Een machine met een programmeerbare besturing, een HMI, een ingebedde computer of een netwerkinterface kan zowel onder de EU-Machineverordening (Verordening (EU) 2023/1230) als onder de EU Cyber Resilience Act (Verordening (EU) 2024/2847) vallen. De CRA geldt wanneer de machine een product met digitale elementen is en het beoogde doel of het redelijkerwijs voorzienbare gebruik een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk omvat. Een specifieke overweging van de CRA benoemt deze dubbele-regimeoverlap en wijst op twee secties van de Machineverordening die cyberbeveiligingsgedreven veiligheid dekken: secties 1.1.9 en 1.2.1. Deze pagina behandelt wat de overweging zegt, hoe CRA-bewijs aansluit op de Machinekant en waar de twee conformiteitsbeoordelingen gescheiden blijven.
Samenvatting
- Beide regimes kunnen tegelijk gelden. Een machine binnen het toepassingsgebied van de Machineverordening heeft ook een CRA-behandeling nodig wanneer zij een product met digitale elementen is met een directe of indirecte gegevensverbinding met een apparaat of netwerk. Machines vallen niet onder de CRA-uitsluitingen.
- De CRA verankert de overlap van het dubbele regime. Fabrikanten die onder beide verordeningen vallen, moeten aan beide voldoen. De cyberbeveiligingsoverlap aan de Machinekant concentreert zich in de secties 1.1.9 en 1.2.1 van de Machineverordening.
- De overlap zit op cyberbeveiligingsgedreven veiligheidsfalen. Een besturingssysteem waarvan de veiligheidslogica via het netwerk gemanipuleerd kan worden, is onveilig in de zin van de Machineverordening en onbeveiligd in de zin van de CRA. Dezelfde technische maatregelen (invoervalidatie, authenticatie, integriteitsbescherming van de veiligheidslogica) spreken beide verordeningen aan.
- CRA-bewijs kan gewicht in de schaal leggen aan de Machinekant, maar u moet het verband leggen. De CRA staat de synergie toe en wijst geharmoniseerde normen aan als brug. De last om het verband aan te tonen ligt bij de fabrikant, in het technisch dossier.
- Elk regime houdt zijn eigen conformiteitsbeoordeling. De Machineverordening kent eigen routes, met betrokkenheid van een aangemelde instantie voor hoger-risicocategorieën machines; de CRA kent eigen conformiteitsroutes. Dezelfde aangemelde instantie kan beide beoordelingen uitvoeren wanneer zij over beide aanwijzingen beschikt.
De overlap in vier cijfers: twee verordeningen, twee secties van de Machineverordening, het CRA-anker dat ze verbindt en de data waarop het dubbele regime in werking treedt.
Waar de twee verordeningen overlappen
De Machineverordening regelt veiligheid; de CRA regelt cyberbeveiliging. De Machineverordening regelt de veiligheid van machines die op de EU-markt worden gebracht. De CRA regelt producten met digitale elementen waarvan het beoogde doel of het redelijkerwijs voorzienbare gebruik een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk omvat. Een moderne machine met een PLC, een HMI, een ingebedde besturing of een netwerkinterface voldoet vaak aan beide tests, maar de CRA-scopecheck blijft nodig.
De overlap zit op cyberbeveiligingsgedreven veiligheidsfalen. Een besturingssysteem waarvan de veiligheidsrelevante logica via het netwerk gemanipuleerd kan worden, is onveilig in de zin van de Machineverordening en onbeveiligd in de zin van de CRA. Dezelfde technische maatregelen (invoervalidatie, authenticatie, integriteitsbescherming van de veiligheidslogica) spreken beide verordeningen aan.
De CRA verankert de overlap in twee secties van de Machineverordening:
Machineverordening §1.1.9
Bescherming tegen aantasting van besturingssystemen. Cybermanipulatie van veiligheidsrelevante logica, zoals code-injectie in een PLC, signaalvervalsing van een interlock of ongeautoriseerde firmware-writes, is een veiligheidsfalen onder de Machineverordening én een cyberbeveiligingsfalen onder de CRA. Dezelfde technische maatregelen (integriteitsbescherming, ondertekende updates, invoervalidatie) spreken beide verordeningen aan.
Machineverordening §1.2.1
Veiligheid en betrouwbaarheid van besturingssystemen, ook tegen opzettelijke manipulatie. Besturingslogica die haar integriteit verliest onder aanval, zoals een noodstop die op afstand wordt omzeild of een afscherming-interlock die in software wordt uitgeschakeld, is onveilig onder de Machineverordening en onbeveiligd onder de CRA. De cyberbeveiligingstechnische maatregelen en de functionele-veiligheidsmaatregelen komen samen op dezelfde harding.
Beide secties dragen cyberbeveiligingsinhoud omdat aantasting en opzettelijke manipulatie van besturingssystemen cyberbeveiligingsdreigingen zijn met veiligheidsgevolgen.
- Afscherming tegen mechanische gevaren (hekken, lichtgordijnen, interlocks).
- Noodstopcircuits en veiligheidsgerelateerde stopfuncties.
- Ergonomie van de bediener, zichtbaarheid en reikwijdte.
- Grenswaarden voor geluid, trillingen en emissies.
- Bedieningsinstructies voor veilig hanteren, vervoer en onderhoud.
- Mechanische stabiliteit en structurele integriteit.
- Bescherming van besturingssystemen tegen aantasting.
- Veiligheid en betrouwbaarheid van besturingssystemen tegen opzettelijke manipulatie.
- Risicobeoordeling van cybergedreven veiligheidsfalen.
- Technische documentatie van veilig ontworpen besturingssystemen.
- Kwetsbaarheidsafhandeling voor veiligheidsrelevante besturingslogica.
- Software bill of materials voor besturingssysteemcomponenten.
- Actieve kwetsbaarheidsafhandeling gedurende de volledige ondersteuningsperiode.
- Melding van kwetsbaarheden en ernstige incidenten aan het coördinerend CSIRT en ENISA.
- Beleid voor gecoördineerde openbaarmaking van kwetsbaarheden.
- Software bill of materials opgesteld voor markttoezichtautoriteiten op gemotiveerd verzoek.
- Toezeggingen voor beveiligingsupdates gedurende de ondersteuningsperiode.
- Gratis beveiligingsupdates gedurende de ondersteuningsperiode.
Overlap CRA en Machineverordening. De twee regimes gelden gelijktijdig voor een machine met digitale elementen. De cyberbeveiligingsinhoud van de Machinekant concentreert zich in de secties 1.1.9 en 1.2.1 van de Machineverordening. CRA-artefacten (risicobeoordeling, technisch dossier, proces voor kwetsbaarheidsafhandeling, software bill of materials) sluiten aan op het technisch dossier van de Machinekant zodra de fabrikant het verband aantoont.
Wat de CRA over de machineoverlap zegt
De CRA verbindt de twee regimes via Overweging 53. In gewone bewoordingen zegt zij de fabrikant van een machine met digitale elementen vier dingen:
| Wat de overweging zegt | Wat het in de praktijk betekent |
|---|---|
| Beide regimes kunnen gelden, zonder machinevrijstelling | Een machine die binnen het toepassingsgebied van Verordening (EU) 2023/1230 valt en tevens een CRA-product met digitale elementen is, moet voldoen aan de essentiële cyberbeveiligingseisen van de CRA en aan de essentiële gezondheids- en veiligheidseisen van de Machineverordening. Machines vallen niet onder de CRA-uitsluitingen. |
| Dezelfde cyberbeveiligingsrisico's kunnen in beide opduiken | De twee verordeningen behandelen vergelijkbare cyberbeveiligingsdreigingen vanuit verschillende invalshoeken: de Machineverordening via veiligheid, de CRA via cyberbeveiliging. Waar zij overlappen, spreken dezelfde technische maatregelen (invoervalidatie, authenticatie, integriteitsbescherming van de veiligheidslogica) beide aan. |
| CRA-werk kan gewicht in de schaal leggen aan de Machinekant, maar alleen waar de regimes overlappen | De CRA-risicobeoordeling (Artikel 13(2)), de technische documentatie (Bijlage VII) en het proces voor kwetsbaarheidsafhandeling (Bijlage I deel II) leveren bewijs op dat aansluit op Machineverordening §1.1.9 (bescherming tegen aantasting) en §1.2.1 (veiligheid en betrouwbaarheid van besturingssystemen). Voor elk ander deel van de Machineverordening doet u het Machinewerk op de Machinemanier. |
| De fabrikant verbindt de punten in het technisch dossier | De overweging is permissief, niet automatisch. Om CRA-bewijs als bewijs voor de Machineverordening in te zetten, koppelt de fabrikant CRA-gestuurde maatregelen aan specifieke secties van de Machineverordening en haalt geharmoniseerde normen aan die beide regimes dekken. |
De overweging sluit met een verdere instructie die het artikel hieronder herhaalt: elk regime houdt zijn eigen conformiteitsbeoordelingsprocedure, en beide moeten worden gevolgd.
Hoe CRA-bewijs aansluit op de Machineverordening
Een pragmatische aansluiting voor de overlap:
| Vereiste Machineverordening | CRA-bewijs dat het ondersteunt |
|---|---|
| Machineverordening §1.1.9 (bescherming tegen aantasting) | CRA-risicobeoordeling (Artikel 13(2)), Bijlage I deel I standaard veilige configuratie, authenticatie en toegangsbeheer, integriteitsbescherming van gegevens |
| Machineverordening §1.2.1 (veiligheid en betrouwbaarheid van besturingssystemen) | CRA Bijlage I deel I beschikbaarheid van essentiële functies, mitigatie van uitbuiting, registratie van beveiligingsgebeurtenissen; Bijlage I deel II regelmatige beveiligingstests |
| Technisch dossier Machineverordening | CRA-technische documentatie op grond van Bijlage VII (kruisverwijsbaar), CRA-software bill of materials, CRA-beleid voor kwetsbaarheidsafhandeling |
Deze aansluiting is informatief, niet normatief. De fabrikant moet het verband per specifieke machine in het technisch dossier rechtvaardigen, en de formulering "zulke synergieën moeten worden aangetoond" in de overweging legt die last bij de fabrikant.
Conformiteitsbeoordelingen blijven gescheiden
Elk regime houdt zijn eigen conformiteitsbeoordelingsprocedure. Overweging 53 zegt dat de fabrikant de toepasselijke procedures onder de CRA en onder Verordening (EU) 2023/1230 moet volgen. De Machineverordening kent eigen routes, waaronder betrokkenheid van een aangemelde instantie voor hoger-risicocategorieën machines; de CRA kent eigen routes onder Artikel 32 en Bijlage VIII.
Eén aangemelde instantie kan beide uitvoeren, maar alleen wanneer zij over beide aanwijzingen beschikt. Dezelfde machine kan voor beide regimes betrokkenheid van een aangemelde instantie vereisen, mogelijk met dezelfde instantie wanneer zij onder beide verordeningen is aangewezen. Aangemelde instanties worden per verordening aangewezen; een aanwijzing onder de Machineverordening loopt niet automatisch door naar de CRA.
Voor de keuze van de CRA-route voor conformiteitsbeoordeling, zie CRA-conformiteitsbeoordeling. Voor de eisen aan de technische documentatie, zie CRA-technische documentatie.
Veelvoorkomende valkuilen
| Bewering | Waarom het misgaat |
|---|---|
| "Eén CE-markering betekent dat we maar één conformiteitsbeoordeling doen." | De CE-markering staat eenmaal op het product, maar elk toepasselijk regime heeft een eigen conformiteitsbeoordeling, eigen technische documentatie en een eigen verklaring nodig. |
| "Onze aangemelde instantie voor de Machineverordening dekt automatisch de CRA." | Aangemelde instanties worden per verordening aangewezen. Een instantie die onder de Machineverordening is opgenomen, wordt niet automatisch een CRA-aangemelde instantie; controleer de NANDO-lijst van de Commissie voor beide verordeningen tegen het nummer van de instantie. |
| "Geen internetinterface betekent dat de CRA niet geldt." | Ingebedde software, firmware of een programmeerbare besturing kan de machine tot een product met digitale elementen maken; een indirecte gegevensverbinding via een verbindbaar systeem brengt de machine eveneens binnen het toepassingsgebied. |
| "Sectie 1.1.9 van de Machineverordening bewijst alleen de CRA-cyberbeveiligingsconformiteit." | Sectie 1.1.9 ziet op bescherming tegen aantasting, slechts één onderdeel van cyberbeveiligingsgedreven veiligheid. De essentiële vereisten van de CRA zijn breder en de fabrikant moet conformiteit met de volledige CRA-set aantonen. |
| "De synergie-overweging laat ons CRA-bewijs automatisch hergebruiken aan de Machinekant." | De overweging is permissief, niet automatisch. De fabrikant moet CRA-gestuurde maatregelen koppelen aan specifieke secties van de Machineverordening en in het technisch dossier geharmoniseerde normen aanhalen die beide regimes dekken. |
Veelgestelde vragen
Vervangt de CRA de Machineverordening of gaat zij erbovenuit?
Nee. De Machineverordening blijft machineveiligheid regelen, en de CRA voegt cyberbeveiligingsplichten toe wanneer de machine ook een product met digitale elementen is. Een fabrikant die onder beide regimes valt, moet voldoen aan de essentiële cyberbeveiligingseisen van de CRA en aan de essentiële gezondheids- en veiligheidseisen van de Machineverordening. De CRA verankert de overlap bij bescherming tegen aantasting en bij veiligheid en betrouwbaarheid van besturingssystemen (Overweging 53).
Kan één CE-markering beide regimes dekken?
Eén CE-markering kan op het product staan, maar het onderliggende conformiteitswerk blijft gescheiden. De CE-markering geeft aan dat het product voldoet aan de toepasselijke harmonisatiewetgeving van de Unie. Voor een machine met digitale elementen betekent dat de conformiteitsbeoordeling van de Machineverordening plus de CRA-conformiteitsbeoordeling. De markering is enkelvoudig, maar elk toepasselijk regime heeft eigen conformiteitsbewijs en een eigen verklaring nodig (Artikel 32).
Vanaf wanneer gelden de twee verordeningen?
De Machineverordening (Verordening (EU) 2023/1230) is volledig van toepassing vanaf 20 januari 2027 en vervangt de Machinerichtlijn 2006/42/EG voor producten die vanaf die datum in de handel worden gebracht. De CRA (Verordening (EU) 2024/2847) is volledig van toepassing vanaf 11 december 2027 voor producten die vanaf die datum in de handel worden gebracht (Artikel 71(2)). Producten met digitale elementen die vóór 11 december 2027 in de handel zijn gebracht, vallen alleen onder de CRA-eisen als zij vanaf die datum ingrijpend worden gewijzigd; de meldplichten van Artikel 14 gelden wel vanaf 11 september 2026 voor alle producten binnen het toepassingsgebied (Artikel 69(2); Artikel 69(3)).
Dekt mijn aangemelde instantie voor de Machineverordening ook de CRA?
Alleen wanneer de instantie beide aanwijzingen heeft. Aangemelde instanties worden per verordening aangewezen, dus een instantie die voor een module van de Machineverordening is opgenomen, wordt niet automatisch een CRA-aangemelde instantie. Controleer de officiële NANDO-lijst van de Europese Commissie voor beide verordeningen tegen het nummer van de instantie; zijn beide aanwijzingen aanwezig, dan kan één instantie beide beoordelingen uitvoeren (Artikel 43).
Wat als mijn machine geen netwerkinterface heeft? Geldt de CRA dan toch?
Misschien. Geen internetinterface haalt een machine niet automatisch buiten de CRA, maar de scopetest vereist nog steeds een gegevensverbinding. Een machine valt alleen binnen de CRA wanneer het beoogde doel of het redelijkerwijs voorzienbare gebruik een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk omvat. Ingebedde software, firmware of een programmeerbare besturing kan de machine tot een product met digitale elementen maken, maar een machine zonder zo'n gegevensverbinding vraagt om een zorgvuldige scopeanalyse, niet om een automatisch ja (Artikel 2(1)).