CRA Klasse I Compliance-gids: routers, modems en switches

Gepubliceerd 28 mei 2026 Bijgewerkt 30 mei 2026

Samenvatting

Een home-Wi-Fi-router, een modem-router, een internetmodem, een mesh-knooppunt of een switch wordt normaal gesproken gepland als een belangrijk Klasse I-product. De uitzondering zit in de kernfunctie: een router die hoofdzakelijk als firewall, IDS/IPS, VPN-gateway of netwerkbeheerappliance wordt gepositioneerd, kan een andere categorieanalyse nodig hebben.

De eerste bewijsactie is een classificatie- en grensmemo voor het exacte CPE- of netwerkapparaat. Die memo benoemt de hardware, de firmware, de WAN-interface, de draadloze stack, de LAN-admin-UI, de mobiele app, de ISP- of leverancierscloud, het remote-managementkanaal, het updatemechanisme, de componenteninventaris, de ondersteuningsperiode en elke private-label- of ISP-firmwarewijziging.

Productvariant	Waarschijnlijke CRA-klasse	Waarom
Consumenten-Wi-Fi-router	Belangrijk Klasse I	Internetconnectiviteit en routing zijn de kernfunctie
ISP-modem-router of CPE	Belangrijk Klasse I	Het product verbindt klanten met internet
Standalone kabel-, DSL- of glasvezelmodem / ONT	Belangrijk Klasse I wanneer bestemd voor internetverbinding	De functie als internetmodem is de kern van het product
Mesh-Wi-Fi-kit	Belangrijk Klasse I	De mesh-knooppunten vormen het routerproduct of de productfamilie
4G/5G-mobiele hotspot	Belangrijk Klasse I	Cellulaire WAN blijft internetconnectiviteit
Managed switch	Belangrijk Klasse I	Schakelen plus een managementvlak past bij de netwerkproductfunctie en vergroot de bewijsgrens
Unmanaged of niet-configureerbare switch	Casusspecifiek	Controleer eerst of het een product met digitale elementen is en of er een managementvlak, firmware-updatepad, cloud- of app-functie of andere verbonden functie aanwezig is voordat u het als managed netwerkapparatuur behandelt
VPN-router	Casusspecifiek, meestal Belangrijk Klasse I	VPN kan de meer specifieke functie zijn als die als zodanig wordt verkocht
Router gepositioneerd als firewall, UTM of IPS	Casusspecifiek, mogelijk Belangrijk Klasse II	Firewall of preventie kan de kernfunctie worden
Commerciële routerfirmware los verkocht	Casusspecifiek	Het softwareproduct kan zelf het routerproduct zijn
ISP-gebrande CPE met OEM-hardware	Belangrijk Klasse I, rolgevoelig	Private-label-branding of firmwarewijziging kan fabrikantverplichtingen verschuiven

Classificatiebasis

Classificatieroute-beslissing voor een router, modem of switch. Een bovenliggende vraag over de hoofdfunctie in de markt vertakt drie kanten op. Tak A, gemarkeerd: een router, internetmodem of managed switch is Belangrijk Klasse I punt 12 omdat routing en internetconnectiviteit de kernfunctie zijn. Tak B: een box die vooral als firewall of als inbraakdetectie- en preventiesysteem wordt verkocht, roept de Klasse II punt 2-vraag op. Tak C: een unmanaged of niet-configureerbare switch, of een commerciële open-sourcefirmware-image, vraagt om een casusspecifieke check. Een voettekst herinnert eraan dat pakketfiltering, parental controls of een VPN-client een router niet vanzelf naar Klasse II verschuiven. — De eerste routingvraag is de hoofdfunctie in de markt: een router of modem blijft Klasse I punt 12; een firewall-eerst-box roept de Klasse II punt 2-vraag op.

De CRA behandelt routers, internetmodems en switches als belangrijke Klasse I-producten, en dat is niet hetzelfde als de Klasse II-status van een firewall. Extra beveiligingsfuncties verschuiven een router niet naar Klasse II zolang routing en internetconnectiviteit de hoofdfunctie in de markt blijven.

Het product is niet Kritiek alleen omdat het op de netwerkrand zit. De lijst Kritiek is smaller en omvat geen consumentenrouters of ISP-CPE als geheel.

Wat geldt als het routerproduct?

Een router-, modem- of switchproduct kan meer omvatten dan de plastic doos:

bootloader, besturingssysteem, kernel, draadloze drivers, WAN-stack en LAN-diensten;
modem, ONT, Ethernet-switchsilicium, gedrag van management-VLAN en PoE-control waar aanwezig;
web-admin-UI, mobiele app-pairing en lokaal setup-portaal;
TR-069, USP/TR-369 of ander remote-managementkanaal;
leveranciers- of ISP-cloud voor remote toegang, parental controls, telemetrie, mesh-coördinatie of update-orchestratie;
firmware-updatedienst, signeersleutels, recovery-image en supportproces.

Het bewijsdossier legt ook vast wat buiten het product valt: het ISP-account van de klant, smart-home-apparaten van derden, door de klant geschreven netwerkregels, de modem van de gebruiker wanneer apart verkocht, en downstream-operatorsystemen die de fabrikant niet levert.

Welke conformiteitsroute moet de fabrikant plannen?

Belangrijk Klasse I betekent niet automatisch dat elke router beoordeling door een derde partij nodig heeft, maar interne controle mag niet als vanzelfsprekend gelden. Kan de fabrikant de algemene interne-controleroute gebruiken en heeft hij de relevante geharmoniseerde normen, gemeenschappelijke specificaties of een passend Europees cyberbeveiligingscertificeringsschema op assurancelevel minstens substantieel volledig toegepast voor de toepasselijke essentiële vereisten, dan is die route beschikbaar. Bestaan die referenties niet, zijn ze slechts deels toegepast, niet toegepast of dekken ze niet alle relevante eisen, plan dan EU-typeonderzoek plus interne productiecontrole of volledige kwaliteitsborging. De mechaniek van de algemene route en wat de EU-conformiteitsverklaring moet bevatten, staat in de conformiteitsbeoordeling- en conformiteitsverklaring-gidsen; deze pagina behandelt alleen de routerspecifieke keuze.

Wordt dezelfde hardwarevariant ook als firewall, VPN-gateway, netwerkbeheerappliance of managed security-platform verkocht, schrijf dan een aparte classificatiememo voor die SKU.

Hoe sluit de RED-cybersecuritydeadline aan op de CRA?

De meeste routers en op het internet aangesloten modems bevatten een radio (Wi-Fi, een cellulaire modem of vergelijkbaar), en die subset met radio is al door één cybersecuritypoort gegaan voordat de CRA komt. Vanaf 1 augustus 2025 gelden de cybersecurityvereisten van de Radioapparatuurrichtlijn (RED Artikel 3.3 punten d, e en f, ingevuld door Gedelegeerde verordening (EU) 2022/30) voor op het internet aangesloten radioapparatuur zoals Wi-Fi-routers, mesh-knooppunten, modem-routers en cellulaire gateways. Een puur bedraad apparaat, zoals een Ethernet-only-router of een kale DSL-, kabel- of glasvezelmodem zonder radio, valt buiten het cyber-toepassingsgebied van RED, maar elk van die apparaten is nog steeds een product met digitale elementen onder de CRA. CRA-meldverplichtingen starten op 11 september 2026 en de CRA wordt volledig van toepassing op 11 december 2027. Op dezelfde datum treedt de intrekking van de RED-cybersecuritygedelegeerde verordening door Gedelegeerde verordening (EU) 2026/339 in werking, zodat beide regimes niet overlappen.

Tijdlijn die de cybersecuritydeadline voor radioapparatuur koppelt aan de CRA. Vanaf 1 augustus 2025 voldoet op het internet aangesloten radioapparatuur aan de cybersecurityvereisten van RED (punten d, e en f). De gedelegeerde verordening RED-cybersecurity wordt vervolgens ingetrokken door Gedelegeerde verordening (EU) 2026/339, en de CRA wordt volledig van toepassing op 11 december 2027, terwijl de meldverplichtingen al starten op 11 september 2026. Een parallelle normenlane toont de EN 18031-serie voor de RED-fase, ETSI EN 304 627 als concept-CRA-routerstandaard en de EN 40000-horizontale concepten. — Routerfabrikanten passeren vanaf augustus 2025 een cybersecuritypoort voor radioapparatuur; dezelfde verplichtingen verschuiven vanaf december 2027 naar de CRA.

Voor een routerfabrikant is de praktische lezing:

Tussen 1 augustus 2025 en 10 december 2027 voldoet de toepasselijke radioapparatuur aan de cybersecurityvereisten van RED; de geharmoniseerde route loopt via de EN 18031-serie, met ETSI EN 303 645 als consumentenbasislijn waarop die voortbouwt.
Vanaf 11 december 2027 vallen dezelfde cybersecurityverplichtingen onder de CRA, met de bredere levenscyclusverplichtingen: veilige standaardconfiguratie, het proces voor kwetsbaarheidsafhandeling, de verklaring over de ondersteuningsperiode en de meldverplichtingen die al starten op 11 september 2026.
Een router die vóór 11 december 2027 op de markt is aangeboden, valt alleen onder de CRA als hij na die datum ingrijpend wordt gewijzigd. De enige uitzondering is de meldverplichting, die geldt voor elk product binnen het toepassingsgebied, inclusief reeds verkochte eenheden.
De routerspecifieke geharmoniseerde CRA-norm in voorbereiding is ETSI EN 304 627 (Routers, Modems en Switches), die aansluit op Klasse I punt 12 en de essentiële cybersecurityvereisten. Het is nog een concept, dus plan de conformiteitsroute op de normen die op dat moment werkelijk worden geciteerd, en hergebruik de controles die voor RED zijn gebouwd (veilige standaardinstellingen, gesigneerde updates, toegangscontrole) als basis voor het CRA-dossier in plaats van een afzonderlijk project te starten.

Welk bewijs moet klaarliggen?

Bewijsgebied	Wat vastleggen voor een router of modem-router	Waarom dit telt
Beoogd gebruik	Home-router, ISP-CPE, modem, ONT, mesh-systeem, mobiele hotspot, switch, VPN-router, managed switch	De klasse volgt de werkelijke productvariant en de claims
WAN-aanvalsoppervlak	DHCP, PPPoE, IPv6, DNS-proxy, NAT, firewall-defaults, posture voor remote admin	De WAN-zijde ontvangt onvertrouwd verkeer voordat de gebruiker iets heeft ingesteld
LAN-admin	Web-UI, lokale API, setup-portaal, wachtwoordbeleid, accountherstel, toegangscontroles	Hier ontstaan de meeste configuratie- en eigendomsfouten
Wireless	WPA2/WPA3-defaults, WPS-beslissing, gastisolatie, SSID/wachtwoord-onboarding, Wi-Fi-chipfirmware	Wireless-defaults worden de beveiligingsdefaults van het huishouden
Remote management	TR-069, USP/TR-369, leverancierscloud, ISP-cloud, remote toegang via mobiele app	Dit is vaak het verschil tussen een box en een fleet-managed product
Updatepad	Gesigneerde firmware, rollbackbescherming, door ISP gepushte releases, recoverypartitie, updatemededeling	Routerupdates moeten de ondersteuningsperiode dekken en OEM/ISP-branches overleven
Leveranciersbewijs	SoC-SDK, Wi-Fi/baseband-leverancier, bootloader, kernel, TLS-stack, DNS/DHCP-diensten	Routerleveranciers erven een groot oppervlak aan componenten van derden
Rolbewijs	Verantwoordelijkheden van OEM, ISP, importeur, distributeur en private label	Gebrande CPE en firmwareforks kunnen verschuiven wie het CRA-dossier beheert

Welke routerarchitectuurdetails mogen niet ontbreken?

Routerbewijs moet het feitelijke edge-apparaat volgen dat wordt geleverd. Een retail-Wi-Fi-router, ISP-modem-router, PON-ONT, kabelmodem, mobiele hotspot, mesh-knooppunt en managed switch hebben verschillende WAN-blootstelling, remote-managementrisico's en firmware-branchrisico's.

Het inwendige van een routergateway, getekend als vier horizontale planebanden. Het datavlak bevat de WAN-poort, LAN-switch, Wi-Fi-radio en hardware-offload. Het controlevlak, dat op de SoC-CPU draait, bevat routing en NAT, de firewall, DHCP en DNS, en Wi-Fi-authenticatie. Het managementvlak bevat de web-admin-console, SSH, SNMP, de TR-069- en USP-agent, en de over-the-air-updateclient. De platformlaag bevat secure boot, de A- en B-firmwarebanken en flash plus DRAM. Elk vlak is een aparte groep componenten die in het productdossier van de fabrikant hoort. — De router splitst in vier vlakken: dataforwarding, controlesoftware op de CPU, managementtoegang en het platform dat alles opstart en opslaat. Alle vier horen in het productdossier.

Een hub-and-spoke-kaart van wie met de router praat. De router zit centraal binnen een gestippelde productdossiergrens. Aan de huishoudkant: een lokaal admin-apparaat en de huishoud-LAN- en IoT-apparaten. Aan de operator- en internetkant: het onvertrouwde internet, de ISP- of operator-auto-config-server, de firmware-updateserver en de leverancierscloud. Zeven gelabelde stromen kruisen de grens: WAN-uplink, LAN-verkeer, Wi-Fi-associatie, lokale admin, remote management, gesigneerde firmware-update en leverancierstelemetrie. — Elke stroom hier kruist de productdossiergrens: de WAN-uplink, LAN en Wi-Fi naar het huishouden, lokale admin, remote management door de operator, gesigneerde updates en cloudtelemetrie. Het dossier moet ze allemaal verantwoorden.

Architectuurcontrolepunt	Bewijsvraag voor router, modem of switch
Bootketen en recovery	Benoem boot-ROM, bootloader, secure-bootstatus, A/B- of single-bank-image, recovery-trigger, anti-rollback-teller en gedrag bij fabrieksreset. Bewaar tests voor downgrade- en recovery-misbruik.
WAN en provisioning	Behandel Ethernet-WAN, PPPoE, DHCP, IPv6, DOCSIS/PON/cellulaire provisioning en operatorprofielen afzonderlijk. Toon welke diensten onvertrouwde WAN-input verwerken voordat de admin-UI bestaat.
Wi-Fi- en baseband-laag	Volg Wi-Fi-firmware-blobs, configuratie van het regulatorische domein, hostapd/wpa_supplicant-forks, WPS-beslissing en mesh-onboarding. Firmware van leveranciers hoort op de advisory-watch.
Remote management	Voor TR-069/CWMP, USP/TR-369, leverancierscloud of ISP-cloud: leg de controller-identiteit, certificaatvertrouwen, connection-request-gedrag, command-scope en auditbaarheid vast.
Switch- en mesh-control	Managed-switch-UI, SNMP/API, VLAN's, port mirroring, PoE, EasyMesh of proprietaire mesh-controllers vragen hun eigen blootstellingschecks op het managementvlak. Verifieer voor unmanaged of niet-configureerbare switches eerst of er een digitaal management- of updateoppervlak bestaat.
ISP- en private-label-branches	Houd een branchmatrix bij met OEM-build, ISP-fork, operatorprofiel, OTA-goedkeuring, eigenaar van de ondersteuningsperiode en pad voor gebruikersnotificatie.
Productie en retour	Leg per-apparaat-secrets, gedrukte credentials, debug-shellbeleid, UART/JTAG-status, RMA-wipe en cloud-unbind vast.

De WAN-zijde is waar het apparaat voor het eerst onvertrouwde input verwerkt, en die zijde verandert met de toegangstechnologie. Een retail-Ethernet-WAN-router, een kabelmodem-router, een glasvezel-ONT en een cellulaire hotspot delen niet hetzelfde provisioningkanaal of dezelfde upstream-peer.

WAN-toegangstechnologie-varianten voor een internet-edge-apparaat. Een DSL-modem verbindt met een DSLAM in de centrale; een kabelmodem verbindt met een CMTS via een link die met BPI+ of SEC versleuteld en certificaatgeauthenticeerd is; een glasvezel-ONT verbindt via een passieve splitter met een OLT; een Ethernet-WAN-poort verbindt met een upstream-switch; en een cellulaire module verbindt met een mobiel netwerk. Elke variant noemt wat er verandert op de WAN-vertrouwensgrens: de toegangspeer, het provisioningkanaal en de onvertrouwde input die het apparaat als eerste bereikt. — De WAN-grens verschilt per toegangstechnologie: DSL, kabel, glasvezel, Ethernet of cellulair veranderen elk de toegangspeer en de eerste onvertrouwde input.

Hoe ziet een echt dreigingsmodel voor een router eruit?

Gebruik dit als voorbeeld van de diepgang die in een productdossier wordt verwacht. De fabrikant moet de beoordeling nog steeds uitvoeren tegen de echte router, modemchipset, draadloze stack, remote-managementkanaal, leveranciers-SDK's, update-eigenaarschap, verkoopclaims en belofte over de ondersteuningsperiode.

Voorbeeldproductprofiel

Voorbeeldproduct: ExampleCo HomeRouter R1, een Wi-Fi 7-home-router die in de EU via retail- en ISP-white-label-kanalen wordt verkocht. Hij heeft Ethernet-WAN, vier LAN-poorten, gast-Wi-Fi, een lokale web-admin-UI, mobiele-app-onboarding, optioneel ISP-remote-management, gesigneerde OTA-firmware, automatische update-checks, DNS/DHCP-diensten, parental-control-profielen en een recovery-image.

De productgrens omvat de routerhardware, bootloader, kernel, Wi-Fi-drivers, WAN-diensten, LAN-diensten, firewall-defaults, lokale web-UI, mobiele-app-pairing, leverancierscloud voor remote toegang, optionele ISP-remote-management-agent, OTA-dienst, recovery-image, supportwebsite, gecoördineerde-openbaarmaking-intake en adviesproces. Erbuiten vallen de modem van de klant wanneer apart verkocht, het ISP-abonnement, smart-home-apparaten van derden, de identity provider van de gebruiker en downstream-ISP-OSS/BSS-systemen tenzij dezelfde marktdeelnemer die als onderdeel van het product levert.

Provisioning-levenscyclus voor de voorbeeldrouter, van fabriek tot retour. Fase één, fabriek: per-apparaat-identiteit, unieke credentials, certificaten en een standaard-SSID. Fase twee, WAN-attach: Ethernet, PPPoE, DOCSIS, PON of cellulair bepaalt de eerste onvertrouwde input. Fase drie, provision: de operator of leverancier bindt een ACS- of USP-profiel en de command-scope. Fase vier, onboard: geforceerde wachtwoordwijziging, gastisolatie en de WPS-beslissing. Fase vijf, firmware: een gesigneerde baseline die downgrades weigert. Fase zes, reset, doorverkoop of RMA: cloud-unbind, tokenintrekking en wissen van mesh-lidmaatschap. Een onderstrook noemt de negatieve tests die bij elke overgang moeten slagen. — Elke levenscyclusstap benoemt wat verandert en de controle die bewijst dat de verkeerde actor de router niet kan overnemen.

Bewijsgrens van de HomeRouter R1 Het routerdossier moet hardware, firmware, wireless, cloud-management, ISP-varianten en operaties tijdens de ondersteuningsperiode aan elkaar koppelen.

Meer afhankelijkheid van de operator

Klant- en ISP-omgeving Aannames bij implementatie

ISP-account Aparte modem Smart-home-apparaten Huishoudendpoints ISP-OSS-tools

Bewijs

Documenteer aannames over verwacht huishoudelijk gebruik, ISP-provisioning, admin-eigenaarschap en niet-ondersteunde implementatiemodi.

Waar het product van de routerfabrikant begint

Routerhardware Aangeboden op de Uniemarkt

WAN LAN-switch Wi-Fi-radio's SoC Resetknop Recovery-slot

Bewijs

Firmware en diensten Aanvalsoppervlak om te beoordelen

Bootloader Kernel DNS/DHCP Web-admin TR-069 / USP OTA-agent

Bewijs

Componenteninventaris | dienstinventaris | tests voor draadloze defaults | tests voor veilige updates | review van remote management

Leverancierslaag Component-due-diligence voor routers

SoC-SDK Wi-Fi-firmware Ethernet-driver TLS-bibliotheek DNS-dienst Mobiele SDK

Bewijs

Leveranciersadviezen, registratie van SDK-versies, eigenaarschap van firmware-branches, CVE-triage voor componenten en bewijs van patchpropagatie.

Tijdens de ondersteuningsperiode

Levende CPE-vloot Updates en roloverdracht

OEM-firmwarefixes ISP-branchmerges Beveiligingsadviezen Gebruikersmeldingen Exploit-rapportage

Bewijs

Houd de branchmatrix, het registratie van update-releases, het ISP-goedkeuringsspoor, het adviesregister en het beslissingsdossier voor melding van actief misbruikte kwetsbaarheden of ernstige beveiligingsincidenten bij.

ISP-gebrande CPE vraagt om bijzonder bewijs omdat het product ontwerp, branding, firmwaregoedkeuring, remote management en gebruikerssupport over verschillende marktdeelnemers kan verdelen.

Eerste-boot-blootstellingsvenster voor de voorbeeldrouter. Een tijdlijn loopt van power-on, waar fabrieksdefaults actief zijn, naar onboarded, waar de defaults zijn vervangen en het venster is gesloten. Daartussenin blijft een blootstellingsvenster open en kunnen vier dingen de router al bereiken voordat de gebruiker iets wijzigt: WAN-input via DSL, DOCSIS, PON of cellulair die vóór login wordt verwerkt; de meegeleverde standaard-SSID en het wachtwoord; een operator-TR-069- of USP-server die een profiel kan binden; en de leverancierscloud-, mobiele pairing- en OTA-endpoints. Een strook noemt wat het venster sluit bij onboarding: geforceerde wachtwoordwijziging, gesigneerde firmware-baseline, scoped remote management en gastnetwerkisolatie. — Question answered: voordat het huishouden een instelling wijzigt, welke WAN-input, welk operatorprofiel en welke standaarddienst kunnen de router al bereiken?

Command-grens voor remote managementTR-069/CWMP, USP/TR-369, leverancierscloud en ISP-cloud moeten als fleet-control-paden worden afgebakend.

Commandogebied

Typische actie

Risicovraag

Bewijs om te bewaren

Configuratie

DNS, Wi-Fi, firewall, port forwarding of bridge mode.

Kan de controller meer wijzigen dan het beoordeelde profiel toestaat?

Matrix van command-scope en auditsteekproef.

Diagnostiek

Logs, packet counters, line stats of support bundle.

Lekt de export SSID, tokens, klantidentifiers of topologie?

Redactietest en data-inventaris.

Firmware

Door operator goedgekeurde update, recovery-image of branch-wissel.

Kan een oude of verkeerde regionale build worden gepusht?

Gesigneerd manifest, branchmap en rollback-weigering.

Eigenaarschap

Cloud-pairing, ISP-migratie, retour of doorverkoop.

Kan een vorige eigenaar, ISP of app-token de box nog besturen?

Reset-, unbind- en migratietests.

Bewijspoort: remote management is een fleet-control-pad, niet alleen een operatorfunctie. Het releasedossier moet elke controller-identiteit binden aan command-scope en firmware-branch. Artifact: TR-069/USP-profielreview, inventaris van controller-certificaten en command-auditsteekproef.

Question answered: welk remote-managementcommando kan DNS, firewall, firmware of eigendomsstatus wijzigen, en wie heeft die scope goedgekeurd?

OEM-, ISP- en private-label-firmware-branchmatrixDezelfde hardware kan worden geleverd met andere supporteigenaren, cloud-endpoints en patch-timing.

OEM-basisReferentiefirmware en componenteninventaris

Bronbranch, SDK-versie, Wi-Fi-firmware, kernel en signeersleutel vormen de uitgangsbaseline.

ISP-forkOperatorprofiel en releasepoort

ACS/USP-endpoint, branding, standaardconfiguratie, goedkeuringsworkflow en eigenaar van gebruikersmelding zijn gedocumenteerd.

Retail-SKULeverancierscloud en app-binding

Mobiele app, cloud-pairing, mesh-dienst en verklaring over de ondersteuningsperiode blijven binnen het release-proces van de leverancier.

Patch-mergePropagatie van beveiligingsfixes

Volg of OEM-, ISP- en private-label-branches dezelfde beveiligingsfix hebben ontvangen of een gedocumenteerde uitzondering.

Patchpoort: de belofte over de ondersteuningsperiode volgt de firmware-branch die gebruikers daadwerkelijk ontvangen. Bewijs: branchmatrix, componenteninventaris-diff per branch, ISP-goedkeuringsspoor, eigenaar van private-label-release en gedocumenteerde uitzondering wanneer een branch dezelfde fix niet kan overnemen.

Question answered: wanneer de OEM een routerkwetsbaarheid oplost, hoe bewijst elke ISP-, retail- en private-label-branch dat de fix bij de gebruikers is aangekomen?

Asset-inventaris

Asset	Waarom dit telt	Waar het staat
WAN-naar-LAN-verkeerscontrole	Bepaalt blootstelling van het huishouden aan het internet	NAT, firewall-defaults, kernel networking
Router-admin-account en -sessies	Geeft controle over DNS, Wi-Fi, port forwarding, updates en reset	Web-UI, mobiele app, lokale tokenopslag, cloud-account
Wi-Fi-credentials en gastisolatie	Zwakke defaults stellen het thuisnetwerk en verbonden apparaten bloot	Wi-Fi-configuratie, onboardingflow, regels voor gastnetwerk
Remote-management-credential	Een fleet-control-credential kan veel routers raken	TR-069/USP-agent, certificaatopslag, ISP-ACS/cloud
Trust anchor voor firmwaresignering	Beschermt het routerupdatekanaal	Bootloader, secure storage, OTA-dienst
DNS/DHCP-configuratie	Kan gebruikers omleiden of connectiviteit verbreken	Lokale diensten, admin-UI, ISP-provisioning
Switch-managementstatus	VLAN's, port isolation, PoE en managementtoegang kunnen downstream-netwerken blootleggen	Managed-switch-UI, CLI, SNMP/API, switch-ASIC-configuratie
Modem/ONT-provisioningstatus	Registratie, bridge/router-modus en management-credentials raken de internetrand	Modemfirmware, operatorprofiel, remote-management-agent
Support- en diagnoselogs	Kan SSID's, serienummers, IP's, koppelingen aan klantaccounts en crashdata onthullen	Apparaatlogs, mobiele app, supportportaal
Firmware-branchstatus	ISP/OEM-branchdrift kan kwetsbaarheden ongepatcht laten	OEM-Git/-releasesysteem, ISP-fork, OTA-repository
Secure-boot- en anti-rollback-status	Beschermt het herstelpad en voorkomt dat bekend-kwetsbare images terugkeren	Bootloader, eFuse/RPMB/TPM-status, productiedossiers
Wi-Fi/baseband-firmware	Radiofirmware kan authenticatie, beschikbaarheid en netwerkblootstelling raken	Wi-Fi-chip, firmware-blob, leveranciers-SDK, productie-image

Vertrouwensgrenzen

Omgeving	Verwachte blootstelling	Risicogevolg
WAN-interface	Continu blootgesteld aan onvertrouwd netwerkverkeer	Parserbugs en blootgestelde diensten kunnen het apparaat compromitteren
LAN- en setupnetwerk	Gedeeld met huishoudendpoints en IoT-apparaten	Lokale aanvallers kunnen admin, discovery en zwakke defaults aanvallen
Draadloze interface	Bereikbaar vanuit fysieke nabijheid	WPS, zwakke onboarding of falende gastisolatie stellen de LAN bloot
Switch-managementvlak	Bereikbaar vanuit admin-VLAN, LAN of operator-tools, afhankelijk van configuratie	Zwakke defaults kunnen VLAN's, PoE-control of mirror ports blootleggen
Remote-managementpad	Bereikt het apparaat vanuit leveranciers- of ISP-infrastructuur	Credentialleak of ACS-compromis kan over veel routers schalen
OTA- en herstelpad	Ontvangt geprivilegieerde firmware-images	Zwakke signering of rollback ondermijnt elke beveiligingsfix
ISP/private-label-branch	Kan firmware, cloud-endpoints en ondersteuningsperiode wijzigen	Verantwoordelijkheden kunnen verschuiven wanneer een merk release en support beheert

Dreigingsscenario's

ID	Dreigingsscenario	Asset onder risico	Ingangspunt
R1	WAN-admin-endpoint staat standaard aan of via ISP-profiel	Admin-account, routerconfiguratie	WAN
R2	Eerste-gebruik-wachtwoord is gedeeld, voorspelbaar of gedrukt op een manier die over batches wordt hergebruikt	Admin-account, Wi-Fi-credentials	Onboarding
R3	DHCP-, IPv6-, DNS- of PPPoE-parserfout kan vóór authenticatie worden getriggerd	Routerintegriteit, beschikbaarheid	WAN-diensten
R4	TR-069- of USP-credential lekt en staat configuratiewijzigingen op afstand toe	Remote-management-credential, DNS, firmware-kanaal	ISP-/leveranciersmanagement
R5	OTA-recovery accepteert ongesigneerde of oudere firmware	Firmware-integriteit	OTA / recovery
R6	Gast-Wi-Fi kan naar LAN-apparaten of admin-UI routeren	Huishoudendpoints, router-admin	Wireless / LAN
R7	WPS- of QR-onboarding kan na initiële setup worden misbruikt	Wi-Fi-credential	Wireless-onboarding
R8	Debug-shell, telnet, SSH of UART blijft in productie toegankelijk	Routerintegriteit, geheimen	Firmware / fysiek
R9	ISP-gebrande firmware-fork mist een OEM-beveiligingsfix	Firmware-branchstatus	Releaseproces
R10	Remote-access-token van mobiele app blijft geldig na routeroverdracht of fabrieksreset	Admin-account, eigenaarschap	Cloud / app
R11	DNS- of parental-control-cloudfout creëert onveilig fallback-gedrag	DNS-integriteit, beschikbaarheid	Cloudafhankelijkheid
R12	Leverancierskwetsbaarheid in SoC-SDK, Wi-Fi-firmware of meegeleverde netwerkdaemon wordt tijdens support niet getriageerd	Routerintegriteit, beschikbaarheid	Leverancierscomponent
R13	Managed-switch-UI of SNMP/API is op de gebruiker-LAN blootgesteld met zwakke standaard-credentials	Switch-managementstatus, VLAN-integriteit	LAN / managementvlak
R14	Modem- of ONT-provisioningprofiel activeert remote admin of bridge-modus-gedrag buiten de beoordeelde release	Modem/ONT-provisioningstatus, WAN-blootstelling	Operator-provisioning
R15	Recoverymodus, reset-hold-boot of TFTP-recovery accepteert een ongeauthenticeerde of gedowngraded image	Firmware-integriteit, secure-bootstatus	Bootloader / recovery
R16	Wi-Fi-firmware, mesh-onboarding of WPS-gedrag verschilt tussen hardwarerevisies zonder release-bewijs	Wi-Fi-credentials, gastisolatie	Wireless / leveranciers-SDK
R17	USP/TR-369- of TR-069-command-scope staat meer toe dan het operatorprofiel beoogde	Remote-management-credential, DNS, OTA	ISP-/leveranciersmanagement
R18	App-binding of cloud-ownership-token overleeft fabrieksreset of ISP-retour	Admin-account, eigenaarschap	Reset / cloud-account

Initieel risicoregister

ID	Kans	Impact	Eerste beslissing	Onderbouwing
R1	Laag	Hoog	Behandel vóór release	Blootstelling van remote admin geeft directe controle en is gemakkelijk te scannen
R2	Middel	Hoog	Behandel vóór release	Huishoudgebruikers houden vaak standaardinstellingen tenzij onboarding wijziging afdwingt
R3	Middel	Hoog	Behandel vóór release	WAN-parsers zijn vóór authenticatie blootgesteld
R4	Middel	Ernstig	Behandel vóór release	Fouten in remote management kunnen over een ISP-vloot schalen
R5	Laag	Ernstig	Behandel vóór release	Firmware-rollback kan bekende kwetsbare builds in leven houden
R6	Middel	Middel	Behandel vóór release	Gastisolatie is een kernverwachting van gebruikers
R7	Middel	Middel	Behandel vóór release	Aanvallen vanuit fysieke nabijheid zijn realistisch in appartementen en gedeelde ruimten
R8	Middel	Hoog	Behandel vóór release	Debug-toegang is een terugkerend ontsnappingspad in productie
R9	Middel	Hoog	Behandel vóór release	Branchdrift is voorzienbaar wanneer OEM- en ISP-releases uiteenlopen
R10	Middel	Hoog	Behandel vóór release	Doorverkoop van routers en ISP-retourflows zijn voorzienbaar
R11	Laag	Middel	Behandel vóór release	Cloudafhankelijke controles vragen om veilig fallback-gedrag
R12	Middel	Hoog	Behandel vóór release	Routercomponentstacks krijgen tijdens support kwetsbaarheden
R13	Middel	Hoog	Behandel vóór release	Managed-switch-configuratie kan veel downstream-apparaten raken
R14	Laag	Hoog	Behandel vóór release	Provisioningdrift kan de internetrand op fleet-schaal blootleggen
R15	Middel	Ernstig	Behandel vóór release	Recovery is een geprivilegieerd pad dat aanvallers en serviceteams kunnen bereiken
R16	Middel	Hoog	Behandel vóór release	Radio- en mesh-gedrag verandert vaak met leveranciers-SDK's en hardwarerevisies
R17	Middel	Ernstig	Behandel vóór release	Scope-fouten in remote management kunnen vloten raken
R18	Middel	Hoog	Behandel vóór release	Retour, doorverkoop en ISP-wissel zijn normale levenscyclusgebeurtenissen

Koppeling van maatregelen en bewijs

Dreigingen	Ontwerpcontrole	Bewijs dat de fabrikant bewaart
R1, R8	WAN-admin standaard uit, dienstinventaris voor productie, firewallregels voor management, geen telnet of fabrieks-shell	Blootstellingsscans, checklist productie-image, dienstlijst-diff
R2, R7	Uniek setup-secret of geforceerde credential-creatie, kort pairing-venster, WPS uit of onderbouwd, rate limits	Onboardingtest, bewijs van credential-generatie, review van wireless setup
R3	Parser-hardening, fuzzing, dienst-privilegescheiding, default-drop-WAN-houding	Fuzzing-rapporten, ontwerp van dienstisolatie, crash-triage
R4	Wederzijdse authenticatie, certificaatrotatie, least-privilege-provisioning, ACS/USP-profielreview	Beveiligingsreview van remote management, registratie van certificaatlevenscyclus
R5	Secure boot, gesigneerde firmware, monotone versieteller, controles op handtekening van recovery-image	OTA-testrapport, downgrade-weigering, recovery-test
R6	Isolatie van gastnetwerk, admin-UI onbereikbaar vanuit gast, regressietests over mesh-knooppunten	Test voor netwerkisolatie, test voor mesh-roaming
R9	OEM/ISP-branchmatrix, patch-mergebeleid, release-goedkeuring, afstemming einde-support	Branchmatrix, patch-propagatie-record, ISP-goedkeuringsspoor
R10	Workflow voor overdracht eigenaarschap, cloud-unbind bij reset, tokenintrekking, wipe van geretourneerd apparaat	Reset-test, overdrachtstest, RMA-checklist
R11	Lokaal DNS-fallback-gedrag, veilige parental-control-faalmodus, duidelijke gebruikersmelding	Test voor faalmodus, bewijs van gebruikersmelding
R12	Componenteninventaris-monitoring, intake van leveranciersadviezen, eigenaar firmwarecomponent, traceerbaarheid in release notes	Inventaris-diff, adviesregistratie, besluit per component
R13	Binding van managementvlak, unieke admin-setup, SNMP/API standaard uit of gehard, VLAN-isolatietests	Blootstellingsscan, test van standaardconfiguratie, review van switch-management
R14	Beoordeeld provisioningprofiel, beperkingen op remote admin, change-control bij operator, rollback- en audit-trail	Registratie provisioningprofiel, audit van fleet-configuratie, operatorgoedkeuringsspoor
R15	Geauthenticeerde recovery, gesigneerde recovery-image, anti-rollback-status, fysieke recovery-waarschuwing waar relevant	Test voor recovery-misbruik, registratie van bootketen, downgrade-weigering
R16	Matrix van hardwarerevisies, inventaris Wi-Fi-firmware, WPS/mesh-regressietests, review van regulatorisch domein	Revisiematrix, registratie van radiofirmware, tests voor wireless setup
R17	Least-privilege-remote-managementprofiel, inventaris van controller-certificaten, command-audit en goedkeuring	TR-069/USP-profielreview, registratie certificaatlevenscyclus, auditsteekproef
R18	Workflow voor overdracht eigenaarschap, cloud-unbind bij reset, ISP-retour-wipe, tokenintrekking	Reset-test, checklist voor geretourneerd apparaat, bewijs van cloud-unbind

Restrisico na maatregelen

Restgebied	Waarom het blijft	Operationeel bewijs
ISP-branchdrift	OEM- en ISP-release-goedkeuring kunnen op verschillende snelheden bewegen	Branchmatrix, escalatiepad, review van release-delta
Compromis van huishoudendpoint	Malware op een LAN-client kan nog steeds lokale admin- of DNS-instellingen aanvallen	Lokale auth-controles, tokenintrekking, admin-meldingen
Nieuwe WAN-kwetsbaarheden	WAN-gerichte code blijft tijdens support vijandig verkeer ontvangen	Exploit-monitoring, fuzzing-cadens, noodupdate-proces
Vertraging leveranciersfirmware	Wi-Fi- en SoC-leveranciers brengen fixes uit volgens hun eigen tijdlijn	Registratie SLA leveranciers, mitigatienotities, klantadviesproces

Hoe moeten ondersteuning, updates en rapportage werken?

Voor het HomeRouter R1-voorbeeld moet het praktische CRA-dossier het operationele model voor de ondersteuningsperiode bevatten, niet alleen het pre-marktrelease-bewijs.

Operationeel gebied	Bewijs om te bewaren
Ondersteuningsperiode	Een onderbouwing van de ondersteuningsperiode voor de retail-SKU en de ISP-gebrande SKU, met de einddatum (maand/jaar) zichtbaar bij aankoop en in de router-UI waar technisch haalbaar. Plan minstens vijf jaar, tenzij de verwachte gebruiksduur korter is.
Beschikbaarheid van beveiligingsupdates	Beveiligingsfirmwarefixes en beveiligingsupdate-pakketten blijven minstens tien jaar na uitgifte ophaalbaar, of voor de rest van de ondersteuningsperiode als die langer is. Recovery-images, hashes, release notes en rollback-besluiten worden als bewijs bewaard, maar niet elk niet-beveiligingspakket hoort als een wettelijke 10-jaar-beschikbaarheidsclaim te worden gepresenteerd.
OEM- en ISP-branchmatrix	Welke firmware-branch is beoordeeld, wie tekent die, wie keurt de release goed, wie beheert noodfixes, en hoe bereiken upstream-beveiligingsfixes private-label-builds.
Eén kwetsbaarheidscontact	Een rechtstreeks contact voor kwetsbaarheidsmelding voor de fabrikant van record, niet alleen abonnee-support of een chatbot. Is een ISP fabrikant voor een gebrande SKU, dan beheert die ISP een intakeroute voor productbeveiligingsmeldingen.
Component-due-diligence	Monitoring van componenteninventaris voor kernel, draadloze firmware, DNS/DHCP-diensten, TLS-stack, mobiele SDK's en remote-management-agent, met triage van leveranciersadviezen, upstream-melding en delen van fixes waar passend.
Workflow actief misbruik	Melden via het ene meldplatform aan de CSIRT die als coördinator is aangewezen en aan ENISA: vroege waarschuwing binnen 24 uur, vervolgmelding binnen 72 uur, definitief kwetsbaarheidsrapport binnen 14 dagen nadat een corrigerende of mitigerende maatregel beschikbaar is, plus melding aan getroffen gebruikers of mitigatie-instructies waar passend.
Workflow ernstig productbeveiligingsincident	Melden via hetzelfde platform en aan dezelfde geadresseerden: vroege waarschuwing binnen 24 uur, vervolgmelding binnen 72 uur, definitief incidentrapport binnen één maand na de incidentmelding, en coördinatie met klant/ISP inclusief gebruikersmelding waar passend.
Inhoudsopgave productdossier	Productidentiteit, grensdiagram, WAN/LAN/wireless-assets, dreigingsmodel, risicoregister, controles, testbewijs, componenteninventaris, updateproces, kwetsbaarheidsproces, onderbouwing ondersteuningsperiode, instructies, conformiteitsverklaring en registratie conformiteitsroute.

Welke validatiepoorten lopen vóór release?

Een routerrelease mag niet slagen op een blanco-notitie "security gereviewd". Lijst de specifieke beslissingen die de levering kunnen tegenhouden, en geef elk de fout die ze bewaakt, de controle die ze sluit en het artefact dat bewijst dat de controle daadwerkelijk loopt.

Routerreleasepoorten en afsluitrecords Zes beslissingen die een routerfabrikant vóór aftekening moet kunnen sluiten, elk met een genoemd bewijsartefact.

G1Eerste-gebruik-credentialsRelease blokkeren
- Fout
  Een gedeeld of voorspelbaar admin- of Wi-Fi-wachtwoord, of een gedrukt geheim dat over een batch wordt hergebruikt.
- Controle
  Uniek per-apparaat-secret of geforceerde credential-creatie; WPS uit of onderbouwd.
- Bewijs
  Onboardingtest en bewijs van credential-generatie.
G2WAN-blootstelling na provisioningRelease blokkeren
- Fout
  Remote admin, of een onnodige of niet-beoordeelde dienst die onvertrouwde WAN-input verwerkt, is bereikbaar voordat de gebruiker iets heeft ingesteld.
- Controle
  WAN-admin standaard uit, default-drop-houding, parser-hardening en een minimale dienstlijst.
- Bewijs
  Post-provisioning-WAN-blootstellingsscan.
G3Wireless en gastisolatieRelease blokkeren
- Fout
  Het gastnetwerk kan naar LAN-apparaten routeren of de admin-UI bereiken.
- Controle
  Gastisolatie standaard aan; admin-UI niet bereikbaar vanuit gast; regressie over mesh-knooppunten.
- Bewijs
  Test voor netwerkisolatie en mesh-roaming.
G4Update- en herstelpadRelease blokkeren
- Fout
  OTA of recovery accepteert een ongesigneerde of oudere firmware-image.
- Controle
  Secure boot, gesigneerde images, een monotone versieteller en downgrade-weigering.
- Bewijs
  Resultaat van mislukte-downgrade- en recovery-misbruik-test.
G5Scope van remote managementBlokkeren tenzij gedocumenteerd
- Fout
  De TR-069- of USP-command-scope laat de controller meer wijzigen dan het beoordeelde operatorprofiel.
- Controle
  Least-privilege-profiel, inventaris van controller-certificaten, command-audit.
- Bewijs
  Profielreview en command-auditsteekproef.
G6LeveranciersstackLeveren met monitoring
- Fout
  Een kwetsbaarheid landt in de SoC-SDK, Wi-Fi-firmware of een meegeleverde netwerkdaemon tijdens het supportvenster.
- Controle
  Componenteninventaris met genoemde eigenaar, adviesbewaking en backport-gereedheid.
- Bewijs
  Triagebesluit voor getroffen component.

Release blokkerenBlokkeren tenzij gedocumenteerdLeveren met monitoring

Elke routerreleasepoort koppelt een fout die de levering stopt aan het record dat de poort sluit.

Wie beheert routerontwikkeling van concept tot support?

Het eigenaarschap van een routerrelease wisselt naarmate het van productdefinitie naar een vloot in huizen van klanten en op ISP-netwerken gaat. De rail hieronder geeft elke fase één verantwoordelijke lead, het record dat die lead actueel houdt en de poort die moet sluiten voor de volgende fase begint.

Eigenaarschapsrail voor een routerrelease over zes fasen van concept tot support: concept, ontwerp, firmware, release, operaties en support. Elke fase benoemt de leidende eigenaar, het onderhouden record en de reviewpoort. Tussen de fasen staan bevriesmarkeringen: grens bevriezen, ontwerp bevriezen, kandidaat bevriezen, besluit bevriezen, operationeel houden. Een gestippelde feedbacklus loopt van support terug naar concept en signaleert dat kwetsbaarheidsmeldingen, ISP- en leveranciersadviezen en uitkomsten van uitgebuite bugs de volgende grensmemo, dreigingslijst en componenteninventaris heropenen. — De eigenaarschapsrail wijst per bouwstap de recordeigenaar, sluitingspoort en reviewtrigger toe.

Elke overgang is een bevriespunt: de grens wordt vastgezet voordat architectuur start, de ontwerpintentie voor code, de build voor verificatie en de release voor levering. Daarna wordt de firmware tijdens het supportvenster operationeel gehouden. Een kwetsbaarheidsmelding, een ISP- of leveranciersadvies of een veldfout heropent de volgende grensmemo, dreigingslijst en componenteninventaris in plaats van de al verzonden versie.

Welke bewijsrecords horen in het dossier?

Het dossier moet een reviewer in staat stellen de routerbeslissing te volgen van productidentiteit tot beveiligingscontroles. Elke rij wijst naar een onderhouden record, niet naar een map met losse screenshots.

Bewijsgebied	Wat vastleggen voor een router, modem-router of switch
Productidentiteit	Model, hardwarerevisies, SoC- en Wi-Fi-chipset, WAN-type, firmware-branch, versie mobiele app, switch/mesh-opties
Beoogd gebruik	Home-router, ISP-CPE, internetmodem, ONT, mesh-kit, mobiele hotspot, managed switch of VPN-router, met de retail- en ISP-gebrande varianten benoemd
Cyberweerbaarheids-ontwerpdossier	WAN-blootstelling, LAN- en wireless-defaults, autoriteit van remote management, OTA- en herstelpad, dreigingslijst en behandelplan
Componenteninventaris	Bootloader, kernel, Wi-Fi-firmware, WAN-PHY/modemstack, DNS/DHCP-dienst, TLS-stack, remote-management-agent, mobiele SDK's, met genoemde eigenaren en adviesbewaking
Veilige standaardinstellingen	Geen gedeelde standaard-credential, WAN-admin standaard uit, gesigneerde updates, downgrade-weigering, gastisolatie, vergrendelde debugpoorten, dienstinventaris na provisioning
Updatemechanisme	Gesigneerde firmware, recovery-image, anti-rollback-status, ISP/OEM-branchmap, updatemededeling aan de gebruiker
Kwetsbaarheidsafhandeling	Disclosurebeleid, single point of contact, triage-workflow, bewaking van componentadviezen, routing van ISP/private-label-adviezen
Gebruikersinstructies	Veilige onboarding, wachtwoord- en gastsetup, update-instellingen, mededeling einde-support, buitenbedrijfstelling en reset
Traceerbaarheid en contact	Type-, batch- of serie-informatie, contact van fabrikant of ISP, einddatum ondersteuningsperiode, en één kwetsbaarheidsmeldcontact dat niet alleen een geautomatiseerde bot is

Wat hoort in een router-componenteninventaris?

De CRA vereist een machineleesbare componenteninventaris die de componenten van het product identificeert en minstens top-level afhankelijkheden dekt, zonder al één vast formaat te noemen. Routerfabrikanten kiezen normaal gesproken CycloneDX of SPDX. De productoverstijgende uitleg over de mechaniek staat in de aparte SBOM-gids; deze sectie behandelt de routerspecifieke boom.

Een routerrelease levert meerdere digitale elementen met eigen updatecycli, niet één binary. Twee patronen voldoen aan de CRA-minimumlijn: één componenteninventaris op productniveau met element-gescheiden secties (bootloader, kernel, Wi-Fi-firmware, WAN-PHY-stack, netwerkdaemons, TLS, remote-management-agent en web-UI elk versie-vastgepind), of één inventaris per geleverd element die bij elke release wordt vernieuwd. Beide zijn acceptabel zolang ze machineleesbaar zijn en top-level afhankelijkheden zijn gedekt.

Een van links naar rechts lopend boomdiagram van de componenteninventaris voor één routerrelease. De root is de routerrelease. Acht takken leiden naar de top-level digitale elementen die in een router worden geleverd: bootloader en secure-bootketen, kernel en besturingssysteem, Wi-Fi-firmware, WAN-PHY- en modemstack, netwerkdaemons, TLS-bibliotheek, remote-management-agent en web-admin-UI. Per tak staan typische componenten als voorbeeldbladeren, en een rechterbadge benoemt het identifierschema (PURL, CPE, leveranciers-ID, handtekening of buildhash). Een voetnoot herhaalt de CRA-minimumeis: top-level afhankelijkheden in een gangbaar, machineleesbaar formaat zoals CycloneDX of SPDX. — De componenteninventaris dekt elk top-level digitaal element, de gebruikelijke inhoud en het bewijs voor versiepinning.

Wat controleert de release-aftekening?

De aftekening vóór de Uniemarkt-release moet vier recordmappen kunnen sluiten, hieronder als Q1 tot en met Q4 weergegeven. De volledige dossierindex staat in de bewijskaart hierboven; de vier vragen hier zijn alleen die welke de release blokkeren wanneer een map leeg is.

Map	Releasevraag	Routerspecifieke bewijsverwijzing
Q1 Classificatierationalememo	Waarom is dit product zo geclassificeerd?	Kernfunctie (routing en internetconnectiviteit), beoogd gebruik, verkoopclaims, retail- vs. ISP-variant en de gekozen conformiteitsroute
Q2 Inventaris geleverde elementen	Wat is het product exact?	Routerhardware, firmware, WAN/LAN/wireless-diensten, web-UI, remote-management-agent, OTA-dienst, cloud-endpoints en de uitgesloten klant-/ISP-systemen
Q3 Testpakket veilige standaardinstellingen	Wat is standaard beveiligd en hoe wordt veilig bijgewerkt?	Geen gedeelde standaard-credential, WAN-admin standaard uit, gesigneerde updates, downgrade-weigering, gastisolatie, WPS-beslissing, vergrendelde debugpoorten, dienstinventaris na provisioning
Q4 Proces voor kwetsbaarheidsafhandeling	Hoe worden kwetsbaarheden en ernstige incidenten na levering afgehandeld?	Publiek contact, disclosurebeleid, triage-workflow, bewaking van componentadviezen, routing van ISP/private-label-adviezen, gereedheid voor 24-uurs- en 72-uursmeldingen

Scène van een release-aftekening. Vier recordmappen liggen op de reviewtafel, gelabeld Q1 tot en met Q4: Q1 classificatierationalememo, Q2 inventaris geleverde elementen, Q3 testpakket veilige standaardinstellingen en Q4 proces voor kwetsbaarheidsafhandeling. Pijlen vanuit elke map komen samen op een releasegoedkeuringszegel, gemarkeerd met een vinkje. Een notitie noemt pre-releasecontroles: bestanden vastgepind op de firmware-branch en leveranciersbaseline, een genoemde eigenaar met 24-uurs- en 72-uursmeldgereedheid, en een testpakket voor veilige standaardinstellingen met per-apparaat-credentials en de WAN-admin-houding. Een voettekst herhaalt de poort: als een record ontbreekt, wordt de release niet geleverd. — Vóór aftekening moet de fabrikant naar vier records kunnen verwijzen: classificatierationale, inventaris geleverde elementen, secure-defaulttests en gereedheid kwetsbaarheidsafhandeling.

Release-aftekening: mappen Q1 tot en met Q4

Q1 Classificatierationalememo. Waarom Klasse I punt 12? Kernfunctie, beoogd gebruik, verkoopclaims, retail- vs. ISP-variant en de gekozen conformiteitsroute.
Q2 Inventaris geleverde elementen. Routerhardware, firmware, WAN/LAN/wireless-diensten, web-UI, remote-management-agent, OTA-dienst, cloud-endpoints en uitgesloten klant-/ISP-systemen.
Q3 Testpakket veilige standaardinstellingen. Geen gedeelde standaard-credential, WAN-admin standaard uit, gesigneerde updates, downgrade-weigering, gastisolatie, WPS-beslissing, vergrendelde debugpoorten.
Q4 Proces voor kwetsbaarheidsafhandeling. Publiek contact, disclosurebeleid, triage-workflow, bewaking van componentadviezen en meldgereedheid voor waarschuwingen, meldingen en eindrapporten.

Aftekenpoort: als een record ontbreekt, wordt de release niet afgetekend.

Hoe draagt de router over aan importeur, distributeur, ISP en operator?

De overdrachtskaart toont wie elke pre-salecontrole beheert en wat de router bij elke rol stopt.

Overdracht tussen marktdeelnemers: rollen en zijcontroles

01 Fabrikant / OEM. Beheert het releasepakket: conformiteitsverklaring, CE, dossierindex, supportvenster en kwetsbaarheidscontact.
02 Importeur. Verifieert pakket, CE, dossierindex, supportdatum en kwetsbaarheidscontact, en bevestigt dat de ontvangen build de beoordeelde build is: wireless-landinstellingen, ISP-profielen, certificaten voor remote management, app-pairing en OTA-endpoints. Pauzeer levering wanneer een van deze twijfelachtig is.
03 Distributeur. Controleert zichtbare CE, geleverde documenten, support- en updateverklaringen, en voegt geen claims toe zoals "security gateway", "business firewall" of "managed VPN-appliance" die buiten de beoordeelde grens vallen. Pauzeer vermelding wanneer die support overdrijft, niet bij de conformiteitsverklaring past of blijft verkopen na een bekend probleem.
04 ISP of private-label-brand. Branding, cloud-management, update-eigenaarschap en remote-management-operatie kunnen op zichzelf fabrikantverplichtingen activeren. De router onder eigen naam aanbieden, of die ingrijpend wijzigen (gebrande firmware, een nieuwe cloud, een nieuw updatekanaal), maakt de partij fabrikant voor dat aanbod, dus het dossier van de leverancier is geen vervanging voor de eigen rolanalyse.
05 Operator of abonnee. Ontvangt adviezen en updates en meldt problemen terug. Geen fabrikant.

Zijcontrole A. Het mandaat van de gemachtigde is optioneel, maar waar het bestaat moet het schriftelijk zijn en dekken dat de conformiteitsverklaring en de documentatie beschikbaar blijven en dat met de autoriteiten wordt samengewerkt. Een niet-EU-fabrikant zonder mandaat gebruikt de cascade: importeur, distributeur, daarna grootste gebruikersbasis. Zonder een in de Unie gevestigde marktdeelnemer in de meldketen valt het meldpunt terug op de lidstaat met de meeste gebruikers.

Zijcontrole B. Een importeur of distributeur onder eigen merk, of elke ingrijpende wijziger, wordt fabrikant voor het getroffen aanbod.

Veelgestelde vragen

Is een router Klasse II omdat hij een firewall heeft?

Niet standaard. Een normale router is meestal Belangrijk Klasse I. Het wordt een Klasse II-vraag wanneer firewalling, inbraakdetectie of inbraakpreventie de hoofdfunctie van het product is.

Valt een door de ISP geleverde router onder de regeling?

Ja, als hij als product met digitale elementen op de Uniemarkt wordt aangeboden. De praktische vraag is wie fabrikant is voor de gebrande firmware, de ondersteuningsperiode, het updatekanaal en het kwetsbaarheidsproces.

Is een router Kritiek?

Nee. Consumentenrouters, ISP-modem-routers en switches zijn niet Kritiek alleen omdat ze belangrijk zijn voor netwerktoegang.

Verandert commerciële open-sourcerouterfirmware het antwoord?

Dat kan. Een commercieel geleverde firmware-image of appliance-distributie kan zelf een product met digitale elementen zijn. De fabrikant moet documenteren wat op de markt wordt aangeboden en wie updates en kwetsbaarheidsafhandeling beheert.

Kwalificeert de software echt als vrije en open-sourcesoftware en valt die in een Belangrijke categorie, dan kent de CRA een specifieke conformiteitsoptie waarbij de vereiste technische documentatie bij het op de markt aanbieden openbaar is. Pas die route niet toe op een private ISP-firmwarefork of een commerciële appliance enkel omdat die open-sourcepakketten bevat.

Betekent voldoen aan de RED-cybersecuritydeadline dat een router al CRA-conform is?

Nee. Vanaf 1 augustus 2025 voldoet op het internet aangesloten radioapparatuur aan de cybersecurityvereisten van de Radioapparatuurrichtlijn, en die controles (veilige defaults, update-integriteit, toegangsbescherming) zijn de juiste basis. Maar de CRA voegt een bredere levenscyclus toe: een gedocumenteerd proces voor kwetsbaarheidsafhandeling, een gepubliceerde einddatum van de ondersteuningsperiode, secure-by-default voor het hele product, en meldverplichtingen. De RED-cybersecuritygedelegeerde verordening wordt vanaf 11 december 2027 ingetrokken, wanneer de CRA het overneemt.

Hercheck-trigger: behandel het RED-dossier als beginpunt en voer er vóór 11 december 2027 een gap-assessment op uit tegen de essentiële vereisten van de CRA.

Welke geharmoniseerde norm geldt voor een router onder de CRA?

Voor de radioapparatuurfase is de geharmoniseerde set de EN 18031-serie, voortbouwend op ETSI EN 303 645 als consumentenbasislijn. De routerspecifieke CRA-norm in voorbereiding is ETSI EN 304 627 (Routers, Modems en Switches), die aansluit op Klasse I punt 12. Het is nog een concept, dus bevestig de geciteerde normen en eventuele harmonisatiebeperkingen op het moment van de beoordeling.

Conformiteitsrecord: een korte memo met de gebruikte normen, de versie, elke beperking die niet bij het product past, en de resulterende conformiteitsroute.

Wordt een managed switch behandeld als een router, en valt een unmanaged switch onder de regeling?

Een managed switch heeft een managementvlak (web-UI, CLI, SNMP/API, VLAN's) en een firmware-updatepad, dus die wordt normaal behandeld als Belangrijke Klasse I-netwerkapparatuur met eigen bewijs voor het managementvlak. Een puur unmanaged, niet-configureerbare switch zonder managementoppervlak, zonder firmware-update en zonder verbonden functie vraagt om een casusspecifieke check of het überhaupt een product met digitale elementen is.

Grensrecord: één regel per switch-SKU die vastlegt of er een management- of updateoppervlak bestaat.

Zijn mesh-Wi-Fi-kits één product of meerdere?

De mesh-knooppunten die een systeem vormen, zijn normaal gesproken het routerproduct of de productfamilie. Beoordeel de kit zoals die wordt geleverd: het controller-knooppunt, satellietknooppunten, de onboardingflow en het mesh-controleprotocol. Inter-node-vertrouwen en de onboarding-handshake horen bij het draadloze aanvalsoppervlak.

Grensrecord: noem de knooppunten in de kit, het mesh-controleprotocol en de onboardingmethode in de grensmemo.

Valt een standalone modem of ONT onder de regeling als hij alleen bridge?

Een modem, kabelmodem of glasvezel-ONT bestemd voor de internetverbinding is normaal Belangrijk Klasse I, ook in bridge-modus, omdat de internetmodemfunctie de kern is en het apparaat nog steeds firmware, een provisioningkanaal en vaak een remote-management-agent heeft. Bridge- versus router-modus wijzigt de blootstelling, niet de basisclassificatie.

Grensrecord: leg het provisioningkanaal, de remote-management-agent en of bridge- of router-modus de beoordeelde standaard is vast.

Valt een 4G- of 5G-mobiele hotspot binnen de regeling?

Ja. Cellulaire WAN blijft internetconnectiviteit, dus een mobiele hotspot of 4G/5G-router is normaal Belangrijk Klasse I. Het cellulaire provisioningpad en de SIM/eSIM-afhandeling horen bij het WAN-aanvalsoppervlak.

Grensrecord: noem de cellulaire module, het provisioningpad en het managementkanaal.

Hoe lang moet een router worden ondersteund en geüpdatet?

De ondersteuningsperiode is minstens vijf jaar, tenzij de verwachte gebruiksduur korter is; veel routers en ISP-CPE draaien veel langer, dus het dossier moet een venster benoemen dat de fabrikant kan leveren en de einddatum tonen vóór aankoop. Beveiligingsupdates blijven minstens tien jaar na uitgifte ophaalbaar, of voor de rest van de ondersteuningsperiode als die langer is. De algemene regels staan in de ondersteuningsperiode- en einde-supportmededeling-gidsen.

Supportrecord: een onderbouwing van de ondersteuningsperiode voor de retail-SKU en de ISP-gebrande SKU, met de einddatum zichtbaar bij aankoop en in de router-UI waar haalbaar.

Wat geldt als een veilige update voor een router?

Een gesigneerde firmware-image, geverifieerd via een secure-bootketen, met een monotone versieteller zodat een oudere kwetsbare build niet opnieuw kan worden geïnstalleerd, en een herstelpad dat ook ongesigneerde of gedowngrade images weigert. Door ISP gepushte en OEM-updates moeten allebei dit pad volgen.

Testartefact: een verificatielog voor de gesigneerde update, een mislukte-downgrade-test en een recovery-misbruik-test voor de exacte firmware-build.

Verandert TR-069- of USP-remote-management de productgrens?

Levert de fabrikant of ISP het remote-managementkanaal, dan zit het binnen de grens en is het een fleet-control-pad, niet alleen een operatorfunctie. De auto-configuration-server van de operator, het connection-request-mechanisme, de command-scope en het certificaatvertrouwen horen allemaal in de beoordeling.

Bewijs: een inventaris van controller-certificaten en een matrix van command-scope gebonden aan het beoordeelde operatorprofiel.

Wie is fabrikant voor ISP-gebrande CPE?

Degene die het product onder eigen naam of merk op de markt aanbiedt, of het beoordeelde product ingrijpend wijzigt. Een ISP die OEM-hardware re-brandt, de firmware forkt, de management-cloud draait of het updatekanaal beheert, kan fabrikantverplichtingen op zich nemen voor die gebrande SKU, inclusief het contact voor kwetsbaarheidsmelding.

Rolrecord: een schriftelijke verdeling van wie de conformiteitsverklaring, de firmware-branch, het updatekanaal, de ondersteuningsperiode en het meldcontact beheert.

Wat is het eerste bewijsitem dat een routerfabrikant moet maken?

Een korte classificatie- en grensmemo voor de exacte SKU: router, modem-router, mesh-kit, switch, hotspot of VPN-router. Benoem het WAN-type, de draadloze stack, het LAN-admin-oppervlak, het remote-managementkanaal, de cloud-diensten, het update-eigenaarschap, de ondersteuningsperiode en de uitgesloten systemen.

Classificatierecord: een memo van één pagina waarnaar het dreigingsmodel, de keuze van de conformiteitsroute, het importeurpakket en de verklaring over de ondersteuningsperiode allemaal kunnen verwijzen.

Wat als na release een kwetsbaarheid in routerfirmware wordt gevonden?

Neem onmiddellijk corrigerende maatregelen en wees klaar voor de meldvolgorde: een vroege waarschuwing binnen 24 uur bij actief misbruikte kwetsbaarheid, een melding binnen 72 uur, een eindrapport zodra een corrigerende of mitigerende maatregel beschikbaar is, en gebruikersmelding. Voor een router is de corrigerende maatregel meestal een gesigneerde firmware-update die over de OEM-, ISP- en private-label-branches wordt gepusht, met een gedocumenteerde uitzondering wanneer een branch dezelfde fix niet kan overnemen. De algemene meldmechaniek staat in de kwetsbaarheidsafhandeling- en gecoördineerde-openbaarmaking-gidsen.

Corrigerende-actie-record: getroffen modellen en firmware-branches, het gesigneerde update-artefact, het branch-propagatiespoor, de tekst van de gebruikersadvies en de meldreferentie.

Wanneer moet het routerdreigingsmodel worden bijgewerkt?

Telkens wanneer een geleverde router verandert op een manier die een vertrouwensgrens raakt: een nieuw WAN-type, een nieuw remote-managementprofiel, een Wi-Fi- of SoC-SDK-wijziging, een nieuwe cloudafhankelijkheid, een mesh-onboardingwijziging, een wijziging in debugpoortgedrag of een nieuwe ISP-branch. Een release note volstaat niet als de wijziging een blootstelling of autoriteitspad opent. Meldverplichtingen gelden vanaf 11 september 2026, dus disclosurebeleid en single contact moeten daarvóór werken.

Hercheck-trigger: elke wijziging aan WAN-blootstelling, wireless-defaults, scope van remote management, updatepad, leverancierscomponenten of ISP-branch opent de grensmemo en het dreigingsmodel opnieuw.

Wat te doen daarna

Begin met de SKU-grensmemo: router, modem-router, mesh-kit, switch, VPN-router of firewall-variant. Plot vervolgens firmware, draadloze stack, remote management, cloud-diensten, leverancierscomponenten, update-eigenaarschap en ondersteuningsperiode in het productdossier; de productoverstijgende structuur van dat dossier staat in de technische documentatie-gids.