Zijn slimme camera's Belangrijke producten onder de EU Cyber Resilience Act?

Terwijl een verbonden broodrooster het basispad voor CRA-compliance kan volgen, hebben slimme beveiligingscamera's die luxe niet. De EU heeft ze uitdrukkelijk opgenomen in Bijlage III als Belangrijke producten, Klasse I — een stap hoger dan de meeste consumenten-IoT — met strengere conformiteitsvereisten die de spelregels veranderen voor iedereen die deze apparaten fabriceert, importeert of distribueert.

Een veelvoorkomende misvatting is dat camera's "Kritische producten" zijn. Dat zijn ze niet. Maar Belangrijk Klasse I is al een aanzienlijke stap omhoog.

Samenvatting

• Slimme beveiligingscamera's zijn Belangrijke producten, Klasse I onder CRA Bijlage III, punt 17. Niet "Kritische producten"
• Klasse I staat zelfbeoordeling alleen toe als geharmoniseerde normen volledig worden toegepast; anders is een audit door derden vereist
• Standaardwachtwoorden zijn verboden. Unieke inloggegevens of veilige authenticatie moeten worden afgedwongen bij eerste gebruik
• Fabrikanten moeten kwetsbaarheden afhandelen en beveiligingsupdates leveren voor minimaal 5 jaar
• Een SBOM (Software Bill of Materials) is verplicht
• Importeurs zijn persoonlijk aansprakelijk voor het verifiëren van compliance van de fabrikant vóór plaatsing op de EU-markt
• Alle verplichtingen gelden vanaf 11 december 2027

Wat de CRA werkelijk zegt over camera's

Er is veel verwarring over CRA-productcategorieën, dus laten we precies zijn. De verordening maakt drie niveaus:

CRA-PRODUCTCLASSIFICATIE

STANDAARD CATEGORIE (Zelfbeoordeling, Module A):
  → Meeste consumenten-IoT: slimme speakers, thermostaten, etc.

BELANGRIJKE PRODUCTEN (Bijlage III):
  Klasse I (Zelfbeoordeling met geharmoniseerde normen OF derde partij):
    → Slimme-woningbeveiligingscamera's  ← CAMERA'S STAAN HIER
    → Slimme deursloten, babymonitoren, alarmsystemen
    → Routers, modems, besturingssystemen, wachtwoordbeheerders
  Klasse II (Derde partij verplicht):
    → Firewalls, inbraakdetectie-/-preventiesystemen

KRITISCHE PRODUCTEN: Bijlage IV (Derde partij verplicht, altijd):
  → Hardware-beveiligingsmodules, slimme-meter-gateways, smartcards

De exacte juridische tekst

Bijlage III, Klasse I, punt 17 van Verordening (EU) 2024/2847:

"Slimme-woningproducten met beveiligingsfuncties, waaronder slimme deursloten, beveiligingscamera's, babybewakingssystemen en alarmsystemen"

De Uitvoeringsverordening (EU) 2025/2392 van de Commissie verduidelijkt het technische toepassingsgebied verder met "camerasystemen", iets breder dan de term "beveiligingscamera's" in de basisverordening.

Een belangrijke kwalificatie: het product moet "beveiligingsfuncties" hebben in een slimme-woningcontext. Een zelfstandige webcam voor videogesprekken valt niet automatisch onder Klasse I. Een verbonden bewakingscamera die uw woning of bedrijf monitort, wel.

Waarom de EU camera's heeft uitgekozen

Dit was geen willekeurige beslissing. IP-camera's hebben hun reputatie als zwakste schakel in netwerkbeveiliging verdiend, en de data bevestigt dit:

• Het Mirai-botnet (2016 en verder) bouwde legers van meer dan 150.000 gecompromitteerde camera's en DVR's voor massale DDoS-aanvallen (ENISA Threat Landscape 2020: Botnetrapport)
• DDoS-aanvallen maakten 77% uit van alle gerapporteerde cyberincidenten in 2024-2025, veel aangedreven door gekaapt IoT (ENISA Threat Landscape 2025)
• Mirai-varianten zijn nog steeds actief en werden zo recent als april 2025 gevonden bij het misbruiken van GeoVision-camera's
• Dagelijks komen circa 7,7 miljoen nieuwe IoT-apparaten online; slechts 1 op 20 staat achter een firewall

Het patroon is duidelijk: camera's zijn altijd aan, altijd verbonden, vaak slecht beveiligd, en ze zitten op gevoelige data (uw videofeeds). Dat is precies het risicoprofiel dat de CRA aanpakt.

Wat Klasse I betekent voor de conformiteitsbeoordeling

Onder Artikel 32(2) hebben fabrikanten van Klasse I twee paden, en welk u kunt kiezen, hangt af van iets dat nog in ontwikkeling is.

Pad 1: Zelfbeoordeling (Module A)

U kunt interne zelfbeoordeling uitvoeren, maar alleen als u geharmoniseerde normen toepast die alle essentiële cyberbeveiligingsvereisten dekken. Gedeeltelijke dekking volstaat niet. Mis één vereiste, en u bent op Pad 2.

De vangst: per februari 2026 worden de geharmoniseerde normen onder de CRA nog afgerond door CEN/CENELEC. Totdat ze in het Publicatieblad zijn gepubliceerd, kunnen de meeste fabrikanten dit pad niet gebruiken.

Pad 2: Beoordeling door derde partij

Zonder volledige dekking door geharmoniseerde normen heeft u óf nodig:

• Module B + C: EU-typeonderzoek door een aangemelde instantie, dan conformiteit aan type
• Module H: volledig kwaliteitsborgingssysteem gecertificeerd door een aangemelde instantie

Beide opties kosten meer en nemen meer tijd dan zelfbeoordeling. En de capaciteit van aangemelde instanties zal krimpen naarmate we december 2027 naderen. Iedereen haast zich tegelijk.

Essentiële vereisten voor slimme camera's

Elke verbonden camera moet voldoen aan de essentiële cyberbeveiligingsvereisten van de CRA (Bijlage I), ongeacht welk conformiteitspad u kiest. De vereisten die fabrikanten het hardst raken:

1. Geen standaardwachtwoorden

Artikel 13 en Bijlage I, Deel I vereisen "standaard veilige" configuratie. In duidelijke taal:

• Geen admin/admin of admin/wachtwoord meer op elke eenheid
• Elk apparaat heeft een uniek wachtwoord nodig, of moet veilige inloggegevens afdwingen bij eerste gebruik
• Multifactorauthenticatie waar technisch haalbaar

Dit alleen al zal herontwerpen afdwingen bij een groot aantal camera-productlijnen.

2. Kwetsbaarheidsafhandeling (minimaal 5 jaar)

Bijlage I, Deel II betekent dat fabrikanten:

• Een beleid voor gecoördineerde kwetsbaarheidsonthulling (CVD) moeten opzetten
• Beveiligingsonderzoekers een duidelijke manier moeten geven om problemen te melden
• Kwetsbaarheden zonder vertraging moeten patchen gedurende de volledige ondersteuningsperiode
• Het product minimaal 5 jaar moeten ondersteunen vanaf marktplaatsing
• Actief misbruikte kwetsbaarheden moeten melden aan ENISA binnen 24 uur (dit gaat in op 11 september 2026)

Vijf jaar verplicht patchen is een grote verschuiving voor camerafabrikanten die gewend zijn aan "verschepen en vergeten".

3. Software Bill of Materials (SBOM)

Elke softwarecomponent in uw camerafirmware moet worden gedocumenteerd: de Linux-kernel, RTSP-streamingbibliotheken, webinterface-framework, TLS-stack, alles. De SBOM moet:

• Een machineleesbaar formaat gebruiken (CycloneDX of SPDX)
• Minimaal de top-level dependencies omvatten
• Deel zijn van de technische documentatie
• Gedurende de ondersteuningsperiode worden bijgewerkt

4. Veilig updatemechanisme

Camera's hebben veilige, geauthenticeerde firmware-updates nodig:

• Geleverd via versleutelde kanalen
• Firmware-integriteit geverifieerd vóór installatie
• Automatische beveiligingsupdates standaard ingeschakeld (gebruikers kunnen dit uitschakelen)
• Terugdraaicapaciteit aanbevolen

5. Dataminimalisatie en privacy

Camera's die videodata verzamelen moeten:

• Alleen data verwerken die noodzakelijk is voor de productfunctie
• Opgeslagen en verzonden data versleutelen
• Gebruikers hun data veilig laten verwijderen
• Data in rust beschermen tegen fysieke toegang

De rol van importeurs en distributeurs

Importeurs: u bent de EU-poortwachter

Als u camera's importeert van buiten de EU (en eerlijk gezegd worden de meeste slimme camera's in Azië vervaardigd), stelt Artikel 19 u verantwoordelijk. U bent persoonlijk aansprakelijk voor het verifiëren dat de fabrikant zijn compliance-huiswerk heeft gedaan vóórdat dat product de EU-markt betreedt.

Uw verificatiechecklist vóór het plaatsen van een camera op de EU-markt:

• [ ] Fabrikant heeft de passende conformiteitsbeoordeling voltooid (Klasse I)
• [ ] EU-conformiteitsverklaring (DoC) bestaat en verwijst naar de CRA
• [ ] CE-markering correct aangebracht
• [ ] Technische documentatie beschikbaar en adequaat
• [ ] Contactinformatie fabrikant op product of verpakking
• [ ] SBOM beschikbaar als onderdeel van technische documentatie

Als een controle mislukt, kunt u het product wettelijk niet verkopen. Punt. U moet de fabrikant informeren, en als er een cyberbeveiligingsrisico is, de markttoezichtautoriteiten in kennis stellen.

Sancties voor importeurs: Tot €10 miljoen of 2% van de wereldwijde jaaromzet (Artikel 64).

Distributeurs: lichtere verplichtingen, echte gevolgen

Distributeurs hebben minder te verifiëren onder Artikel 20, maar de verplichtingen zijn nog steeds bindend:

• CE-markering is aanwezig op het product
• Namen en contactgegevens van fabrikant en importeur zijn zichtbaar
• Opslag- en transportomstandigheden compromitteren de compliance niet
• Producten niet verkopen waarvan u reden heeft te denken dat ze niet conform zijn

Sancties voor distributeurs: Tot €5 miljoen of 1% van de wereldwijde jaaromzet (Artikel 64).

De rebranding-val

Let op: als u een camera importeert en verkoopt onder uw eigen merknaam, of als u substantiële wijzigingen aanbrengt in de firmware of digitale elementen, behandelt de CRA u als de fabrikant. Dat betekent de volledige set van fabricantenverplichtingen: conformiteitsbeoordeling, SBOM, 5-jaar kwetsbaarheidsafhandeling, alles.

Compliance-tijdlijn

TIJDLIJN CRA SLIMME CAMERA'S

11 sep 2026 ─── Kwetsbaarheidsmeldings­verplichtingen van kracht
                (24u-melding actief misbruik aan ENISA)

11 dec 2027 ─── Volledige CRA-compliance vereist
                (Alle essentiële vereisten, conformiteitsbeoordeling,
                 CE-markering, SBOM, technische documentatie)

Als u slimme camera's fabriceert of importeert en nog niet bent begonnen met uw compliance-werk, loopt u al achter. Geharmoniseerde normen worden nog ontwikkeld, slots bij aangemelde instanties vullen zich, en december 2027 is dichterbij dan het lijkt.

Wat u nu moet doen

Fabrikanten

1. Classificeer uw product. Beveiligingscamera in een slimme-woningcontext? Dat is Klasse I. Professioneel CCTV valt mogelijk onder het algemene CRA-toepassingsgebied, maar niet noodzakelijk onder Bijlage III punt 17.
2. Verwijder standaardwachtwoorden. Over uw gehele productlijn, nu.
3. Stel uw SBOM op. CycloneDX- of SPDX-formaat. Begin met de afhankelijkheidsboom van uw camerafirmware.
4. Stel een CVD-beleid in. Een security.txt-bestand en een duidelijk kanaal voor kwetsbaarheidsmelding.
5. Kies uw conformiteitspad. Volg de voortgang van CEN/CENELEC voor geharmoniseerde normen. Als ze er niet op tijd zijn, spreek dan vroeg met een aangemelde instantie.
6. Prijsbereken 5 jaar ondersteuning. Doorlopend beveiligingspatchen is niet meer optioneel, dus verwerk dit in uw marges.

Importeurs

1. Auditeer uw leveranciers. Vraag conformiteitsbewijs, SBOM's en conformiteitsverklaringen op bij elke camerafabrikant waarmee u samenwerkt.
2. Update uw inkoopcontracten. Voeg CRA-complianceclausules toe vóór de deadline, niet erna.
3. Controleer uw eigen merkproducten. Verkoopt u camera's onder uw naam? U bent mogelijk de fabrikant onder de CRA.

Distributeurs

1. Markeer Klasse I-producten in uw catalogus. Weet welke camera's hogere compliancevereisten hebben.
2. Verzamel CE-markering en DoC-bewijs uit uw toeleveringsketen.
3. Plan terugtrekkingsprocedures voor producten die vóór december 2027 niet compliant zullen zijn.

Belangrijk: Slimme camera's met beveiligingsfuncties (bewaking, monitoring) zijn geclassificeerd als Belangrijk Klasse I onder Bijlage III, Deel I.

Gerelateerde gidsen

• CRA-productclassificatiegids
• Consumenten-IoT en EN 303 645-gids
• SBOM-vereisten onder de CRA

Officiële bronnen

• Verordening (EU) 2024/2847: Cyber Resilience Act (volledige tekst)
• Uitvoeringsverordening (EU) 2025/2392: Technische beschrijvingen van Bijlage III/IV-categorieën
• CRA-conformiteitsbeoordeling: EU Digitale Strategie
• ENISA Threat Landscape 2020: Botnetrapport
• ENISA Threat Landscape 2025
• ENISA CRA Requirements Standards Mapping