC UA, MQTT, Modbus-stacks)
• Hardwarecomponenten met firmware

SBOM-strategie:

INDUSTRIËLE SBOM-BENADERING

SOFTWARECOMPONENTEN:
- RTOS en kernel
- Protocolstacks (OPC UA, Modbus, EtherNet/IP, PROFINET)
- Beveiligingsbibliotheken (TLS, crypto)
- Middleware van derden
- Applicatiesoftware

FIRMWARE:
- Bootloader
- Apparaatfirmware
- Veldprogrammeerbare componenten

DIEPTEOVERWEGINGEN:
- Primaire componenten: Fabrikant-gecontroleerd
- Derde partij: SBOM's aanvragen bij leveranciers
- Genesteld: Zo diep als praktisch mogelijk

FORMAAT:
- CycloneDX of SPDX (beide acceptabel)
- PURL-identifiers opnemen waar beschikbaar
- Aangepaste/propriëtaire componenten documenteren

Complexiteit toeleveringsketen

Industriële producten hebben vaak complexe toeleveringsketens:

INDUSTRIËLE TOELEVERINGSKETEN-SBOM

TIER 1 (uw product):
- Uw software/firmware
- Volledige SBOM vereist

TIER 2 (directe leveranciers):
- Componenten van derden
- SBOM aanvragen bij leveranciers
- Opnemen in uw SBOM

TIER 3 (subleveranciers):
- Componenten binnen componenten
- Best effort opname
- Bekende beperkingen documenteren

ACTIE:
[ ] Leveranciersovereenkomsten bijwerken voor SBOM-vereisten
[ ] SBOM-uitwisselingsformaat met leveranciers vaststellen
[ ] Proces voor SBOM-integratie aanmaken
[ ] Beperkingen toeleveringsketen documenteren

Conformiteitsbeoordeling voor industriële producten

Module B+C (EU-typeonderzoek)

Voor Belangrijk Klasse II industriële producten:

MODULE B+C VOOR INDUSTRIËLE PRODUCTEN

STAP 1: MODULE B (Typeonderzoek)
Aangemelde instantie onderzoekt:
- Volledigheid technisch dossier
- Toereikendheid risicobeoordeling
- Dekking beveiligingsvereisten
- IEC 62443-certificering (indien beschikbaar)
- Kwaliteit SBOM
- Testresultaten

OPLEVERING: EU-typeonderzoekscertificaat

STAP 2: MODULE C (Conformiteit met het type)
Fabrikant zorgt voor:
- Productie komt overeen met onderzochte type
- Intern kwaliteitsborging voor productie
- Documentatie bijgehouden

OPLEVERING: Zelfverklaring van conformiteit met het type

IEC 62443-certificering gebruiken

Als u IEC 62443-4-2-certificering heeft:

IEC 62443-CERTIFICERING → CRA-PROCES

AANBIEDING AAN AANGEMELDE INSTANTIE:
- IEC 62443-4-2-certificaat
- Bereikt beveiligingsniveau (SL 1-4)
- ISASecure-certificaat (indien van toepassing)
- Evaluatierapport

BEOORDELING AANGEMELDE INSTANTIE:
- Erkent IEC 62443 als bewijs
- Verifieert dekking CRA-vereisten
- Identificeert eventuele hiaten
- Kan testomvang verminderen

AANVULLEND BEWIJS NODIG:
- SBOM (niet gedekt door IEC 62443)
- ENISA-rapportagecapaciteit
- Toezegging supportperiode van 5 jaar
- Gebruikersdocumentatie

Branchespecifieke richtlijnen

PLC's en controllers

CRA-COMPLIANCE PLC/CONTROLLER

CLASSIFICATIE: Meestal Belangrijk Klasse I of II

KERNVEREISTEN:
- Secure boot-capaciteit
- Versleutelde communicatie (optioneel → standaard)
- Sterke authenticatie
- Auditlogging
- Firmware-updatemechanisme
- SBOM voor firmware en runtime

IEC 62443-AFSTEMMING:
- Gebruik IEC 62443-4-2 SL2+ als basis
- Beveiligingsmogelijkheden documenteren
- Beveiligingsfuncties testen

SPECIALE OVERWEGINGEN:
- Realtime beperkingen vs. beveiligingsverwerking
- Bescherming van veiligheidsfuncties
- Legacy-protocolondersteuning (Modbus, enz.)

SCADA/DCS-software

CRA-COMPLIANCE SCADA/DCS-SOFTWARE

CLASSIFICATIE: Meestal Belangrijk Klasse I

KERNVEREISTEN:
- Beveiligde architectuur
- Op rollen gebaseerde toegangscontrole
- Versleutelde communicatie
- Audittrail
- Updatemechanisme
- SBOM voor alle componenten

SPECIALE OVERWEGINGEN:
- Databasebeveiliging
- OPC UA-beveiligingsconfiguratie
- Gegevensbescherming historicus
- Beveiliging van externe toegang

Industriële IoT-gateways

CRA-COMPLIANCE INDUSTRIËLE IOT-GATEWAY

CLASSIFICATIE: Meestal Belangrijk Klasse I

KERNVEREISTEN:
- Secure boot
- Ondersteuning netwerksegmentatie
- Versleutelde protocollen (MQTT-TLS, enz.)
- Apparaatauthenticatie
- Firmware-updatemechanisme
- SBOM

SPECIALE OVERWEGINGEN:
- Beveiliging edge computing
- Beveiliging cloudverbinding
- Beveiliging protocoltranslatie
- Gegevensfiltering/-validatie

Praktisch complianceroutekaart

Fase 1: Beoordeling (nu — medio 2026)

BEOORDELING INDUSTRIËLE FABRIKANT

PRODUCTINVENTARIS:
[ ] Alle producten met digitale elementen inventariseren
[ ] Classificeren per CRA-categorieën
[ ] Belangrijk Klasse II-producten identificeren

BESTAANDE CERTIFICERINGEN:
[ ] IEC 62443-certificeringen inventariseren
[ ] Koppelen aan CRA-vereisten
[ ] Hiaten identificeren

KLOOFSANALYSE:
[ ] SBOM-capaciteit
[ ] Gereedheid voor kwetsbaarheidsrapportage
[ ] Planning voor 5-jaar support
[ ] Documentatiehiaten

LEVERANCIERSBEOORDELING:
[ ] Kritieke componentleveranciers
[ ] SBOM-beschikbaarheid van leveranciers
[ ] CRA-gereedheid toeleveringsketen

Fase 2: Voorbereiding (medio 2026 — september 2026)

VOORBEREIDINGSFASE

TECHNISCH:
[ ] SBOM-generatie implementeren
[ ] Kwetsbaarheidsafhandelingsproces instellen
[ ] ENISA-rapportagecapaciteit voorbereiden
[ ] Beveiligingsbases producten bijwerken

DOCUMENTATIE:
[ ] Structuur technisch dossier
[ ] Beveiligingsdocumentatie bijwerken
[ ] Gebruikersrichtlijnen voor veilige implementatie
[ ] Communicatie supportperiode

COMMERCIEEL:
[ ] Definities supportperiode
[ ] Contractupdates voor klanten
[ ] Prijsreview (als compliancekosten significant zijn)

Fase 3: Compliance (september 2026 — december 2027)

COMPLIANCEFASE

SEPTEMBER 2026:
[ ] Kwetsbaarheidsrapportage operationeel
[ ] ENISA SRP-registratie

DOOR 2027:
[ ] Conformiteitsbeoordelingen voltooien
[ ] Aangemelde instanties inschakelen (Belangrijk Klasse II)
[ ] EU-typeonderzoekscertificaten verkrijgen
[ ] Alle productdocumentatie bijwerken

DECEMBER 2027:
[ ] Alle producten CRA-compliant
[ ] CE-markering aangebracht
[ ] Klantcommunicatie voltooid

Checklist voor industriële automatisering

CRA-CHECKLIST INDUSTRIËLE AUTOMATISERING

PRODUCTCLASSIFICATIE:
[ ] Classificatie bepaald (Standaard/Belangrijk I/Belangrijk II)
[ ] Conformiteitsbeoordelingspad geselecteerd
[ ] Aangemelde instantie geïdentificeerd (indien nodig)

BESTAANDE CERTIFICERINGEN:
[ ] IEC 62443-4-1 (SDL)
[ ] IEC 62443-4-2 (componentbeveiliging)
[ ] ISASecure-certificering
[ ] Gekoppeld aan CRA-vereisten

TECHNISCHE COMPLIANCE:
[ ] Security-by-default configuratie
[ ] Beveiligd updatemechanisme
[ ] SBOM-generatiecapaciteit
[ ] Kwetsbaarheidsafhandelingsproces
[ ] ENISA-rapportagecapaciteit

DOCUMENTATIE:
[ ] Technisch dossier opgesteld
[ ] Risicobeoordeling gedocumenteerd
[ ] Beveiligingsarchitectuur gedocumenteerd
[ ] Beveiligingsrichtlijnen voor gebruikers opgesteld

LEVENSCYCLUS:
[ ] Supportperiode van 5 jaar gedefinieerd
[ ] Updateleveringsmechanisme
[ ] End-of-life-planning
[ ] Hervalidatieproces veiligheid voor updates

TOELEVERINGSKETEN:
[ ] SBOM-vereisten leveranciers
[ ] Beveiligingsbeoordeling componenten
[ ] Documentatie toeleveringsketen

Belangrijk: Industriële automatiseringsproducten voor essentiële NIS2-entiteiten worden geclassificeerd als Belangrijk Klasse II — waarvoor een verplichte beoordeling door derden vereist is.

Gerelateerde gidsen:

• CRA-productclassificatie: is uw product Standaard, Belangrijk of Kritisch?
• CRA-conformiteitsbeoordeling: beslissingsgids Module A vs. B+C vs. H

Hoe CRA Evidence helpt

CRA Evidence ondersteunt fabrikanten van industriële automatisering:

• IEC 62443-mapping: Sjablonen afgestemd op IEC 62443-structuur
• SBOM-beheer: Ondersteuning voor registratie van industriële componenten
• Ondersteuning lange levenscyclus: Bewaring van documentatie voor industriële tijdlijnen
• Kwetsbaarheidsregistratie: Kwetsbaarheidsbeheer voor industriële producten
• Compliance-bewijs: Bewijsverzameling voor indiening bij aangemelde instantie

Start uw CRA-compliance op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.