Zijn slimme camera's Belangrijke producten onder de EU Cyber Resilience Act?

Slimme beveiligingscamera's zijn geclassificeerd als Belangrijke producten (Klasse I) onder CRA Bijlage III. Wat dit betekent voor fabrikanten, importeurs en distributeurs.

CRA Evidence Team Gepubliceerd 25 februari 2026 Bijgewerkt 7 mei 2026
Blogvoorbeeldkaart met de titel 'Zijn slimme camera's Belangrijke producten onder de CRA?' op het regulatoire sjabloon van CRA Evidence
In dit artikel

Terwijl een verbonden broodrooster het basispad voor CRA-compliance kan volgen, hebben slimme beveiligingscamera's die luxe niet. De EU heeft ze uitdrukkelijk opgenomen in Bijlage III als Belangrijke producten, Klasse I, een stap hoger dan de meeste consumenten-IoT, met strengere conformiteitsvereisten die de spelregels veranderen voor iedereen die deze apparaten fabriceert, importeert of distribueert.

Een veelvoorkomende misvatting is dat camera's "Kritische producten" zijn. Dat zijn ze niet. Maar Belangrijk Klasse I is al een aanzienlijke stap omhoog.

Samenvatting

  • Slimme beveiligingscamera's zijn Belangrijke producten, Klasse I onder CRA Bijlage III, punt 17. Niet "Kritische producten"
  • Klasse I staat zelfbeoordeling alleen toe als geharmoniseerde normen volledig worden toegepast, anders is een audit door derden vereist
  • Standaardwachtwoorden zijn verboden. Unieke inloggegevens of veilige authenticatie moeten worden afgedwongen bij eerste gebruik
  • Fabrikanten moeten kwetsbaarheden afhandelen en beveiligingsupdates leveren voor minimaal 5 jaar
  • Een SBOM (Software Bill of Materials) is verplicht
  • Importeurs zijn persoonlijk aansprakelijk voor het verifiëren van compliance van de fabrikant vóór plaatsing op de EU-markt
  • Alle verplichtingen gelden vanaf 11 december 2027
150.000+
Gecompromitteerde camera's
en DVR's, piek Mirai-botnet (vanaf 2016)
77%
Gerapporteerde cyberincidenten
waren DDoS in 2024-2025
5 jaar
Minimale ondersteuningsperiode
voor Klasse I-camera's (Artikel 13, lid 8)
11 dec 2027
Volledige toepassing CRA
CE-markering en conformiteit vereist

Bronnen: ENISA Threat Landscape 2020 en 2025, Verordening (EU) 2024/2847, Artikelen 13 en 71.

Wat de CRA werkelijk zegt over camera's

Er is veel verwarring over CRA-productcategorieën, dus laten we precies zijn. De verordening maakt drie niveaus:

CRA-productniveaus met slimme beveiligingscamera's in Belangrijk Klasse I, Bijlage III, punt 17. Standaard dekt de meeste consumenten-IoT zoals slimme speakers en thermostaten. Klasse I dekt slimme-woningbeveiligingscamera's, slimme deursloten, babymonitoren, alarmsystemen, routers, modems, besturingssystemen en wachtwoordbeheerders. Klasse II dekt firewalls en inbraakdetectie- en preventiesystemen. Kritisch, Bijlage IV, dekt hardware-beveiligingsmodules, slimme-meter-gateways en smartcards.
Waar slimme beveiligingscamera's staan in de CRA-productclassificatie.

De exacte juridische tekst

Bijlage III, Klasse I, punt 17 van Verordening (EU) 2024/2847:

"Slimme-woningproducten met beveiligingsfuncties, waaronder slimme deursloten, beveiligingscamera's, babybewakingssystemen en alarmsystemen"

De Uitvoeringsverordening (EU) 2025/2392 van de Commissie verduidelijkt het technische toepassingsgebied verder met "camerasystemen", iets breder dan de term "beveiligingscamera's" in de basisverordening.

Een belangrijke kwalificatie: het product moet "beveiligingsfuncties" hebben in een slimme-woningcontext. Een zelfstandige webcam voor videogesprekken valt niet automatisch onder Klasse I. Een verbonden bewakingscamera die uw woning of bedrijf monitort, wel.

Waarom de EU camera's heeft uitgekozen

Dit was geen willekeurige beslissing. IP-camera's hebben hun reputatie als zwakste schakel in netwerkbeveiliging verdiend, en de data bevestigt dit:

  • Het Mirai-botnet (vanaf 2016) bouwde legers van meer dan 150.000 gecompromitteerde camera's en DVR's voor massale DDoS-aanvallen (ENISA Threat Landscape 2020: Botnetrapport)
  • DDoS-aanvallen maakten 77% uit van alle gerapporteerde cyberincidenten in 2024-2025, veel aangedreven door gekaapt IoT (ENISA Threat Landscape 2025)
  • Mirai-varianten zijn nog steeds actief en werden zo recent als april 2025 gevonden bij het misbruiken van GeoVision-camera's
  • Dagelijks komen circa 7,7 miljoen nieuwe IoT-apparaten online, slechts 1 op 20 staat achter een firewall

Het patroon is duidelijk: camera's zijn altijd aan, altijd verbonden, vaak slecht beveiligd, en ze zitten op gevoelige data (uw videofeeds). Dat is precies het risicoprofiel dat de CRA aanpakt.

Wat Klasse I betekent voor de conformiteitsbeoordeling

Onder Artikel 32, lid 2 hebben fabrikanten van Klasse I twee paden, en welk u kunt kiezen, hangt af van iets dat nog in ontwikkeling is.

Pad 1: Zelfbeoordeling (Module A)

U kunt interne zelfbeoordeling uitvoeren, maar alleen als u geharmoniseerde normen toepast die alle essentiële cyberbeveiligingsvereisten dekken. Gedeeltelijke dekking volstaat niet. Mist u één vereiste, dan gaat u naar Pad 2.

De vangst: per februari 2026 worden de geharmoniseerde normen onder de CRA nog afgerond door CEN/CENELEC. Totdat ze in het Publicatieblad zijn gepubliceerd, kunnen de meeste fabrikanten dit pad niet gebruiken.

Pad 2: Beoordeling door derde partij

Zonder volledige dekking door geharmoniseerde normen heeft u nodig:

  • Module B + C: EU-typeonderzoek door een aangemelde instantie, dan conformiteit aan type
  • Module H: volledig kwaliteitsborgingssysteem gecertificeerd door een aangemelde instantie

Beide opties kosten meer en nemen meer tijd dan zelfbeoordeling. En de capaciteit van aangemelde instanties zal krimpen naarmate december 2027 nadert. Iedereen haast zich tegelijk.

Essentiële vereisten voor slimme camera's

Elke verbonden camera moet voldoen aan de essentiële cyberbeveiligingsvereisten van de CRA (Bijlage I), ongeacht welk conformiteitspad u kiest. De vereisten die fabrikanten het hardst raken:

1. Geen standaardwachtwoorden

Artikel 13 en Bijlage I, Deel I vereisen "standaard veilige" configuratie. In duidelijke taal:

  • Geen admin/admin of admin/wachtwoord meer op elke eenheid
  • Elk apparaat heeft een uniek wachtwoord nodig, of moet veilige inloggegevens afdwingen bij eerste gebruik
  • Multifactorauthenticatie waar technisch haalbaar

Dit alleen al zal herontwerpen afdwingen bij een groot aantal camera-productlijnen.

2. Kwetsbaarheidsafhandeling (minimaal 5 jaar)

Bijlage I, Deel II betekent dat fabrikanten:

  • Een beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (CVD) moeten opzetten
  • Beveiligingsonderzoekers een duidelijke manier moeten geven om problemen te melden
  • Kwetsbaarheden zonder vertraging moeten patchen gedurende de volledige ondersteuningsperiode
  • Het product minimaal 5 jaar moeten ondersteunen vanaf marktplaatsing
  • Actief misbruikte kwetsbaarheden moeten melden aan ENISA binnen 24 uur (dit gaat in op 11 september 2026)

Vijf jaar verplicht patchen is een grote verschuiving voor camerafabrikanten die gewend zijn aan "verschepen en vergeten".

3. Software Bill of Materials (SBOM)

Elke softwarecomponent in uw camerafirmware moet worden gedocumenteerd: de Linux-kernel, RTSP-streamingbibliotheken, webinterface-framework, TLS-stack, alles. De SBOM moet:

  • Een machineleesbaar formaat gebruiken (CycloneDX of SPDX)
  • Minimaal de top-level dependencies omvatten
  • Deel zijn van de technische documentatie
  • Gedurende de ondersteuningsperiode worden bijgewerkt

4. Veilig updatemechanisme

Camera's hebben veilige, geauthenticeerde firmware-updates nodig:

  • Geleverd via versleutelde kanalen
  • Firmware-integriteit geverifieerd vóór installatie
  • Automatische beveiligingsupdates standaard ingeschakeld (gebruikers kunnen dit uitschakelen)
  • Terugdraaicapaciteit aanbevolen

5. Dataminimalisatie en privacy

Camera's die videodata verzamelen moeten:

  • Alleen data verwerken die noodzakelijk is voor de productfunctie
  • Opgeslagen en verzonden data versleutelen
  • Gebruikers hun data veilig laten verwijderen
  • Data in rust beschermen tegen fysieke toegang

De rol van importeurs en distributeurs

Importeurs: u bent de EU-poortwachter

Als u camera's importeert van buiten de EU (en eerlijk gezegd worden de meeste slimme camera's in Azië vervaardigd), stelt Artikel 19 u verantwoordelijk. U bent persoonlijk aansprakelijk voor het verifiëren dat de fabrikant zijn compliance-huiswerk heeft gedaan vóórdat dat product de EU-markt betreedt.

Uw verificatiechecklist vóór het plaatsen van een camera op de EU-markt:

  • [ ] Fabrikant heeft de passende conformiteitsbeoordeling voltooid (Klasse I)
  • [ ] EU-conformiteitsverklaring (DoC) bestaat en verwijst naar de CRA
  • [ ] CE-markering correct aangebracht
  • [ ] Technische documentatie beschikbaar en adequaat
  • [ ] Contactinformatie fabrikant op product of verpakking
  • [ ] SBOM beschikbaar als onderdeel van technische documentatie

Als een controle mislukt, kunt u het product wettelijk niet verkopen. Punt. U moet de fabrikant informeren, en als er een cyberbeveiligingsrisico is, de markttoezichtautoriteiten in kennis stellen.

Sancties voor importeurs: Tot 10.000.000 EUR of 2% van de wereldwijde jaaromzet (Artikel 64).

Distributeurs: lichtere verplichtingen, echte gevolgen

Distributeurs hebben minder te verifiëren onder Artikel 20, maar de verplichtingen zijn nog steeds bindend:

  • CE-markering is aanwezig op het product
  • Namen en contactgegevens van fabrikant en importeur zijn zichtbaar
  • Opslag- en transportomstandigheden compromitteren de compliance niet
  • Producten niet verkopen waarvan u reden heeft te denken dat ze niet conform zijn

Sancties voor distributeurs: Tot 10.000.000 EUR of 2% van de totale wereldwijde jaaromzet (Artikel 64, lid 3. De verplichtingen voor distributeurs uit Artikel 20 vallen binnen het bereik van de Artikelen 18 tot en met 23).

De rebranding-val

Let op: als u een camera importeert en verkoopt onder uw eigen merknaam, of als u substantiële wijzigingen aanbrengt in de firmware of digitale elementen, behandelt de CRA u als de fabrikant. Dat betekent de volledige set van fabrikantenverplichtingen: conformiteitsbeoordeling, SBOM, 5-jaar kwetsbaarheidsafhandeling, alles.

Compliance-tijdlijn 

TIJDLIJN CRA SLIMME CAMERA'S

11 sep 2026 --- Kwetsbaarheidsmeldings­verplichtingen van kracht
                (24u-melding actief misbruik aan ENISA)

11 dec 2027 --- Volledige CRA-compliance vereist
                (Alle essentiële vereisten, conformiteitsbeoordeling,
                 CE-markering, SBOM, technische documentatie)

Als u slimme camera's fabriceert of importeert en nog niet bent begonnen met uw compliance-werk, loopt u al achter. Geharmoniseerde normen worden nog ontwikkeld, slots bij aangemelde instanties vullen zich, en december 2027 is dichterbij dan het lijkt.

Belangrijk

Slimme camera's met beveiligingsfuncties (bewaking, monitoring) zijn geclassificeerd als Belangrijk Klasse I onder Bijlage III, Deel I.

Tip

Standaardwachtwoorden op camera's zijn uitdrukkelijk verboden onder de CRA. Elk apparaat moet unieke inloggegevens hebben of gebruikersinstellingen afdwingen.

Officiële bronnen

Veelgestelde vragen

Zijn slimme beveiligingscamera's Klasse I of Kritisch onder de CRA?

Klasse I. Bijlage III, Klasse I, punt 17 van Verordening (EU) 2024/2847 vermeldt "slimme-woningproducten met beveiligingsfuncties, waaronder slimme deursloten, beveiligingscamera's, babybewakingssystemen en alarmsystemen". Kritische producten staan in Bijlage IV en dekken hardware-beveiligingsmodules, slimme-meter-gateways en smartcards, geen camera's. De Uitvoeringsverordening (EU) 2025/2392 van de Commissie gebruikt de iets bredere term "camerasystemen" voor dezelfde categorie. Zelfstandige webcams voor videogesprekken vallen hier niet automatisch onder. De kwalificatie is een slimme-woningcontext met een beveiligingsfunctie.

Kunnen camerafabrikanten zelf beoordelen onder Module A, of is een aangemelde instantie verplicht?

Zelfbeoordeling is alleen toegestaan als geharmoniseerde normen die alle essentiële cyberbeveiligingsvereisten dekken volledig worden toegepast. Gedeeltelijke dekking dwingt de route via een derde partij af, óf Module B+C (EU-typeonderzoek door een aangemelde instantie, dan conformiteit aan type) óf Module H (volledig kwaliteitsborgingssysteem gecertificeerd door een aangemelde instantie). Per februari 2026 worden de geharmoniseerde CRA-normen nog afgerond door CEN/CENELEC, dus de meeste fabrikanten zullen het pad van zelfbeoordeling nog niet kunnen volgen.

Zijn standaardwachtwoorden echt verboden op slimme camera's?

Ja. Artikel 13 en Bijlage I, Deel I vereisen een "standaard veilige" configuratie. In de praktijk betekent dit geen gedeelde admin/admin of admin/wachtwoord meer op elke eenheid. Elk apparaat heeft unieke inloggegevens nodig, of moet de gebruiker door een veilige inloggegevensinstelling bij eerste gebruik leiden, met multifactorauthenticatie waar technisch haalbaar. Deze ene vereiste alleen al dwingt herontwerpen af in een groot deel van de cameramarkt.

Hoe lang moet een camerafabrikant beveiligingsupdates leveren?

Minimaal vijf jaar vanaf marktplaatsing, onder Artikel 13, lid 8, of de verwachte productlevensduur als die korter is. Gedurende die periode moeten fabrikanten een beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (CVD) voeren, beveiligingsonderzoekers een duidelijke route geven om problemen te melden, en kwetsbaarheden zonder vertraging patchen. Updates moeten worden geleverd via geauthenticeerde kanalen met firmware-integriteit die vóór installatie wordt geverifieerd, en automatische beveiligingsupdates moeten standaard zijn ingeschakeld (gebruikers kunnen dit uitschakelen).

Wat is de aansprakelijkheid van een importeur bij het plaatsen van camera's op de EU-markt?

Onder Artikel 19 zijn importeurs persoonlijk aansprakelijk voor het verifiëren dat de fabrikant de conformiteitsbeoordeling heeft voltooid, dat een EU-conformiteitsverklaring naar de CRA verwijst, dat de CE-markering correct is aangebracht, dat de technische documentatie en SBOM beschikbaar zijn, en dat de contactgegevens van de fabrikant op het product of de verpakking staan. Als een controle mislukt, mag het product niet rechtmatig op de markt worden geplaatst. De sancties lopen op tot 10.000.000 EUR of 2% van de wereldwijde jaaromzet (Artikel 64). Een importeur die een camera onder eigen merk verkoopt of substantiële wijzigingen aanbrengt, wordt behandeld als fabrikant en erft de volledige fabrikantenverplichtingen.

Wanneer start de 24-uursmeldplicht voor kwetsbaarheden bij camera's?

11 september 2026. Vanaf die datum moeten actief misbruikte kwetsbaarheden binnen 24 uur aan ENISA worden gemeld onder Artikel 14. De volledige CRA-toepassing, inclusief CE-markering, conformiteitsbeoordeling, SBOM en technische documentatie, volgt op 11 december 2027. Fabrikanten en importeurs die hun Artikel 14-pijplijn nog niet hebben opgezet, lopen al achter. Geharmoniseerde normen zijn nog in ontwikkeling en de capaciteit van aangemelde instanties zal krimpen naarmate 2027 nadert.

Volgende stappen

Wat u moet doen vóór december 2027

  1. Classificeer uw product tegen Bijlage III punt 17. Een slimme-woningcontext met een beveiligingsfunctie betekent Klasse I. Professioneel CCTV kan onder het algemene CRA-toepassingsgebied vallen.
  2. Verwijder standaardwachtwoorden in uw gehele cameralijn. Elke eenheid wordt geleverd met unieke inloggegevens, of dwingt veilige instelling bij eerste gebruik af.
  3. Stel een CycloneDX- of SPDX-SBOM op voor uw firmware. Dek minimaal de top-level dependencies en houd deze bijgewerkt gedurende de volledige ondersteuningsperiode van 5 jaar.
  4. Publiceer een beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking en een security.txt met een bereikbaar contactpunt.
  5. Kies uw conformiteitspad. Als de geharmoniseerde normen van CEN/CENELEC niet op tijd klaar zijn, betrek dan nu een aangemelde instantie. Zie de beslissingsgids voor de conformiteitsbeoordeling.
  6. Als u camera's importeert die buiten de EU zijn vervaardigd, audit dan het conformiteitsbewijs van elke leverancier vóór marktplaatsing. Zie de verificatiegids importeursverplichtingen.

Dit artikel dient uitsluitend ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliance-begeleiding gekwalificeerde juridische adviseurs.

CRA IoT Productklassen Importeurs
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
Productclassificatie

Hoe de CRA producten indeelt op risiconiveau en wat elke categorie betekent voor de verplichtingen.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
View full CRA compliance guide