Cyber Resilience Act (Verordering cyberweerbaarheid)

Verordening cyberweerbaarheid

De Cyber Resilience Act (CRA) is een nieuwe EU-verordening die cybersecurity-eisen stelt aan alle producten met digitale elementen. Deze “Verordening cyberweerbaarheid” is nu relevant omdat digitale apparaten, van kaartlezers tot cloud software, steeds vaker doelwit zijn van cyberaanvallen. Met de CRA wil de EU de weerbaarheid verhogen en voorkomen dat onbeveiligde IoT- en toegangscontrolesystemen zwakke schakels worden. Voor organisaties betekent dit dat producten als toegangscontrolesystemen straks standaard veiliger moeten zijn. De wet is in oktober 2024 aangenomen en geeft fabrikanten en gebruikers tot 11 december 2027 om zich aan te passen. Het is dus belangrijk om nú al te begrijpen wat deze wet inhoudt en hoe u zich kunt voorbereiden.

Wat houdt de Cyber Resilience Act in?

De CRA legt horizontale cybersecurity-verplichtingen op aan hardware en software met een digitale functie. Concreet vereist de wet dat alle nieuwe digitale producten op de EU-markt voldoen aan basisveiligheidsnormen gedurende hun hele levenscyclus. Enkele kernpunten van de CRA zijn:

  • Security by design: Vanaf 11 december 2027 mogen producten met digitale onderdelen(bijvoorbeeld smart devices, beveiligingscamera’s, toegangsbadgesystemen)alleen nog op de markt komen als ze veilig ontworpen en ontwikkeld zijn. Beveiliging mag dus niet langer een achterafje zijn, maar moet ingebakken zitten in het ontwerp.
  • Verantwoordelijkheid fabrikant: Leveranciers en fabrikanten blijven verantwoordelijk voor de cybersecurity van hun product, ook na verkoop. Ze moeten zorgen voortijdige beveiligingsupdates en bekende kwetsbaarheden verhelpen gedurende de gebruiksduur.
  • Meldplichtveiligheidsincidenten: Vanaf 11 september 2026 moeten fabrikanten ernstige beveiligingsproblemen of actieve hacks van hun producten binnen 24 uur melden bij het Nationaal Cyber Security Centrum(NCSC). Dit zorgt voor snelle waarschuwing en actie bij bijvoorbeeld een grootlek.
  • Transparantie en CE-markering: Producten moeten een CE-markering krijgen als bewijs dat ze aan de cyberveiligheidseisen voldoen. In veel gevallen mogen fabrikanten dit zelf beoordelen, maar voor kritische producten kan een externe keuring verplichtzijn. Dit lijkt op CE-keuring voor fysieke veiligheid, maar dan voor digitale veiligheid.

De CRA geldt nadrukkelijk voor digitale componenten in allerlei producten. Ook een toegangscontrolesysteem met software of cloudkoppeling valt hieronder. Pure diensten zonder fysiek product vallen buiten scope, maar vrijwel elk modern beveiligingssysteem bevat wel digitale onderdelen, van firmware tot managementsoftware.

Relatie met security, compliance en toegangscontrole

Voor de fysieke beveiligingswereld en toegangscontrole betekent de CRA een grote stap vooruit in basisbeveiliging. Veel organisaties gebruiken IoT-apparaten, kaartlezers, IP-camera’s en andere connected devices. De CRA zorgt dat deze apparaten bij aanschaf al aan minimale security-eisen voldoen. Zo wordt het risico kleiner dat bijvoorbeeld een deurcontroller door een lek uw hele netwerk in gevaar brengt.

Bovendien dwingt de CRA leveranciers tot langdurige support. In toegangscontrolesystemen zien we nu soms dat updates stoppen en apparaten onveilig worden. Straks moeten fabrikanten aantoonbaar updates leveren en verantwoordelijkheid nemen gedurende de levenscyclus van het product. Dit verhoogt de betrouwbaarheid en compliancy van uw security-infrastructuur. Organisaties die meerdere locaties en devices beheren kunnen dankzij de CRA meer vertrouwen hebben in de basisveiligheid van hun systemen.

In de praktijk: wat kunnen organisaties doen?

Hoewel de meeste verplichtingen bij de fabrikant liggen, kunnen organisaties zich voorbereiden om voordeel te halen uit de CRA:

  • Inventariseer uw apparatuur: Breng in kaart welke apparaten en software in uw toegangscontrole en security infrastructuur “producten met digitale elementen” zijn. Denk aan paslezers, controllers, managementsoftware, cloudportalen, mobiele toegangapps etc. Voor die onderdelen kunt u navragen bij leveranciers of zij al CRA-ready zijn richting 2027.
  • Stel eisen aan leveranciers: Bij nieuwe aanschaf of upgrade van toegangscontrole moet u leveranciers vragen naar cybersecurity-certificeringen. Product specificaties zouden melding moeten maken van compliance met bijvoorbeeld EN IEC 60839 of ETSI IoT-normen, en straks de CRA. U mag verwachten dat “CRA-proof” producten bijvoorbeeld gebruikmaken van versleutelde communicatie en regelmatig patches krijgen.
  • Updates en monitoring: Zorg intern voor processen om firmware-updates en security patches van toegangssystemen meteen toe te passen. De CRA verplicht fabrikanten tot updates, maar u moet ze natuurlijk wel installeren.
  • Samenwerken met experts: De impact van deze verordening is technisch. Schakel daarom security-experts of consultants in om de implicaties voor úw situatie door te lichten. Zevix biedt bijvoorbeeld consultancy om bestaande toegangscontrole tegen het licht te houden op zwakke plekken en een plan van aanpak te maken. Zo kunt u tijdig niet-conforme onderdelen vervangen of extra maatregelen nemen voordat de wet ingaat.

Door nu al deze stappen te zetten, voorkomt u dat u in 2027 met onaangename verrassingen zit. Uiteindelijk wilt u proactief voldoen aan nieuwe normen, in plaats van reactief te moeten corrigeren.

<- Terug naar nieuws
Zevix
HomeOver onsOns teamOplossingenContact
contact
[email protected]+31 (0)55-3030823Wapenrustlaan 11
7321DL ApeldoornKVK-nummer: 97725269
Over
Algemene voorwaardenPrivacy BeleidCookie instellingen aanpassen
Copyright © 2026 Zevix
Close Cookie Popup
Cookie instellingen
We gebruiken alleen analytische cookies om het gebruik van de website te meten en te verbeteren. U kunt dit weigeren of accepteren. Meer informatie kunt u vinden in ons privacy beleid.
Accepteer analyticsWeigeren
Close Cookie Popup
Cookie instellingen
We gebruiken alleen analytische cookies om het gebruik van de website te meten en te verbeteren. U kunt dit weigeren of accepteren. Meer informatie kunt u vinden in ons privacy beleid.
Accepteer analyticsWeigeren