CRA en EU-Machineverordening 2023/1230: overlap

Een machine met een programmeerbare besturing, een HMI, een ingebedde computer of een netwerkinterface valt zowel onder de EU-Machineverordening (verordening (EU) 2023/1230) als onder de EU Cyber Resilience Act (verordening (EU) 2024/2847). Overweging 53 van de CRA benoemt de overlap en wijst op twee secties van bijlage III van de Machineverordening, 1.1.9 en 1.2.1, waar de cyberbeveiligingsinhoud zich concentreert. Deze pagina behandelt wat overweging 53 zegt, hoe CRA-bewijs aansluit op de Machinekant en waar de twee conformiteitsbeoordelingen gescheiden blijven.

Samenvatting

  • Beide regimes gelden tegelijk. Een machine met een programmeerbare besturing, een HMI of een netwerkinterface wordt voor veiligheid geregeld door de Machineverordening en voor cyberbeveiliging door de CRA. Er is geen vrijstelling: artikel 2 van de CRA zondert medische hulpmiddelen, motorvoertuigen, burgerluchtvaart en uitrusting van zeeschepen uit, en machines staan niet op die lijst.
  • Overweging 53 is het anker van het dubbele regime. Zij draagt fabrikanten die onder beide verordeningen vallen op aan beide te voldoen, en wijst de secties 1.1.9 en 1.2.1 van bijlage III van de Machineverordening aan als de plek waar de cyberbeveiligingsinhoud van de Machinekant zich concentreert.
  • De overlap zit op cyberbeveiligingsgedreven veiligheidsfalen. Een besturingssysteem waarvan de veiligheidslogica via het netwerk gemanipuleerd kan worden, is onveilig in de zin van de Machineverordening en onbeveiligd in de zin van de CRA. Dezelfde technische maatregelen (invoervalidatie, authenticatie, integriteitsbescherming van de veiligheidslogica) spreken beide verordeningen aan.
  • CRA-bewijs kan gewicht in de schaal leggen aan de Machinekant, maar u moet het verband leggen. Overweging 53 staat de synergie toe en wijst geharmoniseerde normen aan als de brug. De last om het verband aan te tonen ligt bij de fabrikant, in het technisch dossier.
  • Elk regime houdt zijn eigen conformiteitsbeoordeling. De Machineverordening kent eigen routes (met betrokkenheid van een aangemelde instantie voor hoger-risicomachines in haar bijlage I); de CRA loopt via artikel 32 met de modules van bijlage VIII. Dezelfde aangemelde instantie kan beide doen wanneer zij over beide aanwijzingen beschikt.
2
Regimes gelden gelijktijdig
CRA + Machineverordening
§1.1.9 + §1.2.1
Secties bijlage III
Waar de cyberbeveiligingsoverlap zit
Overweging 53
Anker dubbel regime
Verordening (EU) 2024/2847
11 dec 2027
CRA volledig van toepassing
Machineverord. van toepassing 20 jan 2027

De overlap in vier cijfers: twee verordeningen, twee secties van bijlage III, de overweging die ze verbindt en de data waarop het dubbele regime in werking treedt.

Waar de twee verordeningen overlappen

De Machineverordening regelt de veiligheid van machines die op de EU-markt worden gebracht. De CRA regelt de cyberbeveiliging van producten met digitale elementen die op de EU-markt worden gebracht. Een moderne machine met een PLC, een HMI, een ingebedde besturing of een netwerkinterface voldoet aan beide definities en activeert beide regimes.

De overlap zit op vereisten die cyberbeveiligingsgedreven veiligheidsfalen adresseren. Een besturingssysteem waarvan de veiligheidsrelevante logica via het netwerk gemanipuleerd kan worden, is onveilig in de zin van de Machineverordening en onbeveiligd in de zin van de CRA. Dezelfde technische maatregelen (invoervalidatie, authenticatie, integriteitsbescherming van de veiligheidslogica) spreken beide verordeningen aan.

De CRA verankert de overlap op twee plekken:

  • Bijlage III §1.1.9 van verordening (EU) 2023/1230 behandelt bescherming tegen aantasting van besturingssystemen.
  • Bijlage III §1.2.1 van verordening (EU) 2023/1230 behandelt de veiligheid en betrouwbaarheid van besturingssystemen, ook tegen opzettelijke manipulatie.

Beide secties dragen cyberbeveiligingsinhoud omdat aantasting en opzettelijke manipulatie van besturingssystemen cyberbeveiligingsdreigingen zijn met veiligheidsgevolgen.

Overlap CRA en Machineverordening: drie kolommen met inhoud die alleen bij Machine hoort, de overlapzone bijlage III §1.1.9 + §1.2.1 met overbruggend CRA-bewijs, en inhoud die alleen bij CRA hoort
Overlap CRA en Machineverordening. De twee regimes gelden gelijktijdig voor een machine met digitale elementen. De cyberbeveiligingsinhoud van de Machinekant concentreert zich in bijlage III, secties 1.1.9 (bescherming tegen aantasting) en 1.2.1 (veiligheid en betrouwbaarheid van besturingssystemen). Vier CRA-artefacten brengen de brug naar het technisch dossier van de Machinekant zodra de fabrikant het verband aantoont: de risicobeoordeling van artikel 13, lid 2, het technisch dossier van bijlage VII, het proces voor kwetsbaarheidsafhandeling van bijlage I deel II en de SBOM.

Wat overweging 53 van de CRA in gewone bewoordingen zegt

Overweging 53 is de bepaling in de CRA die de twee regimes met elkaar verbindt. In gewone bewoordingen zegt zij de fabrikant van een machine met digitale elementen vier dingen:

Wat de overweging zegt Wat het in de praktijk betekent
Beide regimes gelden, geen vrijstelling Een machine die binnen het toepassingsgebied van verordening (EU) 2023/1230 valt en tevens een product met digitale elementen is, moet voldoen aan de essentiële cyberbeveiligingseisen van de CRA en aan de essentiële gezondheids- en veiligheidseisen van de Machineverordening. Artikel 2 van de CRA zondert medische hulpmiddelen, motorvoertuigen, burgerluchtvaart en uitrusting van zeeschepen uit; machines staan niet op die lijst.
Dezelfde cyberbeveiligingsrisico's kunnen in beide opduiken De twee verordeningen behandelen vergelijkbare cyberbeveiligingsdreigingen vanuit verschillende invalshoeken: de Machineverordening via veiligheid, de CRA via cyberbeveiliging. Waar zij overlappen, spreken dezelfde technische maatregelen (invoervalidatie, authenticatie, integriteitsbescherming van de veiligheidslogica) beide aan.
CRA-werk kan gewicht in de schaal leggen aan de Machinekant, maar alleen waar de regimes overlappen De cyberbeveiligingsrisicobeoordeling (artikel 13, lid 2), de technische documentatie (bijlage VII) en het proces voor kwetsbaarheidsafhandeling (bijlage I deel II) leveren bewijs op dat aansluit op bijlage III §1.1.9 (bescherming tegen aantasting) en §1.2.1 (veiligheid en betrouwbaarheid van besturingssystemen). Voor elk ander deel van de Machineverordening doet u het Machinewerk op de Machinemanier.
De fabrikant verbindt de punten in het technisch dossier Overweging 53 is permissief, niet automatisch. Om CRA-bewijs als bewijs voor de Machineverordening in te zetten, koppelt de fabrikant CRA-gestuurde maatregelen aan specifieke secties van bijlage III en haalt geharmoniseerde normen aan die beide regimes dekken.

De overweging sluit met een verdere instructie die het artikel hieronder herhaalt: elk regime houdt zijn eigen conformiteitsbeoordelingsprocedure, en beide moeten worden gevolgd.

Hoe CRA-bewijs aansluit op de Machineverordening

Een pragmatische aansluiting voor de overlap:

Vereiste Machineverordening CRA-bewijs dat het ondersteunt
Bijlage III §1.1.9 (bescherming tegen aantasting) CRA-risicobeoordeling (artikel 13, lid 2), bijlage I deel I (b) standaard veilige configuratie, (d) authenticatie en toegangsbeheer, (f) integriteitsbescherming van gegevens
Bijlage III §1.2.1 (veiligheid en betrouwbaarheid van besturingssystemen) CRA-bijlage I deel I (h) beschikbaarheid van essentiële functies, (k) mitigatie van uitbuiting, (l) registratie van beveiligingsgebeurtenissen; bijlage I deel II (3) regelmatige beveiligingstests
Technisch dossier Machineverordening CRA-technische documentatie op grond van bijlage VII (kruisverwijsbaar), CRA-SBOM, CRA-beleid voor kwetsbaarheidsafhandeling

Deze aansluiting is informatief, niet normatief. De fabrikant moet het verband per specifieke machine in het technisch dossier rechtvaardigen, en de formulering "zulke synergieën moeten worden aangetoond" in overweging 53 legt die last bij de fabrikant.

Conformiteitsbeoordelingen blijven gescheiden

Overweging 53 sluit met een duidelijke instructie: "De fabrikant moet ook de toepasselijke conformiteitsbeoordelingsprocedures volgen die zijn vastgelegd in deze verordening en in verordening (EU) 2023/1230." De Machineverordening kent eigen routes voor conformiteitsbeoordeling (waaronder betrokkenheid van een aangemelde instantie voor hoger-risicomachines in haar bijlage I); de CRA kent de hare (artikel 32 en de modules van bijlage VIII). Dezelfde machine kan voor beide regimes betrokkenheid van een aangemelde instantie vereisen, mogelijk met dezelfde aangemelde instantie wanneer zij over beide aanwijzingen beschikt.

Voor de keuze van de CRA-route voor conformiteitsbeoordeling, zie CRA-conformiteitsbeoordeling. Voor de eisen aan de technische documentatie, zie CRA-technische documentatie.

Veelgestelde vragen

Vervangt de CRA de Machineverordening of gaat zij erbovenuit?

Nee. De twee verordeningen gelden gelijktijdig. Overweging 53 van de CRA stelt de dubbele plicht in gewone bewoordingen: een fabrikant van producten binnen het toepassingsgebied van verordening (EU) 2023/1230 die ook producten met digitale elementen zijn, moet voldoen aan de essentiële cyberbeveiligingseisen van de CRA en aan de essentiële gezondheids- en veiligheidseisen van de Machineverordening. De Machineverordening blijft veiligheid regelen; de CRA voegt de cyberbeveiligingslaag toe en verankert de overlap op de secties 1.1.9 en 1.2.1 van bijlage III.

Kan één CE-markering beide regimes dekken?

Eén CE-markering op het product, twee onderliggende conformiteitsbeoordelingen. De CE-markering is de verklaring van de fabrikant dat het product voldoet aan elke toepasselijke harmonisatieverordening van de Unie. Voor een machine met digitale elementen betekent dat de conformiteitsbeoordeling van de Machineverordening op grond van haar eigen bijlage IV (of welke route ook van toepassing is) en de CRA-conformiteitsbeoordeling op grond van artikel 32 met de modules van bijlage VIII. Beide EU-conformiteitsverklaringen moeten bestaan; de CE-markering is enkelvoudig, maar de papierwinkel erachter is dubbel.

Vanaf wanneer gelden de twee verordeningen?

De Machineverordening (verordening (EU) 2023/1230) is volledig van toepassing vanaf 20 januari 2027 en vervangt de Machinerichtlijn 2006/42/EG voor producten die vanaf die datum in de handel worden gebracht. De CRA (verordening (EU) 2024/2847) is volledig van toepassing vanaf 11 december 2027; de meldplichten voor fabrikanten op grond van artikel 14 beginnen eerder, op 11 september 2026. Een machine die tussen 20 januari en 11 december 2027 op de EU-markt wordt gebracht, valt al onder de nieuwe Machineverordening; vanaf 11 december 2027 valt zij ook onder de CRA.

Dekt mijn aangemelde instantie voor de Machineverordening ook de CRA?

Alleen wanneer de instantie naast haar Machineaanwijzing ook over een CRA-aanwijzing beschikt. Aangemelde instanties worden per verordening aangewezen. Een instantie die voor module B/C2/H onder de Machineverordening is opgenomen, verschijnt niet automatisch op de lijst van aangemelde instanties onder artikel 43 van de CRA. Controleer de EU-NANDO-databank voor beide verordeningen tegen het nummer van de instantie; zijn beide aanwijzingen aanwezig, dan kan één instantie beide beoordelingen uitvoeren, wat operationeel eenvoudiger is dan splitsen.

Wat als mijn machine geen netwerkinterface heeft? Geldt de CRA dan toch?

Waarschijnlijk wel. Artikel 3, punt 1, van de CRA definieert een product met digitale elementen als een software- of hardwareproduct en de oplossingen voor gegevensverwerking op afstand ervan. De aanleiding is digitale functionaliteit, niet connectiviteit. Een machine met ingebedde software, firmware of een programmeerbare besturing valt binnen het toepassingsgebied, ook zonder netwerkinterface, omdat de ingebedde software zelf het digitale element is. Het smalle geval waarin de CRA niet geldt, is zuiver mechanische machines zonder software, zonder firmware en zonder programmeerbare logica, wat voor producten binnen het toepassingsgebied van de nieuwe Machineverordening steeds zeldzamer wordt.

Waar te beginnen

  1. Voer de toepasselijkheidstoets aan beide kanten uit. Voor de toets van het toepassingsgebied van de CRA, zie wie aan de CRA moet voldoen. Voor een diepere machinespecifieke gids over de routes voor conformiteitsbeoordeling van de Machineverordening, het tijdstip van toepassing en voorbeelden van productlijnen, zie de CRA Evidence-gids voor machinefabrikanten.
  2. Voer een CRA-risicobeoordeling op grond van artikel 13, lid 2, uit die expliciet de risico's onder bijlage III §1.1.9 (bescherming tegen aantasting) en §1.2.1 (veiligheid en betrouwbaarheid van besturingssystemen tegen opzettelijke manipulatie) dekt, zodat dezelfde beoordeling beide regimes kan bedienen.
  3. Bouw een technisch dossier dat CRA-bewijs (technische documentatie van bijlage VII, SBOM, beleid voor kwetsbaarheidsafhandeling) doorverwijst naar het technisch dossier van de Machineverordening. Zie CRA-technische documentatie en CRA-SBOM-eisen.
  4. Zet een proces voor kwetsbaarheidsafhandeling op grond van bijlage I deel II op dat draait gedurende de hele ondersteuningsperiode en de veiligheidsrelevante besturingslogica dekt, niet alleen het klassieke IT-aanvalsoppervlak.
  5. Kies de CRA-route voor conformiteitsbeoordeling op grond van artikel 32. Zie CRA-conformiteitsbeoordeling voor de modulekeuze. De conformiteitsbeoordeling van de Machineverordening loopt parallel; vereisen beide regimes een aangemelde instantie, controleer dan of één instantie beide kan doen.