Zijn industriële robots en cobots belangrijke producten onder de CRA?

Samenvatting

Deze gids volgt één fictieve cobotrelease van classificatie tot productgrens, risicobeoordeling, SBOM, release-akkoord, kwetsbaarheidsmelding en overdracht aan de economische actor. Dezelfde structuur werkt voor een 6-assige arm, een coöperatieve cel of een robotbesturing die met optionele vision- en fleet-clouddiensten wordt verkocht.

  • De standaardroute is het planningsuitgangspunt. Industriële robots en cobots staan vandaag niet in de CRA-lijsten van belangrijke of kritieke producten. Behandel aanbiedingen die zich richten op een firewall, netwerkbeheer of een sabotagebestendige besturing als aparte classificatieoordelen wanneer die functies de kern van het aanbod vormen.
  • Begin met de grensnotitie. Benoem de exacte variant: armhardware, besturingskast, handterminal, veldbusopties, programmeerruntime, fleet- of cloudconnector, beoogd gebruik, meegeleverde digitale elementen, ondersteuningsperiode en routemotivatie.
  • Cyber en veiligheid raken elkaar vanaf 2027. ISO 10218-1:2025 voegt cyberbeveiligingseisen toe waar die de robotveiligheid raken, en de Machineverordening geldt vanaf 20 januari 2027. Het CRA-dossier en de veiligheidsanalyse delen op die punten bewijs.
  • De ondersteuningstermijn vraagt om een geloofwaardige einddatum. De ondersteuningsperiode bedraagt minstens vijf jaar tenzij de verwachte gebruiksduur korter is. Robots draaien in fabrieken vaak veel langer, dus het dossier moet een ondersteuningsvenster benoemen dat de fabrikant kan leveren en de einddatum bekendmaken vóór aankoop.
  • Kwetsbaarheidsafhandeling is een operationeel model. Het releasedossier moet benoemen wie kwetsbaarheidswaarschuwingen ontvangt, wie onderhoudsvensters goedkeurt, wie een update kan terugdraaien en hoe openstaande adviezen zichtbaar blijven.
  • De overdracht zelf is bewijs. De fabrikant beheert het productdossier; de integrator beheert het celdossier wanneer dat onder de naam van de integrator op de markt komt; de exploitant draait de cel. Elke overdracht wordt vastgelegd, niet informeel naar de klant doorgeschoven.

Hoe classificeert u een industriële robot of cobotrelease?

Begin bij het aanbod, niet bij de armhardware. Een 6-assige arm die aan een systeemintegrator wordt verkocht en dezelfde arm die als complete cobotcel aan een kleine werkplaats wordt verkocht, zijn verschillende CRA-producten. De route hangt af van waarvoor de koper betaalt, welke besturing en handterminal worden meegeleverd en of de fabrikant ook de fleet cloud, de veiligheidsconfiguratie en het OTA-updatepad levert.

Geïllustreerde classificatieroute-beslissing voor een industriële robot of cobot. Een bovenliggende vraag 'Waarvoor betaalt de koper?' vertakt naar drie geïllustreerde paden. Tak A: een 6-assige arm verkocht aan een systeemintegrator volgt de standaardroute als componentdossier. Tak B (gemarkeerd): een complete cobotcel verkocht aan een MKB met krachtbegrensde arm, veiligheidsconfiguratie, vision-optie, fleet cloud en gesigneerde updates volgt de standaardroute met het volledige fabrikantsdossier. Tak C: een robotarm geïntegreerd in een eindmachine die onder de CE-markering van de integrator wordt verkocht, gebruikt twee dossiers met een door de integrator geleide release. Een voettekst herinnert de lezer eraan dat de standaardroute het planningsuitgangspunt is en alleen naar belangrijk schuift wanneer een vermelde subproductfunctie het aanbod overheerst.
De eerste keuze is het aanbodtype: componentarm, complete cobotcel of robot in een machine van de integrator.

De figuur hierboven draagt de routekeuze. De matrix hieronder draagt de grensnotitie: zodra een variant is gekozen, zijn dit de bewijsregels die de fabrikant voor die specifieke variant moet kunnen invullen.

Bewijsregels per variant voor de grensnotitie Per variant: de dossiergrens, het zwaartepunt van de risicobeoordeling en de overdrachtsnotitie die de fabrikant in één regel moet kunnen opschrijven.
Variant Grens van het fabrikantsdossier Zwaartepunt risicobeoordeling Overdrachtsnotitie
6-assige robotarm aan een systeemintegrator

Componentverkoop; de integrator bouwt de cel.

Arm, besturing, handterminal, programmeerruntime, veldbusopties, gesigneerde updates, kwetsbaarheidsafhandelingsproces en handleiding gericht op de integrator.

Schrijfbevoegdheid van het engineering-werkstation, recovery-slot, blootstelling van de veldbusstack, advisory watch op leveranciercomponenten, rotatie van credentials bij buitenbedrijfstelling.

Het component-due-diligencedossier gaat over naar de integrator. De integrator beheert de veiligheidsconfiguratie op celniveau en de CE-markering van de cel.
Cobot verkocht als complete cel aan een MKB

Krachtbegrensde coöperatieve arm, kant-en-klare veiligheidsconfiguratie, vision-optie, fleet cloud.

Arm, besturing, handterminal, veiligheidsconfiguratie, vision-sensor, programmeerruntime, fleet-cloudconnector en OTA-dienst.

Coöperatieve werkmodus (snelheids- en separatiemonitoring of kracht- en snelheidsbegrenzing), operatorrol in een gedeelde werkruimte, fleet-cloudbevoegdheid, pendant-accounts, gesigneerd safety-firmwarepad.

De fabrikant draagt de volledige verantwoordelijkheid gedurende de ondersteuningsperiode. Operatorrolkoppeling, fleet-cloudontkoppeling en buitenbedrijfstellingschecklist reizen met de cel mee.
Robotarm geïntegreerd in een eindmachine

Doorverkocht onder de CE-markering van de integrator in een verpakkingslijn of procesmachine.

De robotmaker houdt de arm, besturing, handterminal en meegeleverde software in zijn eigen dossier. De eindmachine heeft een eigen dossier onder de CE-markering van de integrator.

Adviezen van componentleveranciers (RT OS, veldbusstack, vision-module), uitlijning van leveranciersconformiteitsverklaringen, dienstenblootstelling tijdens integratie, afstemming van het ondersteuningsvenster met de machinebouwer.

De integrator wordt de machinefabrikant voor de eindmachine en voert een eigen dreigingslijst, kwetsbaarheidsafhandelingsproces en EU-conformiteitsverklaring. De robotmaker blijft de componentfabrikant voor de arm.
Voor elke robotvariant heeft het fabrikantdossier een duidelijke grens, risicofocus en overdrachtsnotitie nodig.

Gebruik het routinghulpmiddel voordat u de grensnotitie schrijft, niet ter vervanging ervan. De notitie heeft nog steeds het exacte armmodel, draaglast en reikwijdte nodig, plus de besturingskast, de handterminal, de programmeeromgeving, de reikwijdte van de veiligheidsconfiguratie, de fleet cloud, de OTA-dienst en het beoogde gebruik. Voor een complete cobotcel benoemt u de coöperatieve werkmodus waarop de koper steunt: snelheids- en separatiemonitoring, kracht- en snelheidsbegrenzing, hand guiding of safety-rated monitored stop.

Controleer daarna of een andere vermelde functie het echte werk doet. De CRA behandelt een product als belangrijk wanneer de kernfunctionaliteit overeenkomt met een vermelde categorie; het inbouwen van een besturing schuift een robot niet vanzelf naar een belangrijke categorie. Is het aanbod hoofdzakelijk een firewallgateway, een VPN-appliance, een netwerkbeheersysteem, een SIEM-connector of een geharde besturing rond een sabotagebestendige chip, classificeer dan eerst die kernfunctie en behandel de arm als randapparatuur.

Voor componentverkoop forceert u niet de complete-cel-categorie. Een robotarm die aan een systeemintegrator wordt verkocht, blijft een product met digitale elementen en heeft nog steeds secure-by-design-bewijs, een updatepad, een kwetsbaarheidsafhandelingsproces, een verklaring van de ondersteuningsperiode en documentatie gericht op de integrator nodig. De route blijft standaard; de verantwoordelijkheden worden met de integrator gedeeld.

De classificatienotitie moet vier vragen beantwoorden:

  1. Wordt de release verkocht als robotarm, als complete cobotcel of als robot geïntegreerd in een andere machine?
  2. Is robotbeweging de kernfunctie van het product, of doet een andere vermelde functie (firewall, VPN, netwerkbeheer, beveiligingsmicrocontroller) het echte werk?
  3. Welke digitale elementen worden geleverd voor de beoogde functie: armfirmware, veiligheidsconfiguratie, handterminal, programmeeromgeving, OTA-dienst, fleet cloud en kwetsbaarheidsafhandelingsproces?
  4. Welke systemen vallen buiten het aanbod van de fabrikant: cellogica van de klant, veiligheids-PLC van de klant, fabrieksnetwerk, vision-software van derden, MES of SCADA van de klant?

Wat valt binnen de productgrens van de robot?

Voor een robotmaker is de nalevingsgrens zelden alleen de arm. Die volgt het op de markt aangeboden product en de digitale elementen die nodig zijn voor de beoogde beweging en veiligheidsfunctie.

Behandel deze elementen normaal gesproken als binnen de grens van de robotmaker: armfirmware, gewrichtsbesturingfirmware, besturingsomgeving in de kast, safety-controllerfirmware, handterminal, programmeeromgeving, OTA-dienst en kwetsbaarheidsafhandelingsproces.

Behandel deze normaal gesproken als buiten de grens, tenzij de fabrikant ze als onderdeel van het aanbod verkoopt: de cellogica van de klant, de door de klant geschreven veiligheidsconfiguratie, het fabrieksnetwerk, een end-effector van derden, vision-software van derden, MES of SCADA van de klant en de veiligheids-PLC van de klant.

Een industriële robot of cobot onder de CRA Scheid de geleverde robot, de meegeleverde software en de verplichtingen tijdens de ondersteuningsperiode van de cel, het fabrieksnetwerk en de operatorworkflow van de klant.
Meer integratie
Cel van de klant Wat de integrator en exploitant rond de robot bouwen
Cellogica Veiligheids-PLC van de klant Fabrieksnetwerk MES of SCADA Transporteurs en opspanmiddelen
Bewijs

Geen, wanneer deze elementen van de integrator of eindgebruiker komen. Verkoopt de robotmaker ook de celbesturing, de veiligheids-PLC of de MES-connector als onderdeel van het aanbod, dan kan elk een afzonderlijk product zijn met een eigen grensdossier.

Door de fabrikant geleverde grens
Geleverd product De robot die u levert
Arm en gewrichten End-effector-flens Besturingskast Safety controller Handterminal Veldbusopties
Bewijs

Productdossier · EU-conformiteitsverklaring · CE-markering · Verklaring ondersteuningsperiode · Gebruiksaanwijzing · Conformiteitsbeoordelingsdossier

Door de robotmaker bewaard tot tien jaar nadat de robot op de markt is aangeboden, of gedurende de ondersteuningsperiode, afhankelijk van wat langer is. Functioneel-veiligheidsbewijs (ISO 10218-1:2025 en ISO 10218-2, ISO 13849, IEC 61508) blijft in hetzelfde dossier zodat de veiligheidsanalyse en de cyberweerbaarheidsanalyse samen kunnen worden beoordeeld.

Software op het apparaat Software die op de robot draait
Bewegingsfirmware Safety firmware Realtime-OS Veldbusstack OPC UA-server Programmeerruntime Update-agent
Bewijs

Ontwerpdossier cyberweerbaarheid · Componenteninventaris · Kwetsbaarheidsafhandelingsproces · Openbaarmakingsbeleid · Veilig updatemechanisme

Neem het gepubliceerde centrale contactpunt op, het testbewijs voor veilige standaardinstellingen, de verificatie van gesigneerde updates, het resultaat van downgrade-afwijzing en de motivering van de ondersteuningsperiode.

Chiplaag In de gewrichten en de kast
Servo-MCU FPGA of SoC EtherCAT-slave Safety MCU Absolute encoder Gate driver Motion-CPU
Bewijs

Component-due-diligencedossier · Conformiteitsverklaring van de leverancier · Beveiligingsadviezen van leveranciers

De robotmaker blijft verantwoordelijk voor de chipkeuze in de gewrichtsaandrijving. Wanneer een besturingschip, safety-microcontroller of secure element zelf een product met digitale elementen is, ondersteunt de conformiteitsverklaring en de adviezen van de leverancier de due diligence van de fabrikant, zonder die te vervangen.

Nadat de robot is uitgeleverd
Levend product Wat doorloopt na levering
Componentmonitoring Kwetsbaarheidsafhandeling Gratis beveiligingsupdates Meldingsbereidheid Meldingen aan integratoren Corrigerende actie
Bewijs

De componenteninventaris wordt bewaakt op nieuwe kwetsbaarheden; het kwetsbaarheidsproces triageert bevindingen; gratis beveiligingsupdates leveren oplossingen met adviezen, verpakt zodat een fabriek ze binnen een onderhoudsvenster kan valideren zonder de machinetiming of de veiligheidsanalyse te breken.

Actief misbruikte kwetsbaarheden vragen om gereedheid voor een vroege waarschuwing binnen 24 uur, een kwetsbaarheidsmelding binnen 72 uur en een eindrapport binnen 14 dagen nadat een corrigerende of beperkende maatregel beschikbaar is. Ernstige beveiligingsincidenten volgen een vergelijkbaar 24-uurs- en 72-uurstraject, met een definitief incidentrapport binnen één maand. De meldverplichtingen van Artikel 14 gelden vanaf 11 september 2026, vóór de algemene toepassingsdatum van 11 december 2027 (Artikel 71, lid 2).

Stel na kennisneming van een van beide gevallen de getroffen integratoren en eindgebruikers, en waar passend alle gebruikers, op de hoogte van de kwetsbaarheid of het incident. Voeg waar nodig beperkende of corrigerende maatregelen toe die gebruikers kunnen toepassen, met een duidelijke aanduiding van welke stappen een onderhoudsvenster vereisen.

De robotmaker beheert de geleverde arm, besturing, veiligheidscontroller, software op het apparaat, component-due-diligence en het werk tijdens de ondersteuningsperiode. Cellogica van de klant, veiligheids-PLC van de klant, fabrieksnetwerk en MES of SCADA blijven buiten beeld, tenzij dezelfde fabrikant ze als onderdeel van het aanbod verkoopt.

Welke conformiteitsbeoordelingsroute is van toepassing?

01 Standaardproducten: standaardroute-procedures zijn beschikbaar

Industriële robots en cobots staan vandaag niet in de CRA-lijsten van belangrijke of kritieke producten, dus de standaardroute is het planningsuitgangspunt. De fabrikant kan kiezen tussen interne controle, EU-typeonderzoek plus productieconformiteit, volledige kwaliteitsborging of een toepasselijke Europese cyberbeveiligingscertificeringsregeling. De keuze is onvoorwaardelijk; er is geen voorwaarde van geharmoniseerde normen voor standaardproducten.

02 Het Klasse-I-voorwaardelijke pad geldt alleen als de CRA-lijst wijzigt

De voorwaarde "normen volledig toegepast" hoort bij de terugvaloptie voor belangrijke producten, niet bij de standaardroute. Zou een toekomstige update een robot- of cobotsubproduct aan die lijst toevoegen, en zouden de beschikbare normen of regelingen de relevante essentiële eisen niet dekken, dan zou de fabrikant voor het ontbrekende gebied een beoordelingsroute met een derde partij nodig hebben. De lijst bevat vandaag geen robots, dus deze terugvaloptie is het noodscenario, niet de planningsroute.

03 Bereid u voor op een cross-regelgevingscontrole

De Machineverordening 2023/1230 geldt vanaf 20 januari 2027 en bevat veiligheidsvereisten die overlappen met cyberbewijs, vooral bescherming tegen corruptie en de betrouwbaarheid van besturingssystemen. Behandel het cyberweerbaarheidsdossier en het machineveiligheidsdossier als twee draden in dezelfde productmap, niet als twee gescheiden nalevingsprojecten. De CE-markering op de machine verwijst naar beide verordeningen.

Welke architectuurcontrolepunten horen in het robotdossier?

Het robotreleasedossier moet de feitelijke machine volgen, niet een generieke OT-checklist. Een losse arm verkocht aan een integrator, een krachtbegrensde cobotcel verkocht aan een MKB, een robot ingebed in een verpakkingslijn en een cleanroomrobot met vision kunnen één klassediscussie delen en toch verschillende engineeringdossiers vragen.

  1. Pad voor bewegingsbevoegdheid. Identificeer elk pad dat beweging, parameters of veiligheidsconfiguratie kan wijzigen: handterminal, engineering-werkstation, leverancierscloud, leveranciersservicetunnel, USB-overdracht, veldbus vanuit de celbesturing en elk remote-assist-kanaal.
  2. Lokale blootstelling. Scan de besturing na inbedrijfstelling en na elke update op bereikbare diensten. Het releasedossier moet tonen welke diensten bereikbaar zijn, welke authenticatie vragen en welke standaard uitstaan.
  3. Systemen van de klant. Behandel de cellogica van de klant, de veiligheids-PLC van de klant, het fabrieksnetwerk, vision-software van derden en MES of SCADA als buiten het product van de robotmaker, tenzij de fabrikant die laag verkoopt.
  4. Updatebevoegdheid. Behandel updatebevoegdheid als een tweezijdige uitwisseling: de besturing controleert of ontvangt update-metadata, en de updatedienst stuurt een gesigneerde firmwarebundle terug voor exact die besturingsvariant en safety-firmwarerevisie. Bewaar dossiers van gesigneerde updates, downgrade-afwijzing, machine-impact, herstel en terugdraaien bij de release.
  5. Leveranciersinput. Geef de servo-MCU, encoder, safety-MCU, veldbusstack, vision-module, RT-besturingssysteem en programmeerruntime een benoemde verantwoordelijke, een versie, een advisory watch en een releasebesluit.
  6. Ondersteuningstoegang. Servicetunnels, diagnostiek en remote-assist-sessies mogen geen tweede pad voor bewegingsbevoegdheid worden. Bewaar dossiers van tunnel-uitschakeling, redactie en audit-steekproeven.
  7. Post-market-lus. Kwetsbaarheidsmeldingen, ernstige incidenten, leveranciersadviezen en veldfouten moeten de dreigingslijst, het restrisicodossier, het releasedossier en het volgende release-gate bijwerken.

Het celdiagram hieronder is bewust breder dan het uitgewerkte voorbeeld. Gebruik het als productfamilie-grenscontrole voordat u het dossier inperkt tot de exacte geleverde variant: een 6-assige arm, een cobot, een cleanroomvariant, een palletiseervariant en een robot die samen met een end-effector wordt verkocht, vragen elk om een andere bewijsset.

Referentiearchitectuurdiagram van een industriële robotcel. Een gestreepte rechthoek markeert links de grens van het productdossier van de fabrikant en bevat de 6-assige arm met gewrichten en end-effector, de besturingskast met motion-CPU, veiligheidscontroller, A- en B-firmwareslots, veldbus en servicemedia, plus de handterminal en fleet-cloudconnector. De klantlocatie rechts bevat het engineering-werkstation, het fabrieks-LAN met cel-PLC, MES en OPC UA, de door de fabrikant geleverde fleet cloud en een klantbedieningspaneel dat bij de overdracht aan de integrator is gedocumenteerd. Pijlen labelen zeven stromen: F1 beweging, F2 sensing, F3 handterminal, F4 programmaladen (boven de handterminal gerouteerd), F5 fabriek, F6 cloud en F7 service. Een legenda legt het verschil uit tussen interne en grensoverschrijdende stromen en welke dossiers in het productdossier van de fabrikant thuishoren.
De architectuurkaart koppelt elke stroom aan de geleverde productgrens: beweging, sensing, handterminalbevoegdheid, programmaladen, fabrieksverkeer, cloudupdates en servicemedia.

Echte OEM-besturingen die in deze opzet passen, zijn onder meer ABB OmniCore, KUKA KR C5 (KSS) en KUKA-besturingen op iiQKA.OS, FANUC R-30iB Plus, Yaskawa YRC1000 en Universal Robots PolyScope X. De partitionering hierboven is voor al deze besturingen identiek: het productdossier van de fabrikant houdt de arm, besturing en software op het apparaat binnen de grens; de cellogica van de klant, het fabrieks-LAN en het door de klant beheerde gereedschap blijven erbuiten, tenzij de fabrikant die laag ook verkoopt.

Hoe bouwt u de risicobeoordeling voor de robot op?

Gebruik dit voorbeeld om de verwachte diepgang te begrijpen, niet als plak-en-knipwerk voor een releasedossier. Een robotmaker moet de beoordeling altijd uitvoeren tegen zijn eigen arm, gewrichtsaandrijvingen, besturing, veiligheidscontroller, handterminal, programmeerruntime, fleet cloud, leveranciers, verkoopclaims, ondersteuningsperiode en releaseproces.

Welk product beoordelen we?

Illustratief voorbeeldproduct, geen echt apparaat: ExampleCo CR-12, een 6-assige industriële robotarm met 12 kg draaglast en 1300 mm reikwijdte met een optionele krachtbegrensde coöperatieve modus. Hij wordt geleverd met de arm, een besturingskast, een handterminal, een optionele 2D-vision-sensor, een programmeeromgeving, gesigneerde OTA-updates en een fleet-cloudconnector van de fabrikant. Hij wordt aan kleine en middelgrote fabrikanten verkocht als complete cel en aan systeemintegratoren als component voor grotere machines.

De productgrens in dit voorbeeld omvat de arm, gewrichtsaandrijvingen, besturingskast, veiligheidscontroller, handterminal, programmeerruntime, OTA-dienst, leverancierscloudconnector, contactpunt voor kwetsbaarheidsmelding en mededeling van het einde van ondersteuning. Erbuiten vallen de cellogica van de klant, de veiligheids-PLC van de klant, het fabrieksnetwerk, MES of SCADA van derden, end-effector van derden, hek- en lichtgordijninstallatie en elk AGV- of AMR-onderstel.

Het product is bedoeld voor industrieel gebruik binnen door getrainde operators en integratoren. Het is niet bedoeld voor medische of chirurgische robotica, servicerobotica, educatieve robotica of enig consumentengebruik.

Voordat u de dreigingstabel schrijft, test u de drie paden die de robotrisicobeoordeling meestal sturen: programmaladen en handterminalbevoegdheid, de grens tussen veiligheid en cyber, en de overdracht aan de integrator. Deze diagrammen vertalen het uitgewerkte voorbeeld naar engineering-vragen in plaats van een generieke dreigingslijst.

Geïllustreerde levenscyclus voor een industriële robot, van fabrieksprovisioning via inbedrijfstelling door de integrator, productie bij de eigenaar, reflash of nieuw programma, tot buitenbedrijfstelling. Elke fase benoemt wat de actor wijzigt en de test die bewijst dat de verkeerde actor de bewegingsbevoegdheid niet kan wijzigen. Onderaan staat een strook met vijf negatieve gevallen die bij de overdracht moeten slagen.
Dossierregistratie: de vijf fase-records plus de vijf negatieve testresultaten N1 tot en met N5 vormen de tijdlijn van bevoegdheidswisselingen voor de fabrikant. Bewaar ze in het productdossier zodat een reviewer kan zien wie bij elke overgang de bewegings- of veiligheidsbevoegdheid had.
Elke levenscyclusstap laat zien wie bewegingsbevoegdheid heeft en welke test een onveilige schrijfactie blokkeert.

Eigendom is een afzonderlijke controle van programmaladen. Een besturing kan gesigneerde updates hebben en toch falen wanneer een servicetunnel na onderhoud openblijft, of wanneer een oud engineering-werkstation na een klantoverdracht blijft schrijven.

Waarin verschilt het aanvalsoppervlak van een afgeschermde industriële robot van dat van een cobot?

De pagina behandelt beide als dezelfde CRA-categorie: een industriële robot onder de cyberweerbaarheidslaag, geen smart-homeproduct. Het risicoprofiel verschilt wel. De dreigingslijst moet dat laten zien.

Aanvalsoppervlak Afgeschermde industriële robot Krachtbegrensde cobot
Nabijheid van mensen Afgeschermd met lichtscherm, hek, scanner of vergrendeling Doorlopend; krachtbegrensde beweging, snelheids- en afstandsbewaking, handgeleiding en veiligheidsgewaardeerde bewaakte stop vormen de veiligheidszaak
Toegang tot handterminal Celtoegang is vergrendeld; de terminal wordt gebruikt door onderhoudspersoneel in de afgeschermde zone Gedeelde werkruimte; operators gebruiken de terminal naast de robot, meestal met een rol per operator en sneller uitloggen
Vision-input Vaak optioneel en gebruikt voor inspectie; één punt Vaak nodig voor veiligheid, zoals afstandsbewaking; meerdere camera's met kalibratiegegevens waar de veiligheidszaak op rust
Pad via engineeringstation Plant-engineeringstation in de OT-zone tijdens inbedrijfstelling en zeldzaam onderhoud Engineeringstation kan in het operatorkantoor staan of op een zakelijk beheerde laptop; het pad wordt vaker gebruikt
Telebediening op afstand Zeldzaam in oudere afgeschermde cellen; remote-assist-sessies zijn onderhoud met tijdslimiet Komt vaker voor in sommige cobotlijnen, zoals hulp van een operator op afstand of off-site programmering; het bevoegdheidspad is breder
Meest waarschijnlijke dreigingsactor Engineering- of service-insider met fysieke toegang tijdens een onderhoudsvenster Misbruik door operator gecombineerd met een gecompromitteerd remote engineeringstation; spoofing van vision-input is een geloofwaardig cobotpad
Reset na misbruik Meestal een modesleutel en afgeschermde reset Vaak een softwarematige rolwijziging op de handterminal; de cyberreview moet bevestigen dat de rolwijziging de bevoegdheid echt verlaagt

Voor de uitgewerkte ExampleCo CR-12 legt de afgeschermde configuratie de nadruk op bevoegdheid van het engineeringstation, integriteit van de herstelsleuf en rotatie van credentials bij buitenbedrijfstelling. De cobotconfiguratie voegt authenticatie van vision-input, integriteit van kalibratiegegevens, manipulatieproeven voor afstandsbewaking en een rolopslag per operator op de handterminal toe.

Welke assets beschermen we?

Begin de risicobeoordeling met assets. Robotdreigingen gaan niet allemaal over hetzelfde. Verlies van bewegingsintegriteit, aantasting van de veiligheidsconfiguratie en overname van het engineeringkanaal vragen elk om andere controles en andere release-records.

Asset Waarom dit telt Waar het staat
Bewegingsprogramma en parameters Integriteitsverlies kan trajecten, snelheden, payloadlimieten of werkruimtegrenzen wijzigen Programmastore van controller, engineeringproject, back-up
Veiligheidsconfiguratie Zet werkruimtegrenzen, snelheidslimieten, krachtlimieten en stopcategorieën; manipulatie kan een gevaarlijke situatie creëren Geheugen van veiligheidscontroller, gesigneerde configuratiebundel
Firmware en bootketen Een updatecompromis kan blijven bestaan op een controller die vijftien jaar draait Bootloader, A- en B-firmwaresleuven, signeerservice
Engineeringcredential Geeft bevoegdheid voor programmaladen en firmware schrijven Engineeringstation, gebruikersstore van controller, handterminalaccounts
Kalibratie- en framegegevens Verkeerde waarden verschuiven stil het tool center point en de gemaakte onderdelen Controlleropslag, integratorback-up
Fleet-cloudcredential Verbindt de kast met de updateservice en remote assist van de fabrikant Keystore in kast, cloudconnector
Diagnose- en servicebundel Toont programmanamen, netwerknamen, certificaten en crashtraces Controllerlogs, supportportaal, interne servicetooling
Gebruikersinstructies en supportdatum Stuurt veilige inbedrijfstelling, updateverwachtingen en einde-support Handleiding, webhandleiding, supportvermelding

Waar liggen de belangrijkste vertrouwensgrenzen?

Voor dit voorbeeld moet de fabrikant minstens vijf omgevingen modelleren. Het punt is niet elke draad tekenen. Het punt is scheiden waar de kans voor een aanvaller verandert: in de kast, op de handterminallink, op het fabrieksnetwerk, in de fabrikantbackend en op het engineeringstation.

Omgeving Verwachte bescherming Waarom de waarschijnlijkheid verandert
In de kast Fysieke toegang is beperkt tot onderhoud, maar servicemedia, debugpads en herstelsleuven bestaan Lagere kans op afstand, hogere impact als sleutels uitleesbaar zijn
Handterminallink Bedraad naar de kast, maar de handterminal wordt door elke operator gebruikt Lokale toegang is aannemelijk tijdens normaal werk; standaardcredentials zijn een bekende zwakke plek
Fabrieksnetwerk Gedeeld met celcontrollers, MES, OPC UA-consumenten en engineeringstations Een gecompromitteerde peer kan discovery, OPC UA of remote-assist-kanalen aanvallen
Fabrikantbackend Internet-facing en gedeeld over de geïnstalleerde vloot Een backendfout schaalt van één fabriek naar veel fabrieken
Engineeringstation Windows- of Linux-laptop met offline programmeersoftware, aangesloten op de OT-zone tijdens inbedrijfstelling Vaak zakelijk beheerd; een van de meest voorkomende instappunten in gepubliceerd onderzoek

De veiligheidsstack en de cyberstack zijn niet hetzelfde project. Ze delen bewijs op specifieke punten. Het dossier moet duidelijk maken wie welk onderdeel beheert.

ISO 10218-1:2025-bewijskaart: vijf categorieën waar veiligheid en cyber overlappenVijf bewijscategorieën die de fabrikant moet kunnen leveren voor een robotrelease die met ISO 10218-1:2025 werkt. Clausulenummers volgen zodra de gelicentieerde normtekst is beoordeeld.
Bewijscategorie
Veiligheidslijn
Cyberlijn
Gedeeld overlaprecord
Ondertekening veiligheidsconfiguratie
Functioneel-veiligheidsengineer tekent de veiligheidsconfiguratiebundel en de PL- of SIL-berekening af
Product-security engineer beoordeelt het bevoegdheidspad waarmee de bundel wordt geladen: authenticatie, out-of-band bevestiging en sleutelbeheer
Gezamenlijke reviewnotulen plus de hash van de geladen bundel in het release-record
Review van veiligheidsfirmware-update
Voert de veiligheidszaak opnieuw uit tegen de nieuwe firmware; bevestigt dat timing, foutafhandeling en PL- of SIL-doelen gelijk blijven
Controleert de handtekening op de bundel, downgradeweigering, monotone versieteller en gedrag van de herstelsleuf
Gezamenlijke goedkeuring op het releaseticket voordat de update het OTA-kanaal ingaat
Moduswisselvalidatie (handmatig, collaboratief, hoge snelheid)
Valideert elke modus tegen de veiligheidszaak: werkruimtegrenzen, snelheidslimieten, krachtlimieten en collaboratieve bewaking
Test dat een aanvaller niet via handterminal, engineeringstation, fleet cloud of veldbus van modus kan wisselen zonder vastgelegde bevoegdheid
Testmatrix voor modusovergangen met bevoegdheidspad en veiligheidsuitkomst per overgang
Cyberreview van stopfunctie (Cat 0, Cat 1, Cat 2)
Bevestigt dat elke stopcategorie het PL- of SIL-doel haalt en dat de stopketen bij representatieve fouten afgaat
Bevestigt dat cybermanipulatie, zoals ongesigneerde firmware, parameterwrites, debugpoorttoegang of een misvormd veldbusframe, een stop niet vertraagt of maskeert
Foutinspuitingsrecord dat laat zien dat de stopketen blijft afgaan onder representatieve cybermanipulatie
Authenticatie van afstandsbewaking (cobot-specifiek)
Valideert zones voor snelheids- en afstandsbewaking, cameraplaatsing, bewaakte-stopgrenzen en krachtlimieten
Authenticeert elke vision-input, controleert camerastreamintegriteit, beschermt kalibratiegegevens en faalt veilig bij verbindingsverlies of replay
Cobot-testpakket voor gespoofte camera, weggevallen vision-frame en herhaalde kalibratie; veiligheidsuitkomst per geval vastgelegd
Grenspoort: een releasegoedkeuring moet laten zien dat de veiligheidslijn en cyberlijn dezelfde wijziging hebben beoordeeld. Alleen een gesigneerd-update-record is niet genoeg als de veiligheidszaak de nieuwe firmware niet heeft gezien. Clausulenummers uit ISO 10218-1:2025 worden toegevoegd zodra de gelicentieerde normtekst is beoordeeld; tot die tijd zijn de categorieën stabiel en is het recordformaat het werkproduct.
De gedeelde bewijscategorieën tonen waar de veiligheidszaak en het CRA-cyberweerbaarheidsdossier dezelfde robotwijziging moeten beoordelen.

Welke dreigingen beoordeelt u eerst?

Dit voorbeeld start met veertien productspecifieke dreigingen. Het doel is niet volledigheid. Het doel is het niveau van traceerbaarheid laten zien dat een fabrikant moet kunnen verdedigen.

ID Dreigingsscenario Asset onder risico Ingangspunt
R1 Engineeringstation pusht een programma zonder de operator te authenticeren Bewegingsprogramma Engineeringpoort
R2 Herstelsleuf accepteert een oudere of ongesigneerde firmwarebundel Firmware-integriteit Herstelmodus
R3 Handterminal accepteert een zwak of standaardwachtwoord en blijft ingelogd tussen operators Engineeringcredential Handterminal
R4 Standaard OPC UA-endpoint antwoordt anoniem op het fabrieksnetwerk Kalibratie- en framegegevens Fabrieksnetwerk
R5 Veiligheidsconfiguratie kan worden geladen zonder gesigneerde bundel of out-of-band bevestiging Veiligheidsconfiguratie Veiligheidscontroller
R6 Servicetunnel vanuit de fabrikantcloud blijft open na een onderhoudssessie Fleet-cloudcredential Remote assist
R7 Kalibratiegegevens worden in opslag gewijzigd en het tool center point verschuift stil Kalibratie Controlleropslag
R8 Een gemanipuleerd EtherCAT- of veldbusframe veroorzaakt een motion-CPU-fout of cyclustijdoverschrijding Bewegingsbeschikbaarheid Veldbus
R9 USB-back-up of herstelimage kan worden toegepast zonder operator-audit Firmware-integriteit Servicemedium
R10 Diagnosebundel exporteert programmanamen, certificaten of netwerkidentifiers Servicedata Supportportaal
R11 Een kwetsbaarheid in het RT-besturingssysteem, de veldbusstack of visionmodule wordt tijdens de ondersteuningsperiode niet gezien Firmwarecomponenten Gat in leveranciersadvisories
R12 Operatorrolbinding overleeft een klantoverdracht en het oude engineeringstation blijft naar de controller schrijven Engineeringcredential Gat bij buitenbedrijfstelling
R13 Parser van de programmeerruntime crasht of voert onveilige content uit uit een misvormd projectbestand Toolintegriteit Projectimport
R14 Een integrator combineert de arm met een veiligheids-PLC van derden waarvan de conformiteitsclaim ontbreekt of verouderd is Leveranciersconformiteit Celoverdracht

Bekijk daarna de overdracht aan de integrator apart. Wie geldt als fabrikant voor de resulterende cel, en welke records moeten meeverhuizen?

Robot, celintegrator en eindgebruiker onder de CRAElke rol heeft een eigen bewijsgrens; de celintegrator kan fabrikant worden van een nieuw gecombineerd product.
RobotfabrikantComponentfabrikant

Beheert arm, controller, veiligheidscontroller, handterminal, programmeerruntime, gesigneerde updates en fleet cloud. Bewijs: dossier voor het geleverde product plus proces voor kwetsbaarheidsafhandeling.

CelintegratorMachinefabrikant

Combineert arm met veiligheid, vision, fixtures en cellogica. Als de cel onder de naam van de integrator wordt geleverd, wordt de integrator fabrikant van de cel. Bewijs: grensmemo op celniveau en due diligence op componenten.

EindgebruikerOperator en ontvanger

Draait de cel, past updates toe in onderhoudsvensters en meldt problemen terug. Geen fabrikant. Bewijs: log van toegepaste advisories en record voor buitenbedrijfstelling.

Importeur, distributeur of andere resellerMogelijke nieuwe fabrikant

Een importeur of distributeur die de robot onder eigen merk verkoopt, of de robot ingrijpend wijzigt, neemt de fabrikantverplichtingen voor dat aanbod op zich. Andere resellers kruisen die grens alleen bij een ingrijpende wijziging, zoals vervanging van updatekanaal, firmware-identiteit, fleet cloud of beoogd gebruik. Leg de trigger vast en welk deel van het productdossier met de gewijzigde release meegaat.

Overdrachtspoort: fabrikant en integrator leggen schriftelijk vast welke supportverplichting door wie wordt geleverd en welk artefact met de cel meegaat.
Wanneer een integrator de afgewerkte cel bouwt, moet het dossier tonen wie fabrikant wordt en welk bewijs meeverhuist.

Hoe rangschikt u de eerste risico's?

Gebruik een releasepoortladder, zodat niet elk risico dezelfde beslissing krijgt:

Poortbeslissing Betekenis in het voorbeeldregister
Release blokkeren Het product mag niet worden geleverd voordat de controle is ingevoerd en getest.
Blokkeren tenzij gedocumenteerd Release kan alleen door als een compenserende controle, beperking of variantspecifieke onderbouwing is geschreven en goedgekeurd.
Leveren met monitoring Restrisico kan blijven bestaan, maar het dossier noemt het monitoringssignaal en de eigenaar.
Overdragen naar instructies De fabrikant bewaart instructies voor integrator of operator omdat de conditie afhangt van de klantcel.
Accepteren Het restrisico is laag genoeg voor dit voorbeeld, met onderbouwing in het dossier.
ID Kans Impact Poortbeslissing Waarom
R1 Hoog Hoog Release blokkeren Engineeringwrites staan centraal in robotbesturing
R2 Laag Ernstig Release blokkeren Updatebypass ondermijnt elke toekomstige firmwarefix
R3 Hoog Hoog Release blokkeren Een gedeelde handterminal is het meest voorkomende operatoroppervlak
R4 Middel Hoog Release blokkeren OPC UA-misconfiguratie komt veel voor in echte cellen
R5 Laag Ernstig Release blokkeren Veiligheidsconfiguratie is de strengste schrijfbevoegdheid op de controller
R6 Middel Hoog Blokkeren tenzij gedocumenteerd Servicetunnels zijn nuttig, maar vragen expliciete tijdslimiet en uitschakeling
R7 Middel Hoog Release blokkeren Stille verschuiving van het tool center point kan schroot of erger veroorzaken
R8 Middel Middel Blokkeren tenzij gedocumenteerd Real-time busbelasting moet worden getest; sommige fouten verschijnen pas in productie
R9 Middel Middel Blokkeren tenzij gedocumenteerd USB-overdracht is normaal; het auditrecord maakt het verschil
R10 Middel Middel Leveren met monitoring Supportbundels zijn nodig; redactie en toestemming zijn de controles
R11 Middel Hoog Leveren met monitoring Leverancierskwetsbaarheden zijn te verwachten tijdens een lang supportvenster
R12 Middel Hoog Release blokkeren Overdracht en doorverkoop zijn voorzienbare paden voor industriële apparatuur
R13 Laag Hoog Blokkeren tenzij gedocumenteerd Projectbestandparsers verwerken niet-vertrouwde content
R14 Middel Middel Overdragen naar instructies Integrator beheert de conformiteitsclaim op celniveau; de fabrikant levert componentbewijs

Welke ontwerpcontroles veranderen het risicobeeld?

De controletabel moet terug te voeren zijn op de R-ID's, maar mag niet lezen als een generieke secure-developmentchecklist. Voor elke controle moet de fabrikant de test, ontwerpnotitie of operationele registratie kunnen tonen die bewijst dat de controle voor deze exacte release bestaat.

Dreigingen Ontwerpcontrole Bewijs dat de fabrikant bewaart
R1, R3 Geauthenticeerde engineeringsessies, handterminalaccounts per operator, geen gedeelde standaardcredential, tijdgebonden automatisch uitloggen Authenticatietests, toegangsmatrix voor handterminal, negatieve tests voor niet-geauthenticeerde writes
R2, R9 Secure boot, gesigneerde firmware, monotone versieteller, downgradeweigering, USB-audit Bootketenbewijs, updateverificatielog, voorbeeld van USB-importaudit
R4 OPC UA-beveiligingsprofiel standaard aan, geauthenticeerde endpoints, certificaatvertrouwenslijst, service-inventaris na inbedrijfstelling Servicescan na inbedrijfstelling, OPC UA-configuratietest
R5 Gesigneerde veiligheidsconfiguratie, gezamenlijke review met veiligheidsengineer bij elke cyberrelevante wijziging, out-of-band bevestiging voor veiligheidsfirmware-updates Aftekening veiligheidsconfiguratie, test op downgradeweigering van veiligheidsfirmware
R6 Servicetunnels met tijdslimiet, expliciete inschakeling op de handterminal, zichtbare tunnelstatus, credentialrotatie Test op uitschakeling van tunnel, remote-assist-auditlog
R7 Integriteitscontrole op kalibratiegegevens, periodieke vergelijking met integratorbaseline, alarm bij ongeautoriseerde wijziging Kalibratie-integriteitstest, voorbeeld van driftalarm
R8 Veldbusfuzzing, watchdogherstel, logging van misvormde frames Veldbusfuzzrapport, watchdoghersteltest
R10 Minimalisatie van diagnosebundel, redactie, toestemming van operator vóór upload, bewaartermijn Diagnoseschema, redactietest, supportworkflowrecord
R11 Componentinventaris met genoemde eigenaren voor RT-besturingssysteem, veldbusstack, visionmodule en motion-CPU; advisorybewaking en triage Componentregister, advisoryrecord, triagebesluiten
R12 Wisprocedure bij buitenbedrijfstelling, fleet-cloud ontkoppelen, credentialrotatie bij overdracht, checklist voor refurbished controller Checklist buitenbedrijfstelling, cloud-ontkoppelingsaudit, wisverificatie
R13 Parserhardening voor projectbestanden, testcorpus voor misvormde projecten, sandboxing van programmeerruntime Parserfuzzrapport, importregressietests
R14 Integratorhandleiding met leveranciersbewijskaart, gezamenlijke due-diligenceregistratie bij overdracht, advisoryrouting terug naar de integrator Overdrachtsmemo, integratoradvisoryrecord

Welk restrisico blijft na controles over?

Na controles moet de fabrikant de beoordeling opnieuw uitvoeren in plaats van dreigingen als klaar te markeren. In dit voorbeeld blijven het pad voor leverancierskwetsbaarheden, de integratoroverdracht en de lange productlevensduur actief beheerd tijdens de ondersteuningsperiode. Het restrisico is alleen acceptabel als de fabrikant kan laten zien dat monitoring, triage, levering van gesigneerde updates, integratormelding en corrigerende maatregelen echt werken.

Restgebied Waarom het blijft Operationeel bewijs
Lange productlevensduur Een robot kan vijftien jaar of langer draaien; leverancierscomponenten krijgen in die tijd kwetsbaarheden Componentadvisorybewaking, verklaring ondersteuningsperiode, einde-supportmelding
Klantcellogica De fabrikant beheert geen bewegingsprogramma's of veiligheidsconfiguratie die de integrator schrijft Grensmemo, veilige programmeerinstructies, integratorhandleiding
Patchtiming Fabrieken hebben onderhoudsvensters en validatie nodig; sommige fixes kunnen niet direct worden toegepast Security advisory met machine-impactnotitie, mitigatie-instructies, rollbackpad
Fysieke servicetoegang Kasten, handterminals en engineeringstations blijven fysiek toegankelijk tijdens onderhoud Beperkingen op servicemodus, auditvoorbeeld, bewijs van debuglock

Hoe moeten fleet-cloudadvisories routeren?

De risicobeoordeling hierboven draait op één robotkast. Advisoryrouting draait over honderden. Wanneer de fleet cloud van de fabrikant meerdere integrators en meerdere operatorsites bedient, is de vraag niet "is de cloud veilig". De vraag is wie in de keten hoort dat een waarschuwing binnen 24 uur loopt, en wie het updatevenster per site goedkeurt.

Fleet-topologie Wie zit tussen fabrikant en eindgebruiker Wat verandert voor het releasedossier van de fabrikant
Eén operatorlocatie, direct van de fabrikant Fabrikant naar operator De advisory van de fabrikant gaat direct naar het onderhoudsteam van de operator; de gebruikersmelding loopt via één kanaal
Multi-site operator, centrale plant engineering Fabrikant naar operator-HQ naar site-engineeringteams De fabrikant stuurt de advisory naar de HQ-contactpersoon van de operator; de operator beslist welke sites de update accepteren en in welk onderhoudsvenster. Het releasedossier registreert de operator-HQ-contactpersoon zodat de advisory niet in één site-mailbox blijft hangen
OEM-beheerde fleet bij veel operators Fabrikant naar robot-OEM-operatie naar eindoperators De fabrikant stuurt de advisory naar het OEM-fleetoperationsteam. De OEM stuurt door naar zijn operatorbestand met site-specifieke machine-impactnotities. De fabrikant heeft nog steeds een route naar getroffen gebruikers nodig; de OEM is een downstreamkanaal, geen vervanging
Integrator-beheerde fleet voor mkb-klanten Fabrikant naar integrator naar mkb-eindgebruikers De fabrikant stuurt de advisory naar elke integrator die een fleet bovenop deze controller beheert. Integrators die onder eigen merk leveren, nemen fabrikantverplichtingen voor de geïntegreerde cel op zich; de advisory van de robotfabrikant voedt hun eigen kwetsbaarheidsafhandeling
Fleet van fleets Fleet van fabrikant naar OEM-fleet naar integratorfleet naar eindoperator Leg schriftelijk vast welke advisoryketen contractueel is en welke CRA-gedreven. Het CRA-pad dekt melden aan de toezichtroute en gebruikersmelding; het contractuele pad voegt machine-impactnotities, onderhoudsvensterafstemming en rollbackcoördinatie toe. Het releasedossier noemt beide

Release-record. Een fleet-cloudroutingkaart noemt voor elke integrator en operator op de connectorlijst de contactpersoon voor 24-uurskwetsbaarheidswaarschuwingen, de eigenaar van het onderhoudsvenster, de rollbackbevoegdheid en de nog open advisories. Zonder deze kaart loopt de deadline tegen een ontbrekende ontvanger.

Welke validatiepoorten lopen vóór release?

Vermijd een generieke poort "security gereviewd". Gebruik één inventaris van releasepoorten met een faalmodus, ontworpen controle en bewijsartefact voor elke beslissing die de robotlevering kan stoppen.

Robotreleasepoorten en afsluitrecords Zes beslissingen die een fabrikant vóór aftekening moet kunnen sluiten, elk met een genoemd bewijsartefact.
  1. G1Eerste-gebruikclaim en overdrachtRelease blokkeren
    • Fout

      Gedeelde fabriekscredentials worden niet geroteerd bij integrator-inbedrijfstelling.

    • Controle

      Sleutel per apparaat, geforceerde rotatie, handterminal-accountbinding.

    • Bewijs

      Inbedrijfstellingsrecord en toegangsmatrix voor handterminal.

  2. G2Blootgestelde services na inbedrijfstellingRelease blokkeren
    • Fout

      Anonieme OPC UA, FTP, VNC of webbeheer is bereikbaar op het fabrieksnetwerk.

    • Controle

      Serviceminimalisatie en geauthenticeerde OPC UA standaard aan.

    • Bewijs

      Servicescan na inbedrijfstelling.

  3. G3Bewegings- en veiligheidsbevoegdheidRelease blokkeren
    • Fout

      Een handterminal, engineeringstation of servicetunnel wijzigt de veiligheidsconfiguratie zonder audit.

    • Controle

      Geauthenticeerde sessies, gesigneerde veiligheidsconfiguratie, out-of-band bevestiging.

    • Bewijs

      Matrix van bevoegdheidspaden en aftekening veiligheidsconfiguratie.

  4. G4Update- en herstelpadRelease blokkeren
    • Fout

      Herstelsleuf accepteert een ongesigneerde of oudere bundel, waardoor updates een malwarekanaal worden.

    • Controle

      Secure boot, gesigneerde updates, monotone teller, downgradeweigering.

    • Bewijs

      Testresultaat voor geweigerde downgrade.

  5. G5LeveranciersstackLeveren met monitoring
    • Fout

      Een kwetsbaarheid in RT OS, EtherCAT-stack of visionmodule verschijnt tijdens het supportvenster.

    • Controle

      Componentinventaris met genoemde eigenaar, advisorybewaking, backportgereedheid.

    • Bewijs

      Triagebesluit voor getroffen component.

  6. G6Buitenbedrijfstelling en doorverkoopBlokkeren tenzij gedocumenteerd
    • Fout

      Een overgedragen controller behoudt een oude rolbinding, cloudaccount of opgeslagen programma.

    • Controle

      Wissen, fleet-cloud ontkoppelen, credentialrotatie, checklist refurbished controller.

    • Bewijs

      Wis- en cloud-ontkoppelingsverificatie.

Release blokkerenBlokkeren tenzij gedocumenteerdLeveren met monitoring
Robotspecifieke releasepoorten tonen wat de levering kan stoppen en welk record elke poort sluit.

Wie beheert robotontwikkeling van concept tot support?

De leidende eigenaar verschuift wanneer de robot van productdefinitie naar live support gaat. Gebruik deze rail om per fase één lead, één onderhouden record en één reviewpoort toe te wijzen terwijl het product verandert.

Geïllustreerde eigenaarschapsrail voor een industriële-robotrelease. Het diagram toont zes fasen van concept tot support langs één doorlopende ontwikkelrail, met per fase de leidende eigenaar, het onderhouden record en de reviewpoort. Bevriesmarkeringen staan tussen de fasen: grens bevriezen, ontwerp bevriezen, kandidaat bevriezen, besluit bevriezen, operationeel houden. Een gestippelde feedbacklus loopt van support terug naar concept en laat zien dat kwetsbaarheidsmeldingen, leveranciersadvisories en incidentuitkomsten de volgende grensmemo, dreigingslijst en componentregistratie heropenen.
Eigenaarschapsregel: dit is een leadketen, geen volledige verantwoordelijkheidsmatrix. Elke lead beheert het onderhouden record zolang de robot verandert; supportbevindingen lopen terug naar de volgende variantgrensmemo en dreigingslijst.
De ownershiprail wijst per bouwstap de recordeigenaar, sluitingspoort en reviewtrigger toe.

Bevries de grens vóór architectuurwerk, bevries de ontwerpintentie vóór implementatie, bevries de kandidaat vóór verificatie, bevries de beslissing vóór release en houd de release operationeel tijdens de ondersteuningsperiode. Binnenkomende meldingen, leveranciersadvisories, incidentuitkomsten en regressieresultaten openen de volgende grensmemo, dreigingslijst en componentregistratie opnieuw.

Welke bewijsrecords horen in het dossier?

Het dossier moet een reviewer de robotbeslissing laten volgen van productidentiteit tot beveiligingscontroles. Elke rij hieronder moet verwijzen naar een onderhouden record, niet naar een map met losse screenshots.

Bewijsgebied Wat vastleggen voor een industriële robot of cobot
Productidentiteit Armmodel, payload, bereik, controllerkast, handterminal, firmwarebranches, versie van programmeerruntime, veldbusopties, hardwarerevisies
Beoogd gebruik Componentverkoop aan integrators, complete cobotcel, cleanroomvariant, palletiseervariant of ander industrieel gebruik
Cyberweerbaarheidsontwerp Bewegingsbevoegdheidspaden, veiligheidsconfiguratiebevoegdheid, fleet-cloudblootstelling, fabrieksnetwerkblootstelling, dreigingslijst en behandelplan
Componentinventaris Motion-CPU, RT-besturingssysteem, EtherCAT-slavestack, veiligheidsmicrocontroller, encoderprotocol, gate driver, visionmodule, bibliotheken van programmeerruntime
Veilige standaardinstellingen Geen gedeelde standaardcredential, gesigneerde updates, downgradeweigering, OPC UA-beveiligingsprofiel standaard aan, service-inventaris na inbedrijfstelling
Updatemechanisme Gesigneerde firmware, herstelsleuf, machine-impactnotitie, instructie voor klantonderhoudsvenster, rollbackbesluit
Kwetsbaarheidsafhandeling Disclosurebeleid, single point of contact, triageworkflow, componentadvisorybewaking en meldroute naar integrator
Gebruikersinstructies Veilige inbedrijfstelling, inrichting rolopslag, update-instellingen, buitenbedrijfstelling en einde-supportmelding
Traceerbaarheid en contact Type-, batch- of serie-informatie, contactgegevens van fabrikant, einddatum ondersteuningsperiode en één kwetsbaarheidsmeldpunt dat niet alleen een bot is

Wat hoort in een robot-SBOM?

De CRA verwacht een machineleesbare SBOM die componenten van het product identificeert en minstens top-level afhankelijkheden dekt, maar noemt nog geen vast formaat. Totdat de Commissie meer detail geeft, kiezen robotfabrikanten meestal CycloneDX of SPDX. De productoverstijgende uitleg over SBOM-mechaniek staat in de aparte SBOM-gids; deze sectie behandelt de robotspecifieke boom.

Een robotrelease levert meestal meerdere digitale elementen met eigen updatecycli, niet één binary. Twee implementatiepatronen voldoen aan de CRA-minimumlijn: één SBOM op productniveau met secties per element, waarbij elke motion-CPU, veiligheidscontroller, RT OS en handterminalfirmwareversie is vastgepind, of één SBOM per geleverd digitaal element die bij elke release wordt vernieuwd. Beide patronen zijn acceptabel zolang de SBOM machineleesbaar is en top-level afhankelijkheden dekt.

Een van links naar rechts lopend boomdiagram van de software bill of materials voor één robotrelease. De rootnode links is de robotrelease als geheel. Acht gebogen takken lopen naar rechts naar de acht top-level digitale elementen die in een robot worden geleverd: motion-CPU-firmware, veiligheidscontrollerfirmware, real-time besturingssysteem, veldbusstack, SDK en runtime van de visionmodule, bibliotheken van de programmeerruntime, handterminalfirmware en fleet-cloudconnector. Per tak staan typische componenten als bladeren, met rechts een badge voor het identifierschema, zoals PURL, CPE, leveranciers-ID, handtekening of buildhash, waarmee het element op versie wordt vastgepind. Een voetnoot herhaalt het CRA-minimum: top-level afhankelijkheden in een gangbaar, machineleesbaar formaat zoals CycloneDX of SPDX.
De componenteninventaris van de robot dekt elk top-level digitaal element, de gebruikelijke inhoud en het bewijs voor versiepinning.

SBOM-record: een machineleesbare SBOM in CycloneDX of SPDX die minstens top-level afhankelijkheden dekt. Aanbevolen patronen voor robotfabrikanten: één SBOM op productniveau met elementgescheiden secties, of één SBOM per geleverd digitaal element die bij elke release wordt vernieuwd. Diepere transitieve afhankelijkheden zijn aanbevolen waar het buildsysteem ze kan leveren. Koppel de SBOM aan het componentadvisoryrecord (rij "Componentinventaris" in de bewijskaart), zodat een reviewer ziet in welke bibliotheek een bekende kwetsbaarheid landt en welke release die sluit.

Wat controleert de release-aftekening?

Voordat de robot voor de EU-markt wordt vrijgegeven, moet de aftekening dezelfde vier recordmappen sluiten die de SVG hieronder Q1 tot en met Q4 noemt. De volledige dossierinventaris staat in de bewijskaart hierboven; deze tabel gaat alleen over de vier vragen die de release kunnen blokkeren.

Map Releasevraag Robotspecifieke bewijsverwijzing
Q1 Classificatierationalememo Waarom is dit product zo geclassificeerd? Beoogd gebruik, verkoopcontext, geleverde digitale elementen, integratorroute tegenover complete-celroute en gekozen standaardrouteprocedure
Q2 Inventaris geleverde elementen Wat is het product exact? Arm, controller, handterminal, veiligheidscontroller, programmeerruntime, OTA-service, fleet-cloudconnector en uitgesloten klantcelsystemen
Q3 Testpakket veilige standaardinstellingen Wat is standaard beveiligd en hoe wordt veilig bijgewerkt? Geen gedeelde standaardcredential, gesigneerde updates, downgradeweigering, OPC UA-beveiligingsprofiel, service-inventaris na inbedrijfstelling, vergrendelde debugpoorten, herstelsleuf, machine-impactnotitie en onderhoudsvensteradvies
Q4 Proces voor kwetsbaarheidsafhandeling Hoe worden kwetsbaarheden en ernstige incidenten na levering afgehandeld? Publiek contact, disclosurebeleid, triageworkflow, componentadvisorybewaking, integratoradvisoryrouting, gereedheid voor 24-uurs- en 72-uursmeldingen plus bewijs voor eindrapportage
Geïllustreerde release-aftekening. Vier recordmappen liggen op de reviewtafel, gelabeld Q1 tot en met Q4. Q1 is de classificatierationalememo, Q2 de inventaris van geleverde elementen, Q3 het testpakket voor veilige standaardinstellingen en Q4 het proces voor kwetsbaarheidsafhandeling. Pijlen uit elke map komen samen op een releasegoedkeuringszegel rechts op de tafel, gemarkeerd met een vinkje. Een notitie onder de tafel noemt pre-releasecontroles: bestanden vastgepind op firmwarebranch en leveranciersbaseline, een genoemde eigenaar met 24-uurs- en 72-uursmeldgereedheid, en een testpakket voor veilige standaardinstellingen met credentials per apparaat en het OPC UA-beveiligingsprofiel. Een voetbalk herhaalt de aftekenpoort: als een record op de tafel ontbreekt, wordt de release niet geleverd.
Aftekenpoort: als een record ontbreekt, wordt de release niet afgetekend.
Bij aftekening moet de fabrikant naar vier records kunnen verwijzen: classificatierationale, inventaris van geleverde elementen, secure-defaulttests en kwetsbaarheidsafhandeling.

Release-aftekening: mappen Q1 tot en met Q4

  1. Q1 Classificatierationalememo. Waarom is dit product zo geclassificeerd? Beoogd gebruik, verkoopcontext, geleverde digitale elementen en de gekozen standaardrouteprocedure.
  2. Q2 Inventaris geleverde elementen. Wat is het product exact? Arm, controller, handterminal, veiligheidscontroller, programmeerruntime, OTA-service, fleet-cloudconnector en uitgesloten klantcelsystemen.
  3. Q3 Testpakket veilige standaardinstellingen. Wat is standaard beveiligd en hoe wordt bijgewerkt? Geen gedeelde standaardcredential, gesigneerde updates, downgradeweigering, OPC UA-beveiligingsprofiel, service-inventaris na inbedrijfstelling en onderhoudsvensteradvies.
  4. Q4 Proces voor kwetsbaarheidsafhandeling. Hoe worden kwetsbaarheden en ernstige incidenten afgehandeld? Publiek contact, disclosurebeleid, triageworkflow, componentadvisorybewaking en gereedheid voor waarschuwingen, meldingen en eindrapporten.

Pre-releasecontroles op tafel vóór aftekening:

  • Elke map is vastgepind op de exacte firmwarebranch en leverancierscomponentbaseline voor de release.
  • Er is een genoemde eigenaar met gereedheid voor 24-uurs- en 72-uursmeldingen.
  • Het testpakket voor veilige standaardinstellingen dekt credentials per apparaat en het OPC UA-beveiligingsprofiel.

Aftekenpoort: als een record ontbreekt, wordt de release niet afgetekend.

Verklaringsrecord: gebruik de hoofdgids voor de EU-conformiteitsverklaring voor het sjabloon en de verplichte velden. Voor een robotrelease moet de productidentiteit arm, controllerkast, handterminal, firmwarebranch, geleverde opties en verwijzing naar de ondersteuningsperiode vastpinnen. Als dezelfde verklaring ook machinewetgeving dekt, noem die route in de verklaring en houd het technische robotdossier en het machineveiligheidsdossier gelijk.

Hoe draagt de robot over aan importeur, distributeur, integrator en operator?

Het releasedossier moet de overdracht van robotfabrikant naar importeur, distributeur, integrator-als-fabrikant en eindgebruiker testbaar maken. Bij robots en cobots is het zwakke punt meestal niet alleen de CE-markering. Het is of levering, handleiding, fleet cloud, OTA-service en integratoroverdracht nog overeenkomen met de beoordeelde release.

Geïllustreerde overdracht tussen marktdeelnemers voor een industriële-robotrelease. Het releasepakket van de fabrikant beweegt langs een horizontale flowrail door acceptatie vóór marktintroductie door de importeur, zichtbare zorgvuldigheid door de distributeur, integrator als machinefabrikant voor de cel en de operator op de fabrieksvloer. Een rij stopcondities eronder noemt de gevallen die levering of vermelding pauzeren. Twee zijcontroles onderaan lichten toe dat het mandaat van de gemachtigde vrijwillig is en dat fabrikanten zonder hoofdvestiging in de Unie het meldendpoint kiezen via de cascade gemachtigde, importeur, distributeur en grootste gebruikersbasis; de tweede zijcontrole legt uit dat importeurs of distributeurs onder eigen merk en ingrijpende wijzigers fabrikant kunnen worden voor de getroffen release. Een voetregel noemt aangrenzende regimes, zoals de Machineverordening 2023/1230, ISO 10218-1:2025, NIS2 en AI Act, als afzonderlijke beoordelingen.
Overdrachtspoort: verplaats de robot niet van levering naar vermelding wanneer pakket, traceerbaarheid, ondersteuningsverklaring, fleet cloud, updatekanaal, rolidentiteit of een bekende kwetsbaarheid botst met de beoordeelde release.
De overdrachtskaart toont wie elke pre-salecontrole beheert en wat de robot bij elke rol stopt.

Overdracht tussen marktdeelnemers: rollen, zijcontroles, aangrenzende regimes

  1. 01 Fabrikant. Beheert het releasepakket: verklaring, CE, dossierindex, supportvenster en kwetsbaarheidscontact.
  2. 02 Importeur (acceptatie vóór marktintroductie). Controleert pakket, CE, dossierindex, supportdatum en kwetsbaarheidscontact. Pauzeer levering als pakket, traceerbaarheid, credentialmodel van handterminal, fleet-cloudaccount of updatekanaal twijfelachtig is.
  3. 03 Distributeur (zichtbare zorgvuldigheid). Controleert CE, meegeleverde documenten, operatortraceerbaarheid, support- en updateverklaringen. Pauzeer vermelding als die support overdrijft, operators verbergt, niet past bij de verklaring of blijft verkopen na een bekend probleem.
  4. 04 Integrator (machinefabrikant). Combineert arm met veiligheid, vision en cellogica. Als de cel onder de naam van de integrator wordt geleverd, wordt de integrator fabrikant van de cel. Grensmemo op celniveau en component-due-diligence zijn vóór release nodig.
  5. 05 Operator (eindgebruiker op de vloer). Ontvangt advisories, past updates toe in onderhoudsvensters en meldt problemen terug. Geen fabrikant.

Zijcontrole A: vrijwillig AR-mandaat en niet-EU-melding. Het mandaat van de gemachtigde is vrijwillig, geen niet-EU-verplichting. Niet-EU-fabrikanten zonder vertegenwoordiger gebruiken de meldendpointcascade om de CSIRT-coördinator te kiezen.

Zijcontrole B: triggers voor nieuwe fabrikant. Een importeur of distributeur die de robot onder eigen naam of merk aanbiedt, of de robot ingrijpend wijzigt, wordt fabrikant voor dat aanbod. Een andere partij kruist die grens alleen wanneer de wijziging ingrijpend is, en dan alleen voor het getroffen deel tenzij de cyberbeveiliging van het hele product verandert.

Aangrenzende regimes (elk een afzonderlijke beoordeling): Machineverordening 2023/1230 vanaf 20 januari 2027, ISO 10218-1:2025-veiligheidszaak, NIS2 voor operators van kritieke infrastructuur, AI Act voor AI-gedreven toepassingen.

De rijen hieronder zijn de korte versie: wat controleren, wanneer pauzeren, wanneer heeft de robot een nieuwe rolanalyse nodig. De productoverstijgende roltriggerdetails (fabrikant, importeur, distributeur, gemachtigde, open-sourcesoftwaresteward) staan in Wie moet voldoen aan de CRA.

Importeuracceptatie

Controleer verklaring, CE-controle, dossierindex, ondersteuningsperiodeverklaring, kwetsbaarheidscontact, identiteit van importeur en handleiding in de bestemmingstaal. Pauzeer als pakket, traceerbaarheid, credentialmodel van handterminal, fleet-cloudaccount of updatekanaal twijfelachtig is.

Zorgvuldigheid distributeur

Controleer zichtbare CE, meegeleverde documenten, operatortraceerbaarheid en support- en updateverklaringen op de vermelding. Pauzeer als het aanbod operators verbergt, support overdrijft, niet past bij de verklaring of blijft verkopen na een bekend probleem.

Integrator als machinefabrikant

Een integrator die de arm combineert met veiligheid, vision en cellogica wordt machinefabrikant wanneer de cel onder de naam van de integrator wordt geleverd. De integrator voert dan component-due-diligence uit. De robotfabrikant blijft componentfabrikant voor arm, controller en geleverde software.

Importeur of distributeur onder eigen merk

Een importeur of distributeur die de robot onder eigen naam of merk op de Uniemarkt aanbiedt, wordt fabrikant voor dat aanbod. Hetzelfde geldt wanneer een importeur of distributeur een al op de markt geplaatste robot ingrijpend wijzigt: branded firmware, een nieuwe handterminalidentiteit, een nieuwe fleet cloud, een nieuw updatekanaal, een nieuwe veiligheidsconfiguratie of een nieuw beoogd doel. Het productdossier van de fabrikant wordt geen informele belofte.

Andere reseller na ingrijpende wijziging

Een partij die niet de fabrikant, importeur of distributeur is, wordt alleen fabrikant wanneer zij de robot ingrijpend wijzigt voordat zij die beschikbaar maakt. De rol geldt voor het getroffen deel, of voor het hele product als de wijziging de cyberbeveiliging als geheel raakt. Behandel een nieuw updatepad, gewijzigd beoogd gebruik of vervangen beveiligingsgrens als een nieuwe rolcheck.

Gemachtigde en niet-EU-melding

Een fabrikant kan per schriftelijk mandaat een gemachtigde aanstellen; dat is een keuze, geen niet-EU-verplichting. De keuze van het meldendpoint wordt getriggerd door een ander feit: geen hoofdvestiging in de Unie. Een fabrikant in die positie gebruikt de CRA-cascade: gemachtigde, importeur, distributeur en daarna grootste gebruikersbasis. Een niet-EU-fabrikant zonder vertegenwoordiger begint bij de importeurstap.

Check op aangrenzende regimes

De Machineverordening 2023/1230 (vanaf 20 januari 2027) en ISO 10218-1:2025 dekken de veiligheidszaak. NIS2 geldt als de operator een entiteit in kritieke infrastructuur is. De AI Act geldt voor vision- of AI-toepassingen. Elk regime is een afzonderlijke beoordeling.

Veelgestelde vragen

Zijn industriële robots en cobots belangrijk of kritiek onder de CRA?

Industriële robots en cobots staan niet in de CRA-lijst met belangrijke producten of in de lijst met kritieke producten. De planningsaanname is de standaardroute. De route verschuift alleen naar belangrijk als een genoemde functie het aanbod domineert, bijvoorbeeld een robot die vooral als firewallgateway, netwerkbeheersysteem of geharde controller rond een tamper-resistant microcontroller wordt verkocht. Er is geen robotcategorie die automatisch de kritieke route afdwingt.

Classificatierecord: een memo van één pagina voor de exacte arm- en controllervariant, met beoogd gebruik, geleverde digitale elementen en routeonderbouwing.

Heeft een 6-assige robotarm een aangemelde instantie nodig?

Niet voor een standaardproduct. Robots en cobots staan vandaag niet in de lijst met belangrijke producten, dus de conformiteitsroute loopt via de standaardprocedure. De fabrikant kiest tussen interne controle, EU-typeonderzoek plus module C, volledige kwaliteitsborging of een toepasselijk Europees cybersecuritycertificeringsschema. Een aangemelde instantie is alleen betrokken bij de modules die de fabrikant werkelijk kiest: interne controle blijft volledig intern, de andere modules betrekken een aangemelde instantie. De voorwaarde rond volledig toegepaste normen hoort bij de Class I-terugval en zou pas spelen als een toekomstige update een robot- of cobotsubproduct aan de lijst toevoegt.

Conformiteitsrouterecord: een korte memo met de gekozen procedure, gebruikte normen, eventuele gaten en onderbouwing. Als de lijst met belangrijke producten ooit een robotsubproduct toevoegt, legt de memo vast of de Class I-terugval voor het ontbrekende gebied geldt.

Dekt de Machineverordening de cyberkant al?

De Machineverordening 2023/1230 geldt vanaf 20 januari 2027 en bevat veiligheidsgerelateerde cybersecurity-eisen voor machines, waaronder bescherming tegen corruptie en betrouwbaarheid van veiligheidsbesturing. De CRA is de cyberweerbaarheidslaag erbovenop: bredere beveiligingshouding, kwetsbaarheidsafhandeling en ondersteuningsperiode. Behandel het veiligheidsdossier en cyberdossier als twee lijnen in dezelfde productmap, niet als twee losse complianceprojecten.

Herchecktrigger: elke wijziging aan veiligheidsrelevante firmware, het veiligheidsconfiguratiemodel of het updatekanaal opent beide lijnen opnieuw.

Wie is fabrikant onder de CRA wanneer een integrator de cel bouwt?

De robotfabrikant blijft fabrikant voor arm, controller, veiligheidscontroller en geleverde software. De integrator wordt machinefabrikant voor de resulterende cel. Wanneer de cel als product onder de naam van de integrator op de markt komt, kan de integrator ook fabrikant voor cyberweerbaarheid worden voor het gecombineerde product en moet hij due diligence op elk geïntegreerd component uitvoeren. Beide rollen kunnen in dezelfde levering naast elkaar bestaan.

Grensrecord: een schriftelijke overdrachtsmemo die noemt welk artefact met de cel meegaat en welk artefact bij de robotfabrikant blijft.

Valt een cobot voor mkb-werkplaatsen in dezelfde categorie als een afgeschermde robot?

De categorie is dezelfde: een industriële robot onder de cyberweerbaarheidslaag, geen smart-homeproduct. Het risicoprofiel verschilt omdat een krachtbegrensde cobot die met mensen samenwerkt sterker leunt op veiligheidsgewaardeerde kracht, snelheid en afstandsbewaking. Daardoor is de overlap tussen veiligheid en cyber strakker. Het releasedossier moet die overlap laten zien, niet de categorie wijzigen.

Risicobeoordelingsrecord: een cobot-specifieke entry met de collaboratieve bedrijfsmodus en de cybergebeurtenissen die die kunnen uitschakelen.

Wat als de robot met vision, AI of telebediening op afstand wordt geleverd?

Een meegeleverd visionsysteem of AI-module is een geleverd digitaal element en blijft binnen de productgrens. Telebediening op afstand valt ook binnen de grens wanneer de fabrikant die levert, met expliciete bevoegdheid, tijdslimiet en audit. Een AI-gebaseerde toepassing kan daarnaast onder een afzonderlijk regime vallen; voeg die beoordelingen niet samen.

Grensrecord: noem elk meegeleverd element, de eigenaar, het updatepad en de uitgesloten tegenhangers.

Verandert cloud-fleetbeheer de productgrens?

Cloud-fleetbeheer verandert de route niet op zichzelf. Als de fabrikant de fleet cloud levert en de controller zonder die cloud een functie niet zou uitvoeren, behandel die cloud dan als onderdeel van de grens, het bewijs en de risicobeoordeling. De classificatie blijft de kernfunctie van de controller volgen.

Grensrecord: een cloudafhankelijkheidskaart die laat zien welke fleetservices met de robot worden geleverd, welke functies zonder die services falen, welke data zij verwerken en welke systemen buiten het aanbod van de fabrikant vallen.

Wat hoort in een CRA-risicobeoordeling voor een robot?

Begin met de productgrens, niet met het juridische label. Neem voor een complete cobot arm, controllerkast, handterminal, veiligheidscontroller, programmeerruntime, fleet-cloudconnector, OTA-service, kwetsbaarheidscontact en pad voor buitenbedrijfstelling op. Leg daarna assets, vertrouwensgrenzen, dreigingen, kans, impact, eerste beslissing, controles, bewijs en restrisico vast.

Risicobeoordelingsrecord: assetinventaris, vertrouwensgrenskaart, dreigingslijst, eerste beslissingen, behandelplan, onderbouwing van restrisico en genoemde eigenaar voor elk post-market signaal.

Hoe specifiek moet het dreigingsmodel voor een robot zijn?

Specifiek genoeg dat een engineer het kan testen. "Ongeautoriseerde beweging" is te vaag. Een bruikbare entry is concreter: "Een handterminal die ingelogd blijft, laat een operator een programma laden dat de werkruimtegrenzen van de veiligheidsconfiguratie overschrijdt." Dat wijst naar asset, ingangspunt, aanvalskans, controle en testbewijs.

Testartefact: één dreigingsticket per entry, gekoppeld aan de handterminal-, fleet-cloud-, update-, veldbus-, kalibratie-, supportexport- of buitenbedrijfstellingstest die bewijst dat de controle werkt.

Welke robotrisico's beoordeelt u eerst?

Begin met de paden die beweging of veiligheidsconfiguratie kunnen wijzigen: handterminalbevoegdheid, schrijfbevoegdheid van het engineeringstation, gesigneerde updates, de herstelsleuf, het veiligheidsfirmwarepad, OPC UA-blootstelling en de servicetunnel. Dat zijn de paden die het ontwerp vóór release het meest waarschijnlijk veranderen.

Releasecheck: een pre-releasechecklist voor bewegingsbevoegdheid, veiligheidsconfiguratiebevoegdheid, blootgestelde services, leveranciersadvisorybewaking, buitenbedrijfstelling en integratoroverdracht.

Wat is een goed voorbeeld van een robotrisico-entry?

Voorbeeld: "R2: de herstelsleuf accepteert ongesigneerde of oudere firmwarebundels." De eerste kans kan laag zijn, maar de impact is ernstig omdat een kapot herstelpad de fleet jarenlang kan compromitteren. De controle is secure boot, gesigneerde herstelimages, monotone versiechecks, rollbackbeleid en downgradeweigeringstests. Het bewijs bestaat uit bootketenontwerp, updateverificatielogs en een geweigerde-downgradetest bij het release-record.

Testartefact: bootketenontwerpnotitie, signed-updateverificatielog, geweigerde-downgradetest en herstelsleuftestresultaat voor de exacte firmwarebuild.

Wanneer moet de risicobeoordeling worden bijgewerkt?

Werk die bij wanneer de vrijgegeven staat verandert op een manier die vertrouwen raakt: een nieuw handterminalaccountmodel, een nieuwe veldbusoptie, een fleet-cloudwijziging, een veiligheidsfirmwarewijziging, een wijziging aan de programmeerruntime, een nieuwe visionmodule, gewijzigd debugpoortgedrag of een nieuw pad voor buitenbedrijfstelling. Een releasenote is niet genoeg als de wijziging een bevoegdheidspad opnieuw opent. De vroege datum telt hier: meldverplichtingen gelden vanaf 11 september 2026, terwijl de rest van de CRA pas op 11 december 2027 volledig geldt. De beoordeling, het disclosurebeleid en het genoemde single point of contact moeten werken voordat de melddeadlines beginnen te lopen.

Herchecktrigger: elke wijziging aan bevoegdheid, update, blootgestelde services, leverancierscomponenten of buitenbedrijfstelling opent de grens en risicobeoordeling opnieuw.

Wat is het eerste bewijsitem dat een robotfabrikant moet maken?

Begin met een korte classificatie- en grensmemo voor de exacte variant: armmodel, payload, bereik, controllerkast, handterminal, veldbusopties, programmeerruntime, fleet-cloudconnector, beoogd gebruik en uitgesloten klantsystemen. De memo noemt de routeonderbouwing en het supportvenster.

Classificatierecord: een memo van één pagina waar risicobeoordeling, conformiteitsroutekeuze, dossierindex, importeurpakket en ondersteuningsperiodeverklaring allemaal naar kunnen verwijzen.

Wat als na release een kwetsbaarheid wordt gevonden?

De fabrikant moet direct corrigerende maatregelen nemen wanneer het product of de ondersteunende processen niet conform zijn, en het product waar nodig terugtrekken of terugroepen. Operationeel heeft het dossier gereedheid nodig voor de meldvolgorde: een vroege waarschuwing binnen 24 uur bij actief misbruikte kwetsbaarheid, een kwetsbaarheidsmelding binnen 72 uur, een eindrapport zodra de corrigerende of mitigerende maatregel beschikbaar is, en gebruikersmelding. Voor een robot is de corrigerende maatregel meestal een gesigneerde firmware-update met machine-impactnotitie en voorstel voor een onderhoudsvenster; een recall blijft voor gevallen waarin de controller niet veilig in het veld kan worden bijgewerkt.

Recallrecord: een notitie voor corrigerende maatregelen met getroffen serienummers, controllerfirmwarebranches, integrators en distributeurs, mitigatiestappen, gesigneerd updateartefact, tekst voor gebruikersadvisory en CSIRT-meldreferentie.

Volgende stappen

Zet het uitgewerkte voorbeeld om in vijf release-acties voor de exacte robot- of cobotvariant.

  1. Bepaal de route voor deze release. Bevestig of het aanbod een componentverkoop aan integrators is, een complete cobotcel voor mkb-bedrijven of een arm die in een afgewerkte machine onder een andere naam wordt ingebouwd. Gebruik de producthub als kruischeck, niet als vervanging voor de robotspecifieke memo.
  2. Schrijf de classificatie- en grensmemo. Noem verkoopclaim, beoogd gebruik, geleverde arm en controller, handterminal, programmeerruntime, fleet cloud, updatepad, route voor kwetsbaarheidsafhandeling, ondersteuningsperiode en uitgesloten klantsystemen.
  3. Publiceer de verklaring over de ondersteuningsperiode. Houd de aankoopgerichte supportdatum gelijk met handleiding, updateplan, aannames over componentsupport, einde-supportmelding en releasedossier. Een machinelevensduur van vijftien jaar verlengt de CRA-supportperiode niet vanzelf; het dossier moet eerlijk zijn over wat de fabrikant kan leveren.
  4. Inventariseer wat wordt geleverd. Pin de hardwarerevisie van de arm, controllerfirmwarebranch, veiligheidsfirmwarerevisie, handterminalfirmware, versie van programmeerruntime, build van fleet-cloudconnector, veldbusopties en leveranciersinputs die bij de beoordeelde release horen.
  5. Houd het releasedossier levend na lancering. Wijs eigenaren aan voor kwetsbaarheidsintake, bewaking van leveranciersadvisories, levering van beveiligingsupdates, melding aan integrators, review van restrisico en de volgende wijziging die classificatie of grensbeslissing opnieuw kan openen.
← CRA-productgidsen