De CRA-gids voor slimme-metergateways en energiemeting
Samenvatting
Een slimme-metergateway is het enige energieproduct dat de CRA in de allerhoogste categorie plaatst, het niveau dat zij als Kritiek aanmerkt. Dat verandert het werk. Een Kritiek product kan zijn eigen conformiteit niet zomaar zelf verklaren zoals een gewone router dat kan. Het moet door een externe beoordelaar worden afgetekend. Of uw apparaat werkelijk die gateway is, of slechts een standaard verbonden meter, hangt af van één record dat u als eerste opstelt: de memo over de metingsgrens.
Niet elk meetapparaat is Kritiek. Een submeter, een warmtekostenverdeler, een radiomodule van een watermeter of een energiebrug voor consumenten valt nog steeds onder de CRA, maar is niet automatisch een slimme-metergateway. De aanduiding Kritiek geldt voor de gateway die als communicatie-eenheid van een slim metersysteem fungeert, en voor apparaten die voor een beveiligingstaak worden verkocht. Een EU-regel uit 2025 maakte dit bindend en bevestigde dat het ook gas- en warmtegateways bereikt, niet alleen elektriciteit. Een meter wordt niet Kritiek alleen omdat hij verbruik meet of versleuteling gebruikt.
In het Duitse model zit een aparte communicatiebox tussen de meters en het netwerk. Frankrijk, Spanje en Italië pakken het anders aan: de meter meet en communiceert in één eenheid en praat met een dataconcentrator in het lokale onderstation, zonder box in huis. Daar verschuift de vraag of iets Kritiek is naar de concentrator.
De memo benoemt de onderdelen van het systeem: de meter, de gateway, de verbinding omlaag naar de meters, de aansluitingen in huis en in het bredere gebied, de beveiligingsmodule die de sleutels bewaart, de beheerder die de vloot beheert, de updatedienst, de privacygegevens van de aflezing, de installatieworkflow en wie wat doet tussen fabrikant en nutsbedrijf. Die ene beslissing bepaalt het conformiteitstraject.
Twee zaken bepalen het dossier nog voordat het conformiteitstraject begint. Ten eerste tekent een CRA-beoordeling de verzegelde metrologiefunctie niet af: een beveiligingsupdate heeft nog steeds een controle op metrologische impact nodig voordat hij wettelijk relevante meetsoftware raakt. Ten tweede starten de meldverplichtingen voor actief misbruikte kwetsbaarheden en ernstige incidenten op 11 september 2026, vóór de volledige CRA op 11 december 2027, en bereiken zij producten die al op de markt zijn, zodat een geïnstalleerde vloot meters of gateways een actieve meldverplichting kan dragen, ook waar de rest van de CRA pas geldt na een ingrijpende wijziging.
| Productvariant | Waarschijnlijke CRA-route | Waarom |
|---|---|---|
| Slimme-metergateway in een slim metersysteem | Route voor Kritiek product | De CRA plaatst slimme-metergateways binnen slimme metersystemen in haar categorie Kritiek |
| Verbonden elektriciteitssubmeter, gas-, warmte- of watersubmeter of radiomodule | Standaard in-scope-route tenzij een andere genoemde functie geldt | Een verbonden meetproduct, niet de gateway die de communicatie-eenheid van een slim metersysteem is |
| Head-end-software die met de gateway wordt geleverd | Grensafhankelijk | Kan deel van het product zijn wanneer dit nodig is voor de beoogde functie |
| Energiedatabrug voor consumenten | Standaardroute | Toont of stuurt normaal gesproken aflezingen door |
| Apparaat verkocht voor een geavanceerd beveiligingsdoel, inclusief veilige cryptoverwerking | Route voor Kritiek product | Het geavanceerde beveiligingsdoel, niet het gewone gebruik van cryptografie, bepaalt de route |
| Geïntegreerde DSO-meter (Linky, Spaans of Italiaans model) | Standaardroute in de meeste ontwerpen | Een verbonden eindpuntmeter, niet de communicatie-eenheid van het systeem |
| Dataconcentrator in het secundaire onderstation | Kandidaat voor de Kritiek-route, bevestigd in de grensmemo | Het aggregatie- en communicatiebeheerknooppunt van het metersysteem |
Wat de CRA vereist voor slimme-metergateways
De CRA behandelt een slimme-metergateway als één product dat uit veel digitale elementen bestaat. Het product kan de meterfirmware omvatten, het besturingssysteem van de gateway, de communicatiemodule, de DLMS/COSEM- (het standaardprotocol voor metergegevens) of propriëtaire meterprotocolstack, de simkaart, eSIM of radiocredential, de sleutelopslag, de head-end-connector (de verbinding met het centrale verzamelsysteem van het nutsbedrijf), het lokale display, een mobiele app, een cloudportaal, de updatedienst, het installatiehulpmiddel en het proces voor kwetsbaarheidsafhandeling. Normaal sluit het het facturatiesysteem van het nutsbedrijf uit, de wettelijke metrologiegoedkeuring, de netbeheersystemen en het energiecontract van de klant, tenzij dezelfde fabrikant die als onderdeel van het product levert.
Die grens is de kern van het dossier. Het bewijs moet cyberbeveiliging gescheiden houden van wettelijke metrologie, en tegelijk de interfaces tussen de gateway, de meters en de head-end documenteren. Metrologiegoedkeuring onder de Meetinstrumentenrichtlijn en de nationale meterregels beantwoordt een andere vraag dan de CRA. De ene bewijst dat de meting correct en verzegeld is. De andere bewijst dat het verbonden product gedurende zijn ondersteuningsperiode aanvallen weerstaat. Een fabrikant die de twee door elkaar haalt, houdt een dossier over dat geen van beide beoordelaars tevredenstelt.
| Vereistengebied | Wat een fabrikant van een slimme-metergateway moet vastleggen |
|---|---|
| Beoogd doel | Gateway in een slim metersysteem, submeter, verdeler, radiomodule, consumentenbrug, of een apparaat verkocht voor een geavanceerd beveiligingsdoel |
| Kritiek-check | Of het product een gateway binnen een slim metersysteem is, of een ander verbonden meetproduct op de standaardroute |
| Productgrens | Meterinterface, gateway, communicatiemodule, beveiligingsmodule, head-end-connector, lokaal display, installatiehulpmiddel, updatedienst en de uitgesloten nutsbedrijfsystemen |
| Veilige standaardstatus | Wederzijdse authenticatie op elke verbinding, geen gedeeld batchgeheim, gesigneerde updates, weigering van downgrades, geminimaliseerde gegevensblootstelling en vergrendelde debugtoegang |
| Sleutellevenscyclus | Identiteit per apparaat, certificaatprovisioning, rotatie, intrekking, inbedrijfstelling en buitenbedrijfstelling, met de beveiligingsmodule als trust anchor |
| Privacy van aflezing | Intervalgegevens, manipulatie- en uitvalgebeurtenissen, afleiding van bewoning, verwerkingsprofielen, pseudonimisering, bewaring en support-export |
| Updatepad | Gesigneerde firmware, beslissing over metrologische impact, gefaseerde uitrol over de vloot, herstel en fallback |
| Rolverdeling | Meterfabrikant, gatewayfabrikant, nutsbedrijf, gatewaybeheerder, installateur, importeur en eventuele private-label-verantwoordelijkheden |
| Ondersteuning en melding | Verklaring over de ondersteuningsperiode, beschikbaarheid van beveiligingsupdates, één kwetsbaarheidscontact en de meldworkflow onder Artikel 14 |
De cyberbeveiligingsvereisten en het technisch dossier dat ze bewijst werken hetzelfde voor elk CRA-product, en de gids over technische documentatie behandelt die. Deze pagina blijft bij wat specifiek is voor een metergateway: de classificatie als Kritiek, het conformiteitstraject, de gatewayarchitectuur en het meterspecifieke bewijs.
Zit uw apparaat in de categorie Kritiek?
De aanduiding Kritiek is smal, en een meetproduct kan aan beide kanten ervan zitten. Een apparaat is de Kritieke gateway wanneer het de communicatie-eenheid van het metersysteem is: het beheert de verbinding met nutsbedrijven, verwerkt de meter- en persoonsgegevens, voert de cryptografie uit en kan het systeem afschermen en andere apparaten besturen. Een meter die alleen meet en rapporteert blijft op de standaardroute, en het gebruik van sterke cryptografie om een gewone functie te beschermen maakt een apparaat ook niet Kritiek. Uitvoeringsverordening (EU) 2025/2392 van de Commissie (de Uitvoeringsverordening), bindend sinds 21 december 2025, stelt die toets vast en breidt hem uit tot gas- en warmtegateways, niet alleen elektriciteit. Beslis het antwoord één keer in de grensmemo. De tabel in de Samenvatting hierboven koppelt de gangbare varianten aan hun route.
Hoe de architectuur per EU-lidstaat verschilt
Duitsland gebruikt een model met een aparte gateway met een afzonderlijke communicatie-eenheid, het model waaromheen de aanduiding Kritiek is opgesteld. Frankrijk, Spanje en Italië meten niet op die manier. Zij draaien geïntegreerde meters die meten en communiceren in één verzegelde eenheid en rechtstreeks een dataconcentrator in het secundaire onderstation bereiken, zonder gatewaybox in huis. De concentrator regelt de aggregatie en de verbinding stroomopwaarts, dus het CRA-bewijs hecht zich nog steeds aan, maar aan andere apparaten, en de vraag over de Kritiek-route verschuift mee. Het Duitse model krijgt hieronder een eigen sectie.
De vorm is in alle drie de markten hetzelfde: een geïntegreerde meter bij de klant, smalbandige power-line-carrier omhoog langs de laagspanningslijn, een concentrator in het distributieonderstation, daarna een cellulaire verbinding naar de operator. Wat verschilt, is de power-line-technologie, het consumentenkanaal en, in Italië, een tweede radio-interface. In elk daarvan is de concentrator het knooppunt dat veel meters aggregeert en de communicatie met geautoriseerde derden beheert. De geïntegreerde meter is normaal gesproken een verbonden product op de standaardroute. Geen van beide beslissingen is automatisch. De Uitvoeringsverordening laat de categorie afhangen van de kernfunctionaliteit, dus een meter waarvan de eigen functies overeenkomen met de beschrijving van de gateway kan in de categorie Kritiek worden beredeneerd, en de fabrikant legt de verdeling vast in de grensmemo in plaats van die aan te nemen.
Frankrijk: Enedis Linky
De Linky-meter doet beide taken. Hij meet verbruik en communiceert stroomopwaarts vanuit één eenheid, en bereikt rechtstreeks een concentrator in het HTA/BT- (midden- tot laagspannings)secundaire onderstation in plaats van via een gateway in huis. De verbinding is smalbandige power-line-carrier in de CENELEC A-band, de laagfrequente nutsband, overwegend het G3-PLC-profiel, met een deel van de vloot op het S-FSK-schema van de eerste generatie. De concentrator backhault naar het centrale systeem van Enedis via publiek cellulair, GPRS in het oorspronkelijke ontwerp. Enedis is de distributiesysteembeheerder die het systeem draait, niet de meterfabrikant. De consumenteninterface is optioneel: de meter stelt een TIC-informatiepoort beschikbaar die een display in huis via een aparte radiomodule kan uitlezen, een add-on in plaats van standaard Enedis-apparatuur. De uitrol begon in 2015 en bereikte ongeveer 35 miljoen meters.
Spanje: PRIME en Meters and More
Spanje draait dezelfde drielaagsvorm: een geïntegreerde DLMS-meter op het perceel, een concentrator in het centro de transformación, en een head-end bij de DSO. De laagspannings-power-line-technologie splitst per operator. Iberdrola (i-DE) en UFD draaien PRIME, terwijl Endesa (e-distribución) Meters and More draait. De concentrator aggregeert de meters, geeft commando's door en houdt toezicht op het laagspanningsnet, en praat met de head-end via het STG-DC-toezichtprotocol. Hij backhault via een publieke netwerkverbinding, doorgaans cellulair en vaak over een VPN. De wettelijke ruggengraat is Orden ITC/3860/2007, die het vervangen van meters door eenheden voor afstandsbeheer verplichtte, dus Spanje bereikte vroeg een bijna volledige dekking, met ongeveer 27 miljoen laagspanningsmeters.
Italië: e-distribuzione Open Meter
Italië was de eerste grote EU-uitrol, met de eerste generatie Telegestore vanaf 2001, en zit nu op de tweede generatie Open Meter, rond 30 miljoen meters geïnstalleerd in 2023. ARERA staat toe dat Chain 1 draait over power-line-band A, een 169 MHz-radio-interface of andere telecomtechnologieën, en de Open Meter draagt een dubbele Chain 1-interface die power-line-band A en 169 MHz-radio combineert. Een apart Chain 2-power-line-kanaal in band C bereikt optionele consumenten-User Devices, gestandaardiseerd door de CEI TS 13-82 tot 13-85-serie en verplicht gesteld door ARERA-resolutie 87/2016. De concentrator in het MT/BT- (midden- tot laagspannings)onderstation is, in de eigen woorden van e-distribuzione, de informatiehub en actuator voor netwerkautomatisering, en hij backhault via het publieke GSM-, GPRS-, UMTS- of PSTN-netwerk.
| Markt | Metervorm | Laagspanningsverbinding | Aggregatieknooppunt | Backhaul | Consumentenkanaal | Kandidaat voor de Kritiek-route |
|---|---|---|---|---|---|---|
| Duitsland (SMGW) | Aparte gateway plus meters | Lokaal metrologisch netwerk naar de gateway | De gateway | Cellulair wide-area of anders | Home-area-netwerk en consumentendisplay | De gateway |
| Frankrijk (Linky) | Geïntegreerde meter | G3-PLC, CENELEC A-band | Concentrator in het HTA/BT-onderstation | Cellulair, oorspronkelijk GPRS | Optionele TIC-poort en radiodisplay | De concentrator |
| Spanje (PRIME, Meters and More) | Geïntegreerde DLMS-meter | PRIME- of Meters and More-PLC | Concentrator in het centro de transformación | Cellulair, deels glasvezel of radio | Hier niet uitgewerkt | De concentrator |
| Italië (Open Meter) | Geïntegreerde meter | PLC-band A en 169 MHz-RF | Concentrator in het MT/BT-onderstation | GSM, GPRS, UMTS of PSTN | Chain 2-PLC-band C naar User Devices | De concentrator |
Niets hiervan verklaart de concentrator tot Kritiek product. Hij is meestal de sterkere kandidaat. De bepaling is apparaat- en gebruiksspecifiek, hangt af van de beschrijving van de kernfunctionaliteit in de Uitvoeringsverordening, en hoort in de grensmemo van de fabrikant. De beslissing hieronder is de korte versie van die toets.
Hoe een systeem met een aparte gateway is opgebouwd (het Duitse model)
Dit is het model met een aparte gateway, het model met een afzonderlijke communicatie-eenheid als eigen box. In de markten met geïntegreerde meters die hierboven zijn beschreven, Frankrijk, Spanje en Italië, bestaan dezelfde bewijsgrenzen, maar zij vallen samen in de meter en de netconcentrator in plaats van een afzonderlijke gateway. Een slimme-metergateway is de centrale communicatie-eenheid van een intelligent metersysteem. De BSI omschrijft het als het centrale onderdeel dat gegevens van meters ontvangt en opslaat en die verwerkt voor de marktdeelnemers die ze mogen zien. De Bundesnetzagentur noemt het het hart van het systeem. De gateway zit tussen drie netwerken, en het trust anchor voor alle drie is een specifieke beveiligingsmodule. Elke grens is de plek waar een stuk CRA-bewijs zich hecht, dus de architectuur is het waard om precies te tekenen.
De drie netwerken dragen elk een ander risico en een andere controle:
- Het lokale metrologische netwerk (LMN) verbindt de gateway met de meters, elektriciteit, gas, water of warmte, van een of meer eindgebruikers. Hier komen de aflezingen het product binnen. Het bewijs hier dekt hoe de gateway een meter authenticeert, hoe hij aflezingen van een ongeautoriseerde meter weigert, en hoe de verbinding tussen meter en gateway gekoppeld en beschermd is.
- Het home-area-netwerk (HAN) verbindt de gateway met bestuurbare lokale systemen zoals zonnepanelen op het dak, warmtekrachtkoppeling, warmtepompen en EV-laden, met een servicetechnicus tijdens onderhoud, en met de consument die zijn eigen verbruik mag inzien. Het bewijs hier dekt de isolatie tussen de consumentenweergave en de apparaatgeheimen, en de reikwijdte van eventuele besturingscommando's die een lokaal systeem bereiken.
- Het wide-area-netwerk (WAN) verbindt de gateway met externe marktdeelnemers, de energieleveranciers, netbeheerders en de meetpuntbeheerder, en met de gatewaybeheerder. Dit is het vlootpad. Het bewijs hier dekt wederzijdse authenticatie, het beheer van certificaten, de pseudonimisering van metergegevens voordat die een marktdeelnemer bereiken, en de verwerkingsprofielen die bepalen welke gegevens waarheen gaan.
De beveiligingsmodule is het trust anchor. De BSI definieert het als de veilige opslaglocatie voor het cryptografische sleutelmateriaal, die de cryptografische kernroutines levert voor het maken en verifiëren van handtekeningen, sleutelgeneratie, sleutelovereenkomst en het genereren van willekeurige getallen. Is de beveiligingsmodule degelijk, dan kan de gateway op elk netwerk bewijzen wie hij is. Is hij zwak, dan rust elke andere controle stroomafwaarts op drijfzand. Het CRA-dossier moet de beveiligingsmodule behandelen als een genoemd onderdeel met eigen leveranciersbewijs, een eigen updateverhaal en een eigen grens in het diagram.
De gatewaybeheerder (GWA) configureert, beheert en bewaakt de gateway op afstand via het wide-area-netwerk. Hij pusht firmware, stelt configuratie- en verwerkingsprofielen in en houdt de vloot in de gaten. Vanuit CRA-oogpunt is de gatewaybeheerder een geprivilegieerd pad voor afstandsbesturing, vergelijkbaar met de auto-configuration-server op een router. Het dossier moet de identiteit van de beheerder vastleggen, de reikwijdte van de commando's die hij kan geven, het trust anchor waartegen hij authenticeert, en het auditspoor dat hij achterlaat.
Vervolgens stapelen zich verschillende controles op de verbinding, en elk daarvan is een apart stuk bewijs in het dossier.
De wide-area-verbinding is beveiligd met TLS, dat het kanaal tussen de gateway en de partij waarmee hij praat beschermt.
Meterinhoud bestemd voor externe marktdeelnemers is daarnaast end-to-end beveiligd met CMS, de Cryptographic Message Syntax, zodat de payload beschermd blijft voorbij het transporteindpunt.
Aflezingen worden gepseudonimiseerd voordat zij een marktdeelnemer bereiken, en verwerkingsprofielen bepalen welke dataset wordt geminimaliseerd, geaggregeerd en naar welke ontvanger gerouteerd.
Fysieke manipulatiebescherming behoedt het apparaat voor manipulatie in het veld.
Nationale regeling, apart spoor. Duitsland draait al een gedetailleerd nationaal regime voor dit apparaat onder de Wet op het beheer van meetpunten, gebouwd op een stapel BSI-standaarden:
- TR-03109-1: interoperabiliteitseisen voor de communicatie-eenheid, in de bredere TR-03109-familie. Nu op versie 2.0.
- TR-03109-4: de publieke-sleutelinfrastructuur voor Smart Metering.
- BSI-CC-PP-0073: Common Criteria-beschermingsprofiel voor de gateway. V2.0 gecertificeerd december 2024.
- BSI-CC-PP-0077: Common Criteria-beschermingsprofiel voor de beveiligingsmodule.
De eerdere basislijnen PP-0073 v1.3 en TR-03109-1 v1.1 blijven geldig tot en met 31 december 2027.
De CRA neemt TR-03109 niet over. Haar route loopt via haar eigen geharmoniseerde normen, ontwikkeld onder het normalisatieverzoek van de Commissie. Het noemen van de Duitse regeling dient eerlijke kadering: toezichthouders eisen al deze diepgang van beveiligingsarchitectuur van precies het apparaat dat de CRA nu als Kritiek aanmerkt, dus de lat die een gatewayfabrikant moet halen is niet theoretisch. Duitsland is ook niet de enige lat van vóór 2027. Een meter met radio is vandaag al de RED-cyberbeveiligingsvereisten verschuldigd, in elke markt, zoals de overlap met RED, MID, GDPR en NIS2 hieronder uiteenzet.
| Architectuurcontrolepunt | Bewijsvraag |
|---|---|
| Verbinding meter-naar-gateway (LMN) | Documenteer de optische, bedrade, draadloze, DLMS/COSEM- of propriëtaire verbinding, en hoe de gateway een meter authenticeert en een ongeautoriseerde weigert. |
| Home-area-netwerk (HAN) | Toon de isolatie tussen de consumentenweergave, de toegang van de servicetechnicus en de commando's voor bestuurbare lokale systemen, zodat een huishoudweergave geen apparaatgeheimen kan bereiken. |
| Wide-area-netwerk (WAN) | Toon wederzijdse authenticatie, het beheer van certificaten en sleutels, het herverbindingsgedrag, en welke marktdeelnemer welke dataset ontvangt. |
| Beveiligingsmodule | Behandel de sleutelopslag en cryptoroutines als een genoemd onderdeel met leveranciersbewijs, een updateverhaal en manipulatiebestendigheid. |
| Gatewaybeheerder | Leg de identiteit van de beheerder vast, de reikwijdte van de commando's, het trust anchor en het auditspoor voor configuratie en firmware op afstand. |
| Pseudonimisering en profielen | Toon waar aflezingen worden gepseudonimiseerd en welk verwerkingsprofiel elke dataset minimaliseert en routeert. |
| Metrologiegrens | Scheid cyberbeveiligingsupdates van wettelijk relevante metrologiesoftware, en documenteer waar een aangrenzende metrologiegoedkeuring nodig is. |
Hoe het conformiteitstraject werkt voor een Kritiek product
Omdat een gateway Kritiek is, is de route van zelfverklaring die een router van Belangrijke Klasse I kan gebruiken gesloten. Het volgt de externe route onder Artikel 32: een onderzoek door een derde partij of een volledige kwaliteitsborgingsaudit, of een Europees cyberbeveiligingscertificeringsschema zodra er een geldt onder Artikel 8. Er is nog geen schema verplicht gesteld voor gateways, dus vandaag is de route de beoordeling door een derde partij of via een kwaliteitssysteem, met het schema als toekomstige trigger om te volgen. De mechaniek van elke procedure staat in de conformiteitsbeoordeling-gids. De meterspecifieke valkuil is de metrologiegrens: een CRA-beoordeling tekent de wettelijk relevante meetfunctie niet af, dus houd het conformiteitsbewijs en de metrologiegoedkeuring als gescheiden records.
Welk bewijs moet het technisch dossier bevatten?
Het dossier moet een reviewer in staat stellen de gateway te volgen van productidentiteit tot beveiligingscontroles zonder te gissen. De tabel hieronder noemt de dossierspecifieke records die de vereistentabel hierboven nog niet dekte: identiteit, de Kritiek-bepaling, de conformiteitsuitkomst en de componenteninventaris. De twee records die het meeste gewicht dragen voor een metergateway, de levenscyclus van sleutels en certificaten en de verdeling tussen metrologierelevante en alleen-cyberbeveiligingswijzigingen, worden eronder volledig uitgetekend.
| Bewijsgebied | Meterbewijs om te bewaren |
|---|---|
| Productidentiteit | Meter- en gatewaymodel, metrologiefirmware, communicatiemodule, onderdeel van de beveiligingsmodule en hardwarerevisie |
| Kritiek-bepaling | Of het product een gateway binnen een slim metersysteem is of een ander verbonden meetproduct, met de onderbouwing vastgelegd |
| Conformiteitsuitkomst | Het EU-typeonderzoekscertificaat van de aangemelde instantie of de goedkeuring voor volledige kwaliteitsborging, de EU-conformiteitsverklaring en de CE-markering, met het nummer van de aangemelde instantie alleen toegevoegd waar de instantie de route van volledige kwaliteitsborging uitvoert |
| Componenteninventaris | Versie-vastgepinde lijst van de geleverde digitale elementen, met genoemde eigenaren en een bewaking van leveranciersadviezen |
De beveiligingsmodule maakt de sleutellevenscyclus anders dan een generiek IoT-sleutelverhaal. Een geheim per apparaat wordt in de fabriek geïnjecteerd en verlaat de module nooit in leesbare vorm. Bij installatie bindt de installateur de gateway aan zijn meters en aan de operatorrol zonder ooit een batchsleutel aan te raken, zodat een gelekte installatiecredential geen vloot kan nabootsen. In bedrijf authenticeert de gateway naar de head-end met het geconfigureerde trust anchor en registreert elke aflezing, manipulatiegebeurtenis en update. Rotatie is gepland, incidentgedreven of getriggerd door een rolwijziging, en werkt zowel de gateway als het record van de operator bij. Bij buitenbedrijfstelling wordt de oude binding ingetrokken en worden de sleutels vernietigd of uitgeschakeld, zodat een geretourneerde of verwisselde gateway niet als een levende metergateway kan blijven optreden.
Het tweede meterspecifieke record is de verdeling tussen wettelijk relevante metrologiesoftware en alleen-cyberbeveiligingswijzigingen. Een gatewayfabrikant levert beveiligingsfixes veel vaker dan metrologiewijzigingen, en het dossier moet aantonen dat een beveiligingsupdate de goedgekeurde meetfunctie niet stilletjes heeft veranderd. De matrix hieronder is de beslissingshulp: hij vertelt de fabrikant waar de cyberbeveiligingsbeslissing wordt vastgelegd, en waar een aangrenzende metrologiegoedkeuring of een door de operator gecoördineerd wijzigingsvenster nodig is.
Verdeling tussen metrologie- en cyberbeveiligingsupdates. Beveiligingsfixes moeten worden getoetst aan wettelijk relevante software zonder te doen alsof de CRA de metrologiegoedkeuring vervangt.
| Wijzigingsgebied | Voorbeeldwijziging | Beslissingsvraag | Releasepad | Bewijs |
|---|---|---|---|---|
| Wettelijk relevante metrologie | Meetberekening of verzegelde meterfirmware | Raakt dit de goedgekeurde metrologiefunctie? | Aanhouden voor een beslissing over metrologische impact | Impactbeoordeling en goedkeuringsrecord |
| Gatewaybeveiliging | Fix voor TLS, koppeling, update-agent of sleutelopslag | Kan de fix worden geleverd zonder de meetlogica te wijzigen? | Gesigneerde beveiligingsupdate met rollback | Record van de beslissing over metrologische impact, testresultaat en klantmededeling |
| Communicatiemodule | Firmware van cellulaire modem of patch van protocolbibliotheek | Verandert de leveranciersupdate blootgestelde diensten of credentials? | Gefaseerde veldupdate | Beslissing op basis van leveranciersadvies en compatibiliteitstest |
| Head-end-connector | Exportformaat, trust anchor of koppelingsworkflow | Heeft de operator een gecoördineerd wijzigingsvenster nodig? | Door operator gecoördineerde uitrol | Operatorinstructie en migratielog |
Beslissingspoort: deze verdeling is geen sluiproute langs metrologie- of nutsbedrijfgoedkeuring. Hij vertelt de fabrikant waar de cyberbeveiligingsbeslissing wordt vastgelegd, en waar een aangrenzende goedkeuring of een operatorhold nodig is. De vraag die hij beantwoordt: kan deze fix worden geleverd als een cyberbeveiligingsupdate, of raakt hij wettelijk relevante metrologiesoftware? Artefact: record van de beslissing over metrologische impact per release.
Hoe een echte meterrisicobeoordeling eruitziet
Gebruik dit als voorbeeld van de diepgang die een dossier op Kritiek-niveau nodig heeft. De fabrikant moet de beoordeling nog steeds uitvoeren tegen zijn echte gateway, beveiligingsmodule, meterprotocolstack, communicatiemodule, leverancierscomponenten, update-eigenaarschap, verkoopclaims en belofte over de ondersteuningsperiode.
Asset-inventaris
Voorbeeldproduct: ExampleCo GridMeter G2, een slimme-metergateway gekoppeld aan elektriciteitsmeters, een cellulaire communicatiemodule, een hardware-beveiligingsmodule, een head-end-connector voor het nutsbedrijf, een consumentendisplay-interface, gesigneerde firmware-updates en een installatiehulpmiddel voor inbedrijfstelling.
De productgrens omvat de gatewayhardware, de beveiligingsmodule, de meterinterface, de communicatiemodule, de sleutelopslag, de head-end-connector, de consumentendisplay-interface, de firmware-updatedienst, het installatiehulpmiddel, de intake voor gecoördineerde openbaarmaking en het adviesproces. Hij sluit het facturatiesysteem van het nutsbedrijf uit, de wettelijke metrologiegoedkeuring, de netbeheersystemen en het energiecontract van de klant, tenzij dezelfde operator die als onderdeel van het product levert.
| Asset | Waarom dit telt | Waar het staat |
|---|---|---|
| Verbinding meter-naar-gateway (LMN) | Brengt metergegevens het product binnen en moet ongeautoriseerde meters weigeren | Meterinterface, koppelingsmateriaal, LMN-protocolstack |
| Hardware-beveiligingsmodule en sleutelopslag | Bewaart de sleutels die de identiteit van de gateway op elk netwerk bewijzen | Beveiligingsmodule, sleutelopslag, provisioning-records |
| Head-end- en WAN-verbinding | Geprivilegieerd pad naar marktdeelnemers en de gatewaybeheerder | Cellulaire module, WAN-credentials, certificaatopslag |
| Commandopad van de gatewaybeheerder | Een fleet-control-pad kan op veel gateways tegelijk inwerken | WAN-beheer, beheerder-credentials, command-audit |
| Trust anchor voor firmwaresignering | Beschermt het updatekanaal tegen rollback en manipulatie | Bootloader, secure storage, OTA-updatedienst |
| Intervalaflezing- en privacygegevens | Fijnmazig verbruik kan bewoning en gedrag onthullen | Aflezingopslag, verwerkingsprofiel, support-export |
| Inbedrijfstellingsworkflow van de installateur | De inbedrijfstellingsbevoegdheid bindt de gateway aan de meter en de operatorrol | Installatiehulpmiddel, installateursportaal, koppelingsattestatie |
| Firmware van de communicatiemodule | Modemkwetsbaarheden raken beschikbaarheid en blootstelling | Cellulaire module, leveranciers-SDK, leveranciersadviezen |
| Metrologiegrens | Een beveiligingsupdate mag wettelijk relevante meetsoftware niet stilletjes raken | Verzegelde metrologiefunctie, releaseproces, record van metrologische impact |
Documenteer de rolverdeling en de uitgesloten nutsbedrijfsystemen.
Routecheck | productdossier | risicodossier | verklaring ondersteuningsperiode
Sleutellevenscyclus, privacyreview, firmwaretests en bewijs van acceptatie door het nutsbedrijf.
Bewaking van de protocolbibliotheek, bewijs van modemfirmware, tests van de sleutelopslag en leveranciersadviezen.
Intrekkingsprocedure, installatie-instructies, updatepad voor reserveonderdelen en record van klantmelding.
De meest privacygevoelige uitvoer van een gateway is de intervalaflezing. Fijnmazige verbruiksgegevens kunnen bewoning, apparaatgebruik en gedrag onthullen, dus het dossier heeft een duidelijk minimalisatieknelpunt nodig en een duidelijk antwoord op wat support tijdens een onderzoek kan zien. De stroom hieronder koppelt dat terug aan de controles voor pseudonimisering en verwerkingsprofielen uit de architectuursectie.
De aflezingscadans is operator- of marktspecifiek. De gateway registreert alleen de ondersteunde dataset.
Een verwerkingsprofiel bewaart alleen wat de genoemde functie nodig heeft, en aflezingen worden gepseudonimiseerd voordat zij een marktdeelnemer bereiken.
Consumenten- en operatorweergaven zijn gescheiden van ruwe apparaatgeheimen en koppelingsmateriaal.
Een support-export verwijdert sleutels, precieze topologie en onnodige persoonsgegevens. Artefact: redactielijst voor de supportbundel.
Vertrouwensgrenzen
| Omgeving | Verwachte blootstelling | Risicogevolg |
|---|---|---|
| Meterverbinding (LMN) | Bereikbaar vanuit geïnstalleerde meters in het veld | Een ongeautoriseerde of vervalste meter kan valse aflezingen injecteren |
| Home-area-netwerk (HAN) | Gedeeld met consumentendisplays en bestuurbare lokale systemen | Zwakke isolatie kan aflezingen lekken of besturingsfuncties bereiken |
| Wide-area-netwerk (WAN) | Continu blootgesteld aan externe marktdeelnemers en de beheerder | Compromis van een credential of certificaat kan over de vloot schalen |
| Pad van de gatewaybeheerder | Geprivilegieerd kanaal voor configuratie en updates op afstand | Te ruime command-scope of een gecompromitteerde beheerder raakt veel gateways |
| Interface van de beveiligingsmodule | Bereikt door elke operatie die sleutels signeert, verifieert of opslaat | Een zwakke module ondermijnt elke downstream-controle |
| Update- en herstelpad | Ontvangt geprivilegieerde firmware-images | Zwakke signering of rollback herintroduceert bekende kwetsbaarheden |
| Support- en aflezingexport | Kruist van het apparaat naar operators en supportmedewerkers | Niet-geredigeerde exports kunnen sleutels, topologie of persoonlijke verbruiksgegevens blootleggen |
Dreigingsscenario's
| ID | Dreigingsscenario | Asset onder risico | Ingangspunt |
|---|---|---|---|
| M1 | Gateway accepteert meteraflezingen van een ongeautoriseerde meter | Integriteit van de aflezing | Meterverbinding |
| M2 | Head-end-certificaat of apparaatsleutel wordt over batches hergebruikt | Vlootauthenticatie | Provisioning |
| M3 | Firmware-rollback herintroduceert een bekende kwetsbaarheid | Firmware-integriteit | Update-agent |
| M4 | Intervalgegevens lekken bewoning via een support-export | Privacy van de aflezing | Supportbundel |
| M5 | Installatieaccount blijft actief na offboarding van de contractant | Inbedrijfstellingsbevoegdheid | Installateursportaal |
| M6 | Consumenteninterface stelt de aflezingen van een ander huishouden bloot | Privacy | Cloud of lokale API |
| M7 | Metrologie-rakende update wordt geleverd zonder scheiding van de beveiligingsfix | Metrologiegrens | Releaseproces |
| M8 | Kwetsbaarheid in cellulaire modem wordt tijdens support niet getriageerd | Beschikbaarheid van de gateway | Leveranciersmodule |
| M9 | Fabrieksreset trekt de binding met het nutsbedrijf of oude sleutels niet in | Eigenaarschap, sleutels | Vervanging of retour |
| M10 | Commandoscope van de gatewaybeheerder overstijgt het beoordeelde profiel | Vlootbesturing | WAN-beheer |
Initieel risicoregister
| ID | Kans | Impact | Eerste beslissing | Onderbouwing |
|---|---|---|---|---|
| M1 | Laag | Hoog | Behandel vóór release | Integriteit van de aflezing is centraal |
| M2 | Laag | Ernstig | Behandel vóór release | Hergebruik van sleutels kan over de vloot schalen |
| M3 | Laag | Ernstig | Behandel vóór release | Een updatezwakte ondermijnt de support |
| M4 | Middel | Middel | Behandel vóór release | Metergegevens zijn privacygevoelig |
| M5 | Middel | Hoog | Behandel vóór release | Installateurs raken veel apparaten |
| M6 | Laag | Hoog | Behandel vóór release | Een lek tussen huishoudens is ernstig |
| M7 | Middel | Hoog | Behandel vóór release | Metrologie- en cyberbeveiligingsupdates beïnvloeden elkaar |
| M8 | Middel | Middel | Behandel vóór release | Communicatiemodules verouderen snel |
| M9 | Middel | Hoog | Behandel vóór release | Vervanging en retour zijn normaal |
| M10 | Middel | Ernstig | Behandel vóór release | Een vlootbesturingspad kan veel gateways raken |
Koppeling van maatregelen en bewijs
| Dreigingen | Ontwerpcontrole | Bewijs dat de fabrikant bewaart |
|---|---|---|
| M1, M2 | Wederzijdse authenticatie, sleutels per apparaat verankerd in de beveiligingsmodule, provisioning-audit | Sleutelinjectierecord, koppelingstests |
| M3 | Gesigneerde updates, anti-rollback, herstelverificatie | Updatetests, weigering van downgrades |
| M4, M6 | Dataminimalisatie, verwerkingsprofielen, pseudonimisering, tenant-isolatie, support-redactie | Privacyreview, API-tests |
| M5, M9 | Rolscheiding van de installateur, offboarding, workflow voor vervanging en intrekking | Roltests, retourchecklist |
| M7 | Beoordeling van metrologische impact en releasescheiding | Record van de releasebeslissing |
| M8 | Componenteninventaris en bewaking van leveranciersadviezen | Adviesregister, patchbeslissing |
| M10 | Least-privilege-beheerdersprofiel, certificaatinventaris, command-audit | Profielreview, command-auditsteekproef |
Restrisico na maatregelen
| Restgebied | Waarom het blijft | Operationeel bewijs |
|---|---|---|
| Nutsbedrijfsystemen | Facturatie- en head-end-operaties kunnen buiten de controle van de productfabrikant vallen | Rolverdelingsmemo |
| Privacy-afleiding | Fijnmazige aflezingen kunnen nog steeds gedrag onthullen | Record van bewaring en minimalisatie |
| Certificeringsroute | De behandeling als Kritiek product hangt af van het schema en de toekomstige gedelegeerde handeling | Routebeslissingslog, schema-bewakingsnotitie |
Wat hoort in een SBOM van een slimme-metergateway?
De generieke SBOM-mechaniek, formaatkeuze en signering staan in de SBOM-gids, de HBOM-gids en de BSI TR-03183-gids. Wat specifiek is voor een gateway is de vorm van de boom. Het is een hardwareproduct dat veel digitale elementen op afzonderlijke updatecycli levert, zelden minder dan tien en vaak dichter bij twintig top-level-componenten, elk met een eigen leverancier, updatecadans en adviesfeed. Lijst ze op als één inventaris op productniveau met element-gescheiden secties, of één inventaris per geleverd element, zolang die machineleesbaar blijft en de top-level-afhankelijkheden dekt.
| Component | Functie in de gateway | Concreet voorbeeld |
|---|---|---|
| Secure bootloader en root of trust | Verifieert en start de gesigneerde firmwareketen | Een gemeten of geverifieerde-boot-eerste-fase die handtekeningen controleert voordat het besturingssysteem laadt en gedowngrade images weigert |
| Besturingssysteem en kernel | Het platform waarop de gateway draait | Een embedded Linux gebouwd met Yocto/OpenEmbedded op een long-term-support-kernel, of een geharde RTOS |
| Metrologiefirmware | De verzegelde, wettelijk relevante meetfunctie | Meetfirmware van de meter verzegeld onder de Meetinstrumentenrichtlijn (2014/32/EU) en nationale metrologiewetgeving. Alleen binnen de gatewaygrens wanneer de meter deel is van het op de markt aangeboden product, anders zit hij in de meter en wordt hij geïdentificeerd volgens de WELMEC 7.2-softwaregids |
| Meterprotocolstack (LMN) | Leest meters uit over het lokale metrologische netwerk | Een DLMS/COSEM- (Device Language Message Specification / Companion Specification for Energy Metering)stack (IEC 62056). In Duitse implementaties SML (Smart Message Language) en Wireless M-Bus (EN 13757-4) met OMS- (Open Metering System)profielen |
| Firmware van de communicatiemodule (WAN) | Draagt de wide-area-verbinding naar marktdeelnemers | Baseband-firmware van de leverancier op een NB-IoT- of LTE-M-cellulaire module (bijv. van u-blox of Quectel). Sommige netten gebruiken in plaats daarvan power-line-backhaul |
| Head-end-connector / client | Praat met het head-end-systeem en de gatewaybeheerder | Een WAN-client die het operatorprotocol implementeert (in Duitsland de TR-03109-1-verbinding naar de gatewaybeheerder) |
| Firmware en sleutelopslag van de beveiligingsmodule | Het trust anchor: sleutelopslag en de cryptokern | Een secure element of HSM (hardware security module) geëvalueerd tegen een Common Criteria-beschermingsprofiel (in Duitsland BSI PP-0077) |
| PKI- / certificaatbeheerclient | Schrijft de apparaatcertificaten in, verlengt en trekt ze in | Een certificaatclient (bijv. EST of CMP) tegen de operator-PKI. In Duitsland de TR-03109-4 Smart Metering PKI |
| TLS-bibliotheek | Beschermt het WAN-kanaal | mbedTLS, wolfSSL of OpenSSL |
| CMS-laag | End-to-end-inhoudbescherming van aflezingen voorbij het transporteindpunt | Een implementatie van Cryptographic Message Syntax (RFC 5652) die meterinhoud signeert en versleutelt voor de gerechtigde ontvanger |
| Over-the-air-update-agent | Past gesigneerde firmware toe met rollback | Een A/B-updateclient zoals SWUpdate, Mender of RAUC, met handtekeningverificatie en anti-rollback |
| Verwerkingsprofiel- en configuratie-engine | Minimaliseert en routeert elke dataset naar de ontvanger die er recht op heeft | Het onderdeel dat verwerkingsprofielen toepast en aflezingen pseudonimiseert voordat zij de gateway verlaten |
| Subsysteem voor gebeurtenis- en manipulatielogging | Registreert aflezingen, manipulatie- en updategebeurtenissen voor het auditspoor | Een append-only gebeurtenislog die het auditspoor van de operator en het bewijs bij facturatiegeschillen voedt |
| Veilige tijdsbron | Levert vertrouwde tijd voor certificaten, logs en tarieven | Een gesynchroniseerde klok, zoals geauthenticeerde NTP, die de certificaatgeldigheid en de tijdstempels van manipulatiegebeurtenissen onderbouwt |
| Lokaal display / HAN-interface | De transparantieweergave voor de consument en de verbinding met het bestuurbare lokale systeem | Een lokale webweergave voor de eindgebruiker, of een EEBus- / OMS-interface naar systemen in het home-area-netwerk |
| Installatie- / inbedrijfstellingshulpmiddel | Koppelt, provisioneert en vervangt gateways in het veld | Een veldapp of laptophulpmiddel dat de gateway aan zijn meters en operatorrol bindt zonder een batchsleutel aan te raken |
Houd de verplichting eerlijk. De CRA vraagt om een machineleesbare inventaris die ten minste de top-level-afhankelijkheden dekt, ververst over de ondersteuningsperiode, met bewaking van leveranciersadviezen zodat een bekende kwetsbaarheid in de modemfirmware of de protocolbibliotheek wordt getriageerd in plaats van gemist. Hij schrijft nog geen vast formaat of een diepgang voorbij de top-level-afhankelijkheden voor. Spiegel die formulering in plaats van een strengere regel te verzinnen.
De inventaris is geen passieve lijst. Artikel 13 laat u passende zorgvuldigheid betrachten wanneer u een component van een derde partij integreert, inclusief open-source, zodat die de cyberbeveiliging van de gateway niet verzwakt. Het gaat verder bij kwetsbaarheden. Vindt u er een in een geïntegreerde component, dan meldt u die aan de entiteit die die component fabriceert of onderhoudt, lost u die op in uw product onder de regels voor kwetsbaarheidsafhandeling van Bijlage I, en waar u een software- of hardwarefix hebt gebouwd, deelt u de relevante code of documentatie terug met die onderhouder. De cellulaire module en de beveiligingsmodule zijn niet zomaar regelitems. Elk is op zichzelf een product met digitale elementen, dat zijn eigen CRA-verplichtingen draagt, dus het advies over de modem-baseband en de errata van de beveiligingsmodule horen bij uw bewaking en uw stroomopwaartse melding, niet bij iemand anders.
Hoe moeten ondersteuning, updates en melding werken?
Een metervloot overleeft de meeste consumentenelektronica. Gateways blijven een decennium of langer in muren zitten, dus het ondersteuningsmodel is deel van het dossier, geen bijzaak. Het ondersteuningsbewijs moet de metrologiefirmware dekken, de gatewayfirmware, de beveiligingsmodule, de communicatiemodule, de head-end-connector en de installatiehulpmiddelen. Langlevende vloten hebben ook bewijs nodig voor de continuïteit van de certificeringsautoriteit, het verlopen van signeersleutels, baselines van reserve-gateways, en de scheiding tussen wettelijk relevante metrologiesoftware en alleen-cyberbeveiligingsupdates.
| Operationeel gebied | Bewijs om voor te bereiden |
|---|---|
| Ondersteuningsperiode en beschikbaarheid van updates | De generieke ondergrenzen staan in de ondersteuningsperiode-gids. Plan voor een metervloot een venster dat past bij een implementatie van meerdere jaren in plaats van de ondergrens, toon de einddatum (maand en jaar) bij aankoop, en bewaar recovery-images, hashes en release notes voor baselines van reserve-gateways. |
| Scheiding van metrologische impact | Een beslissingsrecord per release dat toont of een wijziging de goedgekeurde metrologiefunctie raakte, en waar een aangrenzende goedkeuring of een operatorhold nodig was. |
| Eén kwetsbaarheidscontact | Een rechtstreeks contact voor kwetsbaarheidsmelding voor de fabrikant van record, niet alleen een geautomatiseerd kanaal. Is het nutsbedrijf fabrikant voor een gebrande gateway, dan beheert het nutsbedrijf een intakeroute. |
| Component-due-diligence | Bewaking van leveranciersadviezen voor de kernel, de protocolstack, de modemfirmware, de beveiligingsmodule, de TLS- en CMS-bibliotheken en de update-agent, met triage en fixpropagatie. |
| Melding van actief misbruik en ernstige incidenten | Meld via het ene platform aan de CSIRT die als coördinator is aangewezen en aan ENISA op de CRA-klok, voeg daarna de gatewayspecifieke overlay toe: coördineer de gebruikersmelding en eventuele mitigatie met het nutsbedrijf, en leg de metrologische impact van de fix vast. De deadlines voor de vroege waarschuwing, de melding en het eindrapport zijn de productoverstijgende deadlines die in detail staan in de kwetsbaarheidsafhandeling-gids en de gids over gecoördineerde kwetsbaarheidsopenbaarmaking. |
Beveiligingsupdates moeten worden gecoördineerd met de nutsbedrijven en de gatewaybeheerder zodat de velduitrol, de metrologische impact en de gebruikersmelding traceerbaar zijn. Een gatewayfabrikant kan geen vlootupdate pushen zoals een telefoonapp dat doet. De operator bezit het wijzigingsvenster, en het dossier moet die coördinatie tonen in plaats van die aan te nemen. De meldverplichtingen onder Artikel 14 starten op 11 september 2026, dus het disclosurebeleid en het enkele contact moeten daarvóór werken, terwijl de rest van de CRA geldt vanaf 11 december 2027, de datum waarop het conformiteitstraject en het technisch dossier compleet moeten zijn.
Eén overgangsregel telt zwaarder voor een metervloot dan voor bijna elk ander product. Een product dat vóór de toepassingsdatum op de markt is aangeboden, valt alleen onder de volledige CRA als het daarna ingrijpend wordt gewijzigd, dus een jaren eerder geïnstalleerde meter heeft niet met terugwerkende kracht het conformiteitstraject nodig. Eén verplichting doorbreekt die regel. De melding van actief misbruikte kwetsbaarheden en ernstige incidenten bereikt elk in-scope-product dat al op de markt is, inclusief de geïmplementeerde vloot (Artikel 69). Dus de fabrikant van jaren geleden uitgerolde meters is die melding nog steeds verschuldigd voor zijn geïmplementeerde vloot, en een nutsbedrijf draagt die alleen waar het de fabrikant van record is, bijvoorbeeld na herbranding of een ingrijpende wijziging. Breng de geïmplementeerde vloot vroeg in kaart tegen deze verdeling, want de meldverplichting landt vóór de rest van het dossier.
Wat importeurs, distributeurs en nutsbedrijven moeten controleren
Een gateway verdeelt zijn rollen vaak over meer marktdeelnemers dan een consumentenproduct: een meterfabrikant, een gatewayfabrikant, een nutsbedrijf dat de vloot kan herbranden of beheren, een gatewaybeheerder en een installateur. De overdrachtskaart hieronder toont wie elke pre-salecontrole beheert en wat de gateway bij elke rol stopt.
De generieke importeur- en distributeur-verplichtingen gelden net als voor elk product. De meterspecifieke controles gaan over de build en de sleutels. Importeurs en distributeurs moeten bevestigen dat de ontvangen build de beoordeelde build is, geen gebrande fork. Nutsbedrijven en installateurs moeten de sleutelprovisioning, de firmware-baseline, de workflow voor intrekking en vervanging en het profiel van de gatewaybeheerder controleren voordat zij een batch accepteren. Een nutsbedrijf dat de gateway onder eigen naam op de markt aanbiedt, de beheercloud draait of de firmware ingrijpend wijzigt, neemt fabrikantverplichtingen op zich voor die gebrande vloot, inclusief het contact voor kwetsbaarheidsmelding.
Een niet-EU-fabrikant van meters of modules kan een EU-gemachtigde vertegenwoordiger aanwijzen onder Artikel 18. Het artikel zegt "kan", dus het is een optie, geen plicht, en u moet een gemachtigde vertegenwoordiger niet als verplicht vastleggen. De routing is wat niet optioneel is. Een eigen-merk- of ingrijpend gewijzigd product maakt degene die het op de markt aanbood of wijzigde tot fabrikant. Het dossier moet benoemen wie een kwetsbaarheidsmelding ontvangt en wie de documentatie beschikbaar houdt wanneer de fabrikant buiten de EU zit. Beslis die routing in het grenswerk, niet aan de grens.
Hoe dit zich verhoudt tot RED, MID, GDPR en NIS2
De CRA landt niet op een leeg bureau. Een slimme meter draagt al andere CE-verplichtingen, en het nutsbedrijf dat de vloot draait heeft zijn eigen plichten. Vier overlappen bepalen hoeveel van het dossier werkelijk nieuw is.
| Regime | Landt op | Wat het toevoegt, en hoe het de CRA raakt |
|---|---|---|
| Radioapparatuurrichtlijn (2014/53/EU) | Een meter met radio | Veiligheids- en EMC-doelstellingen via Art. 3.1, zodat de LVD en de EMC-richtlijn niet apart worden vermeld. Cyberbeveiliging via Gedelegeerde verordening (EU) 2022/30, in werking sinds 1 augustus 2025, vóór de CRA. |
| Meetinstrumentenrichtlijn (2014/32/EU) | De meetfunctie | Metrologiegoedkeuring dat de meting correct en verzegeld is, een andere vraag dan cyberbeveiliging. |
| GDPR | De intervalaflezingsgegevens | Gegevensbeschermingsplichten bovenop de CRA, met een impactbeoordelingstemplate voor smart grids om te volgen. |
| NIS2 (2022/2555) | De operator, niet de box | De eigen plichten van de distributiesysteembeheerder voor incidentmelding en risicobeheer, naast de CRA-melding van de fabrikant. |
Eén EU-conformiteitsverklaring noemt elke handeling die geldt, RED, MID, RoHS en de CRA daaronder. Twee zaken halen fabrikanten onderuit.
RED-cyberbeveiliging bindt een meter met radio vandaag al. Hij moet nu de normen EN 18031-1, -2 en -3 halen, vóór de CRA. Blijf aan beide voldoen totdat Gedelegeerde verordening (EU) 2026/339 de RED-cyberbeveiligingsregels intrekt op 11 december 2027, de toepassingsdatum van de CRA.
EMC en de Laagspanningsrichtlijn worden niet dubbel vermeld. Op een meter met radio draagt RED al de EMC- en veiligheidsdoelstellingen. Die twee richtlijnen gelden alleen op zichzelf voor een variant zonder radio.
Veelgestelde vragen
Is elke slimme meter Kritiek onder de CRA?
Nee. De aanduiding Kritiek is gericht op slimme-metergateways binnen slimme metersystemen, en op apparaten waarvan het doel geavanceerde beveiliging is, inclusief veilige cryptoverwerking. Een submeter, een warmtekostenverdeler, een radiomodule van een watermeter of een consumentenbrug is een in-scope-product met digitale elementen, maar wordt niet Kritiek louter omdat het verbruik meet of cryptografie gebruikt. Elk daarvan heeft zijn eigen grens- en beoogd-gebruik-analyse nodig op de standaardroute.
Kan een slimme-metergateway de interne-controleroute gebruiken zoals een router?
Nee. Een router van Klasse I kan zelf verklaren op interne controle zodra hij de relevante geharmoniseerde normen volledig heeft toegepast. Een Kritieke gateway kan dat niet. Artikel 32 stuurt hem naar een certificeringsschema waar er een geldt, of naar een onderzoek door een derde partij of volledige kwaliteitsborging. Plan voor een externe beoordeling van het product of het proces, niet voor een zelf ondertekende verklaring.
Heeft de gateway vandaag een cyberbeveiligingscertificaat nodig?
Nog niet, en dit is de meest voorkomende overclaim. Artikel 8 laat de Commissie een certificaat op substantieel niveau verplicht stellen voor een Kritiek product, maar pas zodra een geschikt schema bestaat en beschikbaar is. Zo'n schema is niet van kracht, dus houd verplichte certificering als een gevolgde toekomstige voorwaarde in plaats van een certificaat te claimen tegen een schema dat niet is aangenomen.
Voldoet de Duitse BSI-regeling aan de CRA?
Nee. BSI TR-03109 en de beschermingsprofielen PP-0073 en PP-0077 zijn een Duits nationaal regime onder de Wet op het beheer van meetpunten. De CRA neemt ze niet over. De CRA-route loopt via haar eigen geharmoniseerde normen, ontwikkeld onder het normalisatieverzoek van de Commissie. De Duitse regeling is nuttige context, want zij toont de diepgang van beveiligingsarchitectuur die toezichthouders al van dit apparaat verwachten, maar een TR-03109-certificaat is geen CRA-conformiteitstraject.
Voldoet metrologiegoedkeuring aan de CRA?
Nee. Metrologiegoedkeuring bewijst dat de meting correct en verzegeld is. De CRA bewijst dat het verbonden product gedurende zijn ondersteuningsperiode aanvallen weerstaat. Zij beïnvloeden elkaar, want een beveiligingsupdate moet worden getoetst aan de wettelijk relevante metrologiesoftware, maar de een vervangt de ander niet. Houd de twee records gescheiden en documenteer de interface ertussen.
Maakt de privacy van de intervalaflezing deel uit van de CRA-beoordeling?
Ja. Fijnmazige intervalgegevens kunnen bewoning en gedrag onthullen, dus de beoordeling moet vertrouwelijkheid en dataminimalisatie meewegen. De gateway moet aflezingen pseudonimiseren voordat zij een marktdeelnemer bereiken, verwerkingsprofielen gebruiken om alleen te sturen wat elke ontvanger nodig heeft, en een schema en een redactietest bewaren voor elke support-export. Het algemene gegevensbeschermingsregime geldt bovenop de CRA, niet in plaats daarvan.
Wat is het eerste bewijsitem dat een gatewayfabrikant moet maken?
De memo over de metingsgrens en de Kritiek-route voor de exacte gateway: de meterinterface, de aansluitingen in huis en in het bredere gebied, de beveiligingsmodule, de head-end-connector, de gatewaybeheerder en de sleutellevenscyclus. Dat ene record legt de Kritiek-bepaling vast en laat het conformiteitstraject, de leverancierscontracten en het importeurpakket naar dezelfde beslissing verwijzen.
Geldt dit als mijn land geen aparte gateway heeft, zoals Frankrijk, Spanje of Italië?
Ja. Die markten draaien geïntegreerde meters die meten en communiceren in één eenheid en rechtstreeks een dataconcentrator in het secundaire onderstation bereiken, dus er zit geen gatewaybox in huis tussen. De Bijlage IV-analyse verdwijnt niet, hij verschuift naar de concentrator, die meters aggregeert en de communicatie tussen het metersysteem en geautoriseerde derden beheert. Dat is de functie waar de beschrijving van de Uitvoeringsverordening naar wijst, dus de concentrator is meestal de sterkere kandidaat voor de Kritiek-route, geen automatisch antwoord. Een geïntegreerde meter waarvan de eigen kernfuncties overeenkomen met die beschrijving zou er zelf in kunnen worden beredeneerd. Voer de grensmemo uit tegen het echte apparaat, zoals uiteengezet in hoe de architectuur per EU-lidstaat verschilt.