ENISA-advies over veilige updatemechanismen: een CRA-gids

ENISA-advies over veilige updatemechanismen: CRA-updateverplichtingen, 7 dreigingen en maatregelen, plus wat NCSC-NL voor fabrikanten betekent.

CRA Evidence Team Gepubliceerd 2 juni 2026 Bijgewerkt 3 juni 2026
ENISA Technical Advisory on Secure Update Mechanisms, een conceptgids die dreigingen in de updatelevenscyclus koppelt aan maatregelen voor CRA-fabrikanten
In dit artikel

ENISA wil uw feedback vóór 10 juli 2026. Het tweede technische advies over productbeveiliging, Secure Update Mechanisms, is verschenen als concept en de consultatie loopt nu.

Waarom het ertoe doet. Het advies neemt de eis van de Cyber Resilience Act om veilige updates te leveren en splitst die op in zeven stappen, elk gekoppeld aan een falen uit de praktijk. Vier waren aanvallen: SolarWinds, ASUS, Notepad++ en Trivy. Eén geval, de CrowdStrike-storing van 2024, was een gebrekkige release in plaats van een aanval. ENISA koppelt vervolgens elke stap aan maatregelen die de kans of de impact van die dreiging of dat falen verkleinen. Deze gids licht de onderdelen eruit die een micro-, kleine of middelgrote fabrikant nodig heeft, koppelt ze aan uw CRA-verplichtingen, voegt onze eigen kijk op tooling en prioriteiten toe, en loopt door het thermostaatvoorbeeld dat ENISA gebruikt om het geheel samen te brengen.

Samenvatting

  • ENISA publiceerde het advies Secure Update Mechanisms als concept (Version 0.1) in mei 2026. Het is het tweede deel in de reeks over productbeveiliging, na het advies Secure Use of Package Managers dat in maart 2026 werd afgerond.
  • Het advies is technologie-onafhankelijk. Het is consistent met The Update Framework (TUF), Uptane en NIST SP 800-40, maar vereist geen van deze.
  • Het modelleert de updatelevenscyclus in 7 stappen over 3 vertrouwensdomeinen, benoemt de dreiging bij elke stap met een echt incident, en koppelt alles aan 36 aanbevelingen in 4 groepen.
  • Het sluit rechtstreeks aan op de updateverplichtingen uit Bijlage I van de CRA: tijdige beveiligingsupdates, veilige verspreiding, onverwijlde verspreiding, integriteitsbescherming en automatische updates met gebruikerscontrole.
  • Het is geen juridisch advies en geen vermoeden van conformiteit. Het vertelt u ook niet hoe u de onderliggende fout oplost.
  • Een uitgewerkt thermostaatfirmwarevoorbeeld toont ondertekening op twee niveaus, een ondertekend manifest, ontdekking via TLS, vijf controles aan de apparaatkant en A/B-installatie met atomische omschakeling en terugrol.
  • Feedback wordt verzameld via een enquête, met deadline 10 juli 2026.
7
Levenscyclusstappen
Van bouwen tot status vastleggen
4
Leveringsmodellen
In-band, platform, handmatig, gefaseerd
36
Aanbevelingen
verdeeld over 4 maatregelgroepen
10 jul
Feedbackdeadline
openbare consultatie 2026

Bron: ENISA Technical Advisory on Secure Update Mechanisms, concept Version 0.1, mei 2026.

Wat het advies wel en niet is

Het ENISA Technical Advisory on Secure Update Mechanisms is een concept met datum mei 2026, in de paginakoppen aangeduid als Version 0.1. Het gepubliceerde bestand heet v0.6, wat een typefout lijkt. ENISA heeft het opengesteld voor openbare consultatie via een feedbackenquête die sluit op 10 juli 2026.

Het richt zich op fabrikanten van producten met digitale elementen, en in het bijzonder op de teams die updatemechanismen ontwerpen, bouwen of beheren. ENISA schreef het voor micro-, kleine en middelgrote fabrikanten die veelvoorkomende updatedreigingen moeten begrijpen en een reeks maatregelen moeten toepassen zonder een groot beveiligingsteam op te tuigen.

Wees helder over de grenzen. ENISA noemt er drie rechtstreeks.

Lees de disclaimer

Het advies is geen juridisch advies, geen formele interpretatie van de CRA en geen vermoeden van conformiteit. Het behandelt ook niet hoe u de patch zelf ontwikkelt of valideert, inclusief oorzaakanalyse. Naleving van Verordening (EU) 2024/2847 blijft de verantwoordelijkheid van de fabrikant.

Wat het u wel geeft, is een gedeelde kaart. Dezelfde levenscyclus van zeven stappen loopt door de dreigingensectie en de maatregelensectie, zodat een maatregel altijd terugverwijst naar de dreiging die hij beantwoordt.

De updatelevenscyclus, in zeven stappen

ENISA beschrijft elke update, of het nu firmware, een binary, een deltapatch, een handtekeningbestand of een configuratiewijziging is, als doorloop van dezelfde zeven stappen. Vijf actoren voeren ze uit: de producent (fabrikant), de publicatiedienst, de updaterepository, de client-updater en het eindpunt.

De zeven stappen lopen over drie vertrouwenszones. Het producentvertrouwensdomein is waar de update wordt gebouwd en ondertekend. Het distributiedomein, dat repositories en CDN's omvat, wordt als minder vertrouwd behandeld. Het apparaatvertrouwensdomein is waar de update wordt geverifieerd en geïnstalleerd.

De softwareupdatelevenscyclus over drie vertrouwensdomeinen. Producentdomein: stap 1 bouwen en ondertekenen, bedreigd door compromittering van de build of de ondertekensleutel (SolarWinds), stap 2 publiceren, bedreigd door manipulatie van metadata of payload (Trivy). Distributiedomein, minder vertrouwd: stap 3 op updates controleren, bedreigd door omleiding, replay of bevriezing (Notepad++), stap 4 ophalen, bedreigd door payloadvervanging (ASUS ShadowHammer). Apparaatdomein: stap 5 verifiëren, bedreigd door zwakke of ontbrekende verificatie, stap 6 installeren, bedreigd door gebrekkige of kwaadaardige installatie (CrowdStrike), stap 7 status vastleggen, bedreigd door falen dat onopgemerkt blijft.
De zeven updatestappen, het vertrouwensdomein waar elke stap zit, en het echte incident dat laat zien wat er bij die stap misgaat.

Het meest bruikbare idee in het document zit achter dat schema.

Vertrouw de handtekening, niet de bron

Het apparaat krijgt bij fabricage een publieke hoofdsleutel als vertrouwensanker. Een update wordt geaccepteerd omdat de cryptografische verificatie slaagt, niet vanwege de plek waar hij is gedownload. Zelfs als een CDN of mirror is gecompromitteerd, hoort het apparaat een ongeautoriseerde of gewijzigde update te weigeren.

Hoe updates het apparaat echt bereiken

De levenscyclus is overal hetzelfde. Wie elke stap uitvoert, niet. ENISA noemt vier leveringsmodellen, en het model bepaalt waar uw maatregelen moeten zitten. De matrix hieronder toont wie elke stap uitvoert, zodat u ziet welke cellen u zelf moet bouwen.

Een matrix van vier leveringsmodellen tegenover vier updatestappen: ontdekking, ophalen, verificatie en installatie. Bij een in-band ingebouwde updater voert het product alle vier stappen uit, dus alle zijn uw verantwoordelijkheid. Bij platformbeheerde updates voert een extern platform alle vier stappen uit. Bij out-of-band handmatige updates voert de gebruiker ontdekking, ophalen en installatie uit, terwijl verificatie de maatregel is die u bouwt. Bij enterprise- of gefaseerde updates voert de klantorganisatie ontdekking, ophalen en installatie uit, en is verificatie gedeeld tussen u en de klant. Bij elk model bezit u altijd bouwen en ondertekenen.
Wie elke updatestap uitvoert, zoals wij de vier leveringsmodellen van ENISA lezen. ENISA beschrijft de modellen maar zet de verdeling niet in een tabel. De indigokleurige cellen zijn de cellen die u bouwt en bezit.

De voorbeelden die ENISA geeft: in-band omvat desktopapp-updaters, in-product plug-in-updaters en automatische browserupdates. Platformbeheerd omvat mobiele appstores, Linux-pakketrepository's, MDM-platforms en browserextensiestores. Out-of-band handmatig omvat een installer van een leverancierswebsite, een patch via een beveiligd portaal of een gemaild pakket. Enterprise of gefaseerd omvat WSUS-achtige fasering, enterprise-mirrors, patchbeheerservers en air-gapped overdracht.

Voor eenvoudige ontwerpen beschrijft ENISA een apparaat dat een publieke hoofdsleutel plus één operationele ondertekensleutel vertrouwt. Geavanceerdere ontwerpen gebruiken aparte ondertekenrollen, en uitrol met hogere zekerheid voegt drempelhandtekeningen toe, waarbij meer dan één sleutelhouder een gevoelige wijziging moet goedkeuren. TUF en Uptane formaliseren die rolscheiding. U hoeft geen van beide over te nemen om de basislijn te halen.

Zeven manieren waarop het updatekanaal wordt aangevallen

Dit is het deel dat u twee keer moet lezen. ENISA loopt elke levenscyclusstap af, benoemt de dreiging, de impact en een echt incident. Het patroon is consistent: een compromittering vroeg in de keten blijft onzichtbaar als latere stappen alles als normaal behandelen. De tabel hieronder is sectie 3 van het advies, ingedikt, met de primaire maatregel toegevoegd uit sectie 4.

StapWat er misgaatEcht incidentPrimaire maatregel
1. Bouwen & ondertekenenBuildpijplijn of ondertekensleutels gecompromitteerd, kwaadaardige code ingebed in ondertekende artefactenSolarWinds: kwaadaardige code ingevoegd in de buildomgeving en meegeleverd in ondertekende updatesVertrouwde buildomgeving, sleutelbescherming in een HSM, provenance
2. PublicerenUpdatemetadata of payloads gemanipuleerd tijdens publicatie, legitieme bestanden vervangen of achtergehoudenTrivy: release- en distributieprocessen aangevallen om gecompromitteerde artefacten via vertrouwde kanalen door te duwenValidatie vóór release, gecontroleerde releaseworkflow, integriteit van metadata
3. Op updates controlerenOmleiding, DNS-kaping, nep-updatediensten, replay van oude metadata of bevriezingsaanvallen die nieuwere fixes verbergenNotepad++: updateontdekking gekaapt zodat geselecteerde gebruikers contact maakten met een door de aanvaller beheerde bronVertrouwde updatebron, validatie van versheid van metadata
4. OphalenDownload verstoord, kwaadaardige of beschadigde artefacten geleverd vanaf repositories, mirrors of CDN'sASUS Live Update (ShadowHammer, 2019): kwaadaardige artefacten via het normale downloadkanaal naar specifieke gebruikers geduwdSterke transportbeveiliging (TLS), CDN's als onvertrouwd behandelen, integriteitscontrole
5. VerifiërenZwakke of ontbrekende handtekening-, vertrouwensketen-, hash-, versie- of toepasselijkheidscontroles laten slechte updates als geldig doorNotepad++ versterkte later de installerverificatie na de kapingHandtekeningverificatie, integriteitshandhaving, anti-terugrol
6. InstallerenKwaadaardige code draait met verhoogde rechten, of een gebrekkige update legt het apparaat lamCrowdStrike Falcon-storing (2024): een gebrekkige, niet-kwaadaardige update veroorzaakte wijdverspreide crashesAtomische installatie, veilig testen van updates, herstel en terugrol
7. Status vastleggenLogging, monitoring of waarschuwing afwezig, uitgeschakeld of onderdrukt, zodat problemen onopgemerkt blijvenDe CrowdStrike-storing toonde waarom snel zicht op fouten en getroffen eindpunten op schaal van belang isUpdatestatus vastleggen, veilige logging, foutrapportage

Het dreigingsmodel dat ENISA aanneemt is breed. Aanvallers kunnen zich richten op buildpijplijnen, ondertekensleutels, publicatiediensten, repositories, CDN's, DNS, replay van metadata, de updatestatus aan de clientkant of de installatieworkflow. De mix van kwaadaardige gevallen (SolarWinds, ASUS) en een niet-kwaadaardig geval (CrowdStrike) is bewust. Een veilig updatemechanisme moet zowel een aanvaller als een slechte release overleven.

STRIDE in één oogopslag

Bijlage 1 van het advies koppelt de dreigingen aan de Microsoft STRIDE-categorieën. Het is een indicatieve koppeling, niet uitputtend, en meerdere dreigingen beslaan meer dan één categorie. Houdt u dit jaar één sessie voor dreigingsmodellering, gebruik deze tabel dan als agenda: loop uw updatekanaal stap voor stap door en vraag welke STRIDE-categorie bij elke stap het hardst toeslaat. Voor een klein team verdienen de rijen Manipulatie en Spoofing bij de stappen Ophalen en Controleren de meeste tijd, want daar landden de aanvallen op ASUS en Notepad++.

Levenscyclusfase STRIDE-categorieën
Bouwen / verpakken / vertrouwen vestigen Manipulatie, Spoofing, Rechtenescalatie
Publiceren Manipulatie, Spoofing, Denial of service
Op updates controleren Spoofing, Manipulatie, Denial of service
Ophalen Manipulatie, Spoofing, Denial of service
Verifiëren Spoofing, Manipulatie
Installeren Rechtenescalatie, Manipulatie, Denial of service
Status vastleggen Ontkenning, Manipulatie, Denial of service

De maatregelen, gegroepeerd zoals ENISA ze groepeert

Sectie 4 bundelt de maatregelen in vier fasen en stemt ze af op de ENISA Secure by Design and Default-playbook. Het volledige advies somt 36 benoemde aanbevelingen op. De tabellen hieronder houden de waardevolste per fase aan. Lees de bron voor de volledige set.

Voorbereiding en publicatie

Deze fase betreft het bouwen, autoriseren en publiceren van de update en de bijbehorende metadata.

Aanbeveling Wat het betekent
Veilige ondertekenpraktijken Onderteken updatemetadata met sterke cryptografie en bind het artefact aan die metadata.
Sleutelbescherming en -beheer Bewaar ondertekensleutels in een HSM, beperk de toegang, scheid sleutelrollen en roteer of trek in bij vermoeden van compromittering.
Provenance en traceerbaarheid Houd traceerbaarheid aan van bron tot release. Teams met hogere zekerheid gebruiken SLSA provenance of in-toto attestations.
Afhankelijkheidscontrole Controleer externe en componenten van derden op bekende kwetsbaarheden vóór release. Uw SBOM voedt dit.
Structurering van updates Ontwerp releases zo dat beveiligingsupdates los van functionele wijzigingen worden geleverd en waar mogelijk standaard automatisch installeren.
Koppeling met advisory Lever de update met duidelijke informatie over de kwetsbaarheid, de ernst en het herstel, zodat gebruikers de urgentie begrijpen.
Testen van veilig updategedrag Test of updates installeren zonder het apparaat te beschadigen, en of terugrol of herstel werkt bij falen.

Ontdekking en ophalen

Deze fase bepaalt hoe clients updates vinden en downloaden zonder omgeleid te worden of verouderde gegevens te krijgen.

Aanbeveling Wat het betekent
Vertrouwde updatebron Haal updateinformatie alleen op bij geautoriseerde, geauthenticeerde eindpunten.
Sterke transportbeveiliging Gebruik TLS voor ontdekking en ophalen, zonder terugval naar onveilige protocollen.
Scheiding van vertrouwensdomeinen Behandel CDN's, mirrors en tussenpartijen als onvertrouwd. Hun compromittering mag niet genoeg zijn om een gewijzigde update door te duwen.
Validatie van versheid van metadata Gebruik verloopdatum, tijdstempel, versie of monotone volgnummers om verouderde, herhaalde of bevroren metadata te weigeren.
Ondersteuning voor geautomatiseerd ophalen Zet automatische ontdekking en ophalen standaard aan, met controles om kritieke beveiligingsupdates uit te stellen maar niet te blokkeren.

Verificatie en installatie

Dit is het primaire vertrouwensbeslispunt. Faalt het, dan worden eerdere compromitteringen geldige updates.

  1. Handtekeningverificatie. Verifieer de authenticiteit van de metadata en bevestig dat het artefact er cryptografisch aan is gebonden.
  2. Toepasselijkheidsvalidatie. Bevestig vóór installatie dat de update bij dit product, deze versie en deze configuratie past.
  3. Integriteitshandhaving. Valideer de hash van het artefact en weiger beschadigde of gewijzigde inhoud vóór installatie.
  4. Versiebeheer en anti-terugrol. Blokkeer installatie van oudere of ongeautoriseerde versies met terugroltellers of monotone volgnummers.
  5. Geautoriseerde installatiecontext. Alleen vertrouwde, geautoriseerde componenten mogen de installatie starten en uitvoeren, met least-privilege-beperkingen. Dit is de maatregel tegen de dreiging van verhoogde rechten bij de installatiestap.
  6. Atomisch updategedrag. Het systeem schakelt volledig over naar de nieuwe versie of blijft veilig op de vorige, met herstel bij falen.

Waarneembaarheid en herstel

Deze fase legt uitkomsten vast, brengt fouten aan het licht en laat het apparaat herstellen.

Aanbeveling Wat het betekent
Updatestatus vastleggen Leg de uitkomst van elke bewerking vast: succes, falen, terugrol of gedeeltelijke installatie.
Veilige logging Bescherm updatelogs tegen manipulatie en ongeautoriseerde toegang.
Rapportage van integriteitsfouten Detecteer en rapporteer fouten in handtekening-, integriteits- of metadatavalidatie.
Herstel en terugrol Herstel van mislukte updates, inclusief terugkeer naar een bekende goede versie.
Herstel van vertrouwensanker en sleutels Ondersteun veilige rotatie of vervanging van ondertekensleutels bij compromittering.

Hoe teams dit bouwen met opensourcetools

ENISA houdt het advies technologie-onafhankelijk en noemt frameworks en richtlijnen zoals TUF, Uptane, SLSA, in-toto en NIST SP 800-40, zonder specifieke tools aan te bevelen. Dat is de juiste keuze voor een toezichthouder, maar het laat de praktische vraag open. De koppeling hieronder is van ons, niet van ENISA. Geen van deze tools is een conformiteitscertificaat. Ze implementeren het engineeringwerk. Het bewijs blijft van u.

Maatregelgroep Opensourcetools en frameworks Wat ze u opleveren
Bouwen, provenance, afhankelijkheidscontrole Syft, Grype, Trivy en OSV-Scanner, plus het SLSA-framework met in-toto attestations (geproduceerd door tools zoals Tekton Chains of SLSA-generatoren) Genereer een SBOM, scan afhankelijkheden op bekende kwetsbaarheden en produceer ondertekende build-provenance van bron tot artefact.
Metadata en artefacten ondertekenen Sigstore (cosign), The Update Framework (python-tuf, go-tuf), Notary / Notation Onderteken updatemetadata en bind het artefact eraan. Sigstore voegt een openbaar transparantielogboek toe. TUF voegt ondertekenrollen en versheidsmetadata toe.
Ondertekensleutels beschermen SoftHSM voor testen, en Sigstore Fulcio en Rekor voor keyless ondertekenen, ondersteund door een PKCS#11-HSM of cloud-KMS voor productiesleutels Houd ondertekensleutels weg van buildmachines en houd vast wat wanneer is ondertekend.
Update-clients op het apparaat Mender, RAUC, SWUpdate, OSTree Verifieer een ondertekende update op het apparaat, installeer naar een redundante slot of deployment en rol terug bij falen. Hoe de update het apparaat bereikt, hangt af van hoe u ze integreert.
Uitrolorkestratie en frameworks Eclipse hawkBit (uitrol vanaf de server naar een vloot), Uptane (framework voor veilige updates in de automotive) Beheer en faseer levering naar veel apparaten. Dit zijn geen installers op het apparaat.
Koppeling van advisory en herstel OpenVEX, CSAF, CycloneDX VEX Publiceer machineleesbare verklaringen over kwetsbaarheid en exploiteerbaarheid naast de update.
Onze kijk: bouw de updater niet vanaf nul

Voor een embedded product kan een onderhouden A/B-framework zoals Mender, RAUC, SWUpdate of OSTree u ondertekende images, verificatie op het apparaat, atomische installatie en terugrol geven, eenmaal geconfigureerd voor uw updatemodel. Dat dekt het grootste deel van stap 4 tot en met 7 in een afhankelijkheid die u niet zelf hoeft te onderhouden. Het thermostaatvoorbeeld hieronder leest als een handgemaakte versie van wat deze tools eenmaal opgezet bieden. Steek uw eigen inspanning in sleutelbescherming en build-provenance, de onderdelen die geen updater u gratis levert.

Bouw de updater in afhankelijkheidsvolgorde

Dit deel is onze richtlijn, niet die van ENISA. Eerst één voorbehoud: dit is geen verkorte lijst om bij te stoppen. De CRA vereist elke essentiële cyberbeveiligingsvereiste die op uw product van toepassing is, op basis van uw risicobeoordeling onder Bijlage I, dus het doel is de volledige set maatregelen. Wat volgt is de volgorde waarin wij ze zouden bouwen, zodat een klein team niet verlamd raakt door 36 aanbevelingen. De basis maakt de latere maatregelen zinvol, dus de volgorde doet ertoe.

  1. Onderteken de metadata en verifieer op het apparaat. Voorzie een vertrouwensanker en controleer de handtekening voordat er iets installeert. Doe dit eerst, want elke andere maatregel gaat ervan uit dat het apparaat alleen authentieke updates accepteert. Zonder dit is de rest decoratie.
  2. Vergrendel het transport. TLS voor ontdekking en ophalen, en behandel elke CDN of mirror als onvertrouwd. Dit is grotendeels configuratie, dus het is goedkoop, en het sluit de ASUS-achtige ophaalaanval.
  3. Voeg hash- en toepasselijkheidscontroles toe. Kleine toevoegingen bij de verificatiestap: bevestig dat de hash van het artefact overeenkomt met het ondertekende manifest, en dat de update bij dit model en deze versie past. Weinig moeite zodra ondertekening op zijn plek is.
  4. Plan anti-terugrol vroeg in. Het is de moeilijkste maatregel om achteraf in te bouwen, want hij vereist beschermde tellerstatus en medewerking van de bootloader, dus plan hem nu al, ook al landt hij later. Het is de verdediging tegen bevriezing en downgrade die ENISA het meest benadrukt.
  5. Maak installaties atomisch, met terugrol. A/B of redundante slots, zodat een slechte release (de faalwijze van CrowdStrike) het apparaat niet onbruikbaar maakt. Dit is een groot werk als het met de hand wordt gemaakt, en daarom wint een onderhouden framework hier doorgaans.
  6. Leg uitkomsten vast en rapporteer ze. Een manipulatiebestendig updatelogboek en foutrapportage, zodat u een probleem kunt detecteren en kunt aantonen wat er is gebeurd. Dit is ook waar uw CRA-bewijs uit put.

Een uitgewerkt voorbeeld: een thermostaatpatch uitleveren

ENISA sluit af met een concreet voorbeeld, en dat is het helderste deel van het document. Een embedded IoT-thermostaat op versie 1.0.0 heeft een beveiligingsupdate nodig die EUVDB-202X-Y patcht, een fout in de invoervalidatie. Het apparaat gebruikt een in-band updater. Het voorbeeld is illustratief, geen universele blauwdruk.

De fabrikant draait twee ondertekenniveaus. Een hoofdondertekenautoriteit blijft offline en autoriseert een operationele leverancierondertekensleutel voor routinematige releases. Door die splitsing kan de leveranciersleutel roteren zonder het vertrouwensanker van het apparaat te wijzigen.

Het apparaat wordt geleverd met de onderdelen die hieronder worden getoond.

Schets van de thermostaat links, met de draaiknop op huidige firmware v1.0.0, twee firmwareslots slot_a en slot_b, een staging-gebied voor ongeverifieerde downloads, en een update die binnenkomt via TLS. Rechts zes componenten. root_public.pem is het vertrouwensanker dat bij fabricage wordt ingesteld en ondertekensleutels verifieert. vendor_public.pem verifieert ondertekende updatemetadata en is roteerbaar via een update. slot_a en slot_b zijn twee firmwareslots voor A/B-updates. staging is het opslaggebied voor ongeverifieerde downloads. rollback_counter is beschermde anti-terugrolstatus in niet-vluchtige opslag. ca.pem is het TLS-vertrouwensarchief dat het certificaat van de updateserver valideert.
Wat er in het apparaat zit, en hoe een update binnenkomt voordat hij wordt gecontroleerd.

Voorbereiding. De build draait in een gecontroleerde omgeving met alleen geautoriseerde code en afhankelijkheden. Een SBOM wordt gegenereerd en op kwetsbaarheden gecontroleerd. De fabrikant produceert een ondertekend manifest.json met de SHA-256-hash en bestandsgrootte, het toepasselijke product en de versie, versheids- en anti-terugrolvelden (tijdstempel, verloopdatum, terugrolteller) en advisory-informatie (ernst, advisory-URL). Een wijziging op byteniveau aan het pakket levert een andere hash op, die op het apparaat wordt opgevangen.

openssl dgst -sha256 -sign keys/vendor_private.pem \
  -out repo/manifest.json.sig repo/manifest.json

Ontdekking. De thermostaat controleert op updates via TLS en valideert het servercertificaat tegen ca.pem. Met de velden update_type en severity kan hij een beveiligingsupdate onderscheiden van een routinematige release en de gebruiker dienovereenkomstig informeren. Downloads belanden in staging, zodat een stroomstoring midden in een download de draaiende firmware nooit raakt.

curl --tlsv1.2 --cacert /etc/ssl/certs/ca.pem \
  https://updates.acme.com/device/manifest.json -o manifest.json

Verificatie en installatie. Vóór installatie voert het apparaat vijf controles op volgorde uit. Faalt er een, dan breekt het af.

Vijf controles op volgorde voordat een update installeert, en elke fout breekt af en behoudt de huidige firmware. Controle 1 vertrouwen in ondertekensleutel: de hoofdsleutel bevestigt dat de leveranciersleutel geautoriseerd is. Controle 2 handtekening: de leveranciersleutel verifieert de handtekening van het manifest. Controle 3 hash: de SHA-256 van het artefact komt overeen met het manifest. Controle 4 anti-terugrol: de terugrolteller van het manifest is minstens gelijk aan die van het apparaat. Controle 5 toepasselijkheid: model, versie, tijdstempel en configuratie komen overeen. Slagen alle vijf, dan wordt de firmware naar de inactieve slot geschreven en geactiveerd met een atomische A/B-omschakeling. Faalt een controle, dan breekt de update af en blijft de draaiende firmware onaangeroerd.
Een update moet alle vijf controles doorstaan voordat hij de actieve firmware raakt.

De anti-terugrolcontrole weegt het zwaarst. De terugrolteller van het apparaat gaat pas omhoog nadat nieuwe firmware opstart en de gezondheidscontroles doorstaat, zodat een mislukte of kwaadaardige update de ondergrens niet stilletjes kan verhogen en een latere fix kan buitensluiten. Bij succes schrijft de firmware naar de inactieve slot en activeert met een atomische slotomschakeling, zodat er altijd een bekende goede versie blijft. Waarneembaarheid legt elke poging vast in een toegangsbeperkte update.log met tijdstempel en status. Raakt de leveranciersleutel ooit gecompromitteerd, dan ondertekent de fabrikant een nieuwe leveranciersleutel en levert die uit, geautoriseerd door de hoofdsleutel. De hoofdsleutel wordt nooit via dit kanaal bijgewerkt. Compromittering van de hoofdsleutel vereist een apart veilig proces, zoals een fabrieksreset.

Wat dit betekent voor uw CRA-dossier

De laatste tabel van het advies koppelt elke beveiligingsclaim aan voorbeeldbewijs en -artefacten. Die koppeling is de brug naar uw technische documentatie. De technische documentatie van de CRA vraagt beide: een beschrijving van uw oplossing voor veilige updates (Bijlage VII) én het bewijs erachter, waaronder een softwarestuklijst (SBOM) en testverslagen. Een beschrijving zonder iets erachter is het zwakke punt.

Onze visie: begin met het bewijs, niet met de maatregelen

Dit is onze kijk, niet die van ENISA. Voor een mkb-bedrijf met weinig tijd is deze tabel het deel van het advies om als eerste op te handelen. De technische documentatie van de CRA (Artikel 31 en Bijlage VII) wil een beschrijving van uw updateoplossing plus het bewijs erachter: testverslagen, een SBOM en artefacten. De meeste teams kunnen de beschrijving schrijven. De lastigere vraag is of u vandaag voor elke claim het bewijs kunt leveren. Daar zouden wij het eerste uur in steken.

De beveiligingsclaims van het voorbeeld, en het bewijs dat elk ervan onderbouwt, zien er zo uit.

Wat u kunt claimen Bewijs om te bewaren
De update is te vertrouwen (herkomst en samenstelling) Buildlogs, SBOM, SCA-resultaten, CI/CD-registraties
Beschermd tegen ongeautoriseerde release of imitatie Ondertekend manifest, publieke hoofd- en leveranciersleutels, ondertekenlogs
Beveiligingsfixes worden zonder operationele vertraging uitgerold Releasenotes uitsluitend voor beveiliging, manifestvelden
Het updatekanaal is geauthenticeerd en privé ca.pem, TLS-instellingen
Beschermd tegen bevriezing op een kwetsbare versie Versheidscontroles, verloopdatum, versievalidatielogs
Geverifieerd vóór activering, beschermd tegen downgrade Publieke sleutels, handtekeningbestanden, anti-terugrolstatus
Fouten worden gedetecteerd en zijn herstelbaar update.log, gezondheidscontrolelogs, terugrolregistraties

Elke rij ondersteunt een of meer vereisten uit Bijlage I van de CRA, van integriteit en veilige verspreiding tot monitoring en beschikbaarheid. Zie de CRA-vereisten voor beveiligingsupdates voor het detail op artikelniveau.

Kunt u de rechterkolom vandaag niet leveren, dan is dat gat uw actiepunt. Een VEX-registratie en een SBOM-gestuurde afhankelijkheidscontrole dekken twee van deze rijen rechtstreeks. Uw due diligence bij leveranciers dekt de rij over buildvertrouwen voor componenten die u niet zelf hebt geschreven.

Veelgestelde vragen

Is het ENISA-advies over veilige updatemechanismen verplicht?

Nee. Het is een technisch conceptadvies, geen juridisch advies, en ENISA stelt dat het geen vermoeden van conformiteit is. De bindende verplichtingen staan in de CRA, vooral de updatevereisten in Bijlage I. Het advies helpt u die in de praktijk te halen, maar een markttoezichtautoriteit beoordeelt u aan de hand van Verordening (EU) 2024/2847, niet aan de hand van dit document. In Nederland kunt u voor cybersecurityrichtsnoeren terecht bij NCSC-NL, het nationale cybersecuritycentrum van Nederland.

Hoe verschilt dit van de ENISA Secure by Design-playbook?

De Secure by Design and Default-playbook dekt het hele product over 22 principes en de volledige levenscyclus. Dit advies zoomt in op één subsysteem, het updatekanaal, en gaat diep op de zeven stappen, dreigingen en maatregelen. Lees de playbook voor productbrede principes en dit advies wanneer u de updater zelf ontwerpt of auditeert.

Aan welke CRA-vereisten voldoet een veilig updatemechanisme?

Een veilig updatemechanisme is hoe u voldoet aan de updateverplichtingen in Bijlage I van de CRA. In gewone taal: het laat u aantonen dat u beveiligingsfixes snel kunt uitleveren, ze kunt leveren via een kanaal dat niet kan worden gemanipuleerd, ze tegen beschadiging kunt beschermen, gebruikers ze automatisch kunt laten ontvangen terwijl ze enige controle houden, en gebruikers kunt vertellen wanneer een update ertoe doet. De maatregelen voor bouwen, distribueren, verifiëren en herstellen in dit advies sluiten op elk daarvan aan. Zie de CRA-vereisten voor beveiligingsupdates voor het detail op artikelniveau.

Moet ik TUF of Uptane implementeren?

Nee. Het advies is technologie-onafhankelijk en zegt alleen dat de aanbevelingen consistent zijn met TUF, Uptane en NIST SP 800-40. De basislijn is een vertrouwensanker op het apparaat, ondertekende metadata, verificatie op het apparaat en anti-terugrol. TUF en Uptane formaliseren meerdere ondertekenrollen en versheidsmetadata voor ontwerpen met hogere zekerheid, dus neem ze over als uw risicoprofiel daarom vraagt.

Wat is anti-terugrol en waarom benadrukt het advies het?

Anti-terugrol verhindert dat een aanvaller een apparaat terugdwingt naar een oudere, kwetsbare maar nog geldig ondertekende versie. Dat is een bevriezings- of downgrade-aanval, en hij verschijnt bij de stappen Controleren, Verifiëren en Installeren. Het thermostaatvoorbeeld gebruikt een terugrolteller in beschermde opslag die pas omhooggaat nadat nieuwe firmware opstart en de gezondheidscontroles doorstaat. Zonder anti-terugrol glijdt een ondertekende maar oude update zo door de handtekeningverificatie.

Hoe dien ik feedback in bij ENISA?

ENISA verzamelt feedback via een openbare enquête, met deadline 10 juli 2026. U kunt de conceptadvies-PDF lezen op de ENISA-website, waar ook de link naar de enquête staat. Levert u updates aan producten met digitale elementen, dan is uw eigen leveringsmodel uit de praktijk precies wat ENISA fabrikanten vroeg te beoordelen.

Volgende stappen

Wat te doen vóór de deadline van 10 juli

  1. Teken uw eigen versie van het schema met zeven stappen voor één echt product. Markeer welke van de vier leveringsmodellen u gebruikt en welke stappen u werkelijk beheert.
  2. Loop de tabel met zeven dreigingen langs dat product. Schrijf voor elke rij de maatregel op die u vandaag heeft en het bewijs dat u zou kunnen tonen, met de CRA-vereisten voor beveiligingsupdates als checklist.
  3. Dicht eerst de twee makkelijkste bewijsgaten: genereer een SBOM in uw buildpijplijn en zet VEX-registraties op voor de koppeling met advisory's.
  4. Mist uw ontwerp anti-terugrol of atomische installatie, evalueer dan een onderhouden updateframework (Mender, RAUC, SWUpdate, OSTree) voordat u het zelf bouwt. Het is de moeilijkste maatregel om achteraf in te bouwen en de maatregel die ENISA het meest benadrukt.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifiek nalevingsadvies een gekwalificeerd juridisch adviseur.

CRA Beveiliging ENISA Toeleveringsketen Secure by Design
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Verordening cyberweerbaarheid valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Doorlopende gidsen over de eisen, processen en rollen uit de EU-cyberweerbaarheidsverordening (CRA).

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
Bekijk de volledige CRA-nalevingsgids