Binnen de maakindustrie neemt het gebruik van digitale technologie in hoog tempo toe. Hierbij gaat het onder meer om industriële automatisering, slimme machines, IoT-oplossingen en digitale ketensamenwerking. Deze digitalisering vergroot de efficiëntie en innovatiekracht, maar maakt bedrijven ook kwetsbaarder voor cyberdreigingen. De nieuwe Europese Cyber Resilience Act (CRA) speelt daarom een belangrijke rol in het versterken van de cyberweerbaarheid van de maakindustrie.
Nieuwe cybersecurity-eisen voor digitale producten
De Cyber Resilience Act stelt bindende cybersecurity-eisen voor hardware, software en digitale componenten die op de Europese markt worden aangeboden of commercieel worden geleverd. Dit raakt maakbedrijven die digitale producten ontwikkelen, samenstellen, inkopen of integreren in hun machines en productiesystemen. De CRA geldt niet voor alle digitale systemen in productieomgevingen. Intern ontwikkelde software of machines die uitsluitend voor eigen gebruik worden ingezet en niet op de markt worden gebracht, vallen in principe niet onder de CRA, tenzij deze later commercieel worden verhandeld. Vanaf 11 september 2026 geldt een meldplicht voor ernstige beveiligingsincidenten en actief misbruikte kwetsbaarheden. Vanaf 11 december 2027 mogen alleen producten die voldoen aan de CRA-eisen nog op de Europese markt worden gebracht.
Waarom is dit relevant voor de maakindustrie?
In de maakindustrie zijn digitale systemen vaak essentieel voor de bedrijfsvoering. Productiestilstand, kwaliteitsverlies of veiligheidsrisico’s kunnen grote gevolgen hebben. Denk aan besturingssoftware, industriële controlesystemen (ICS/OT), sensoren en digitale onderhoudsplatformen.
De CRA heeft als doel het basisniveau van cybersecurity binnen de EU structureel te verhogen en kwetsbaarheden gedurende de hele levenscyclus van digitale producten te beperken. Dit versterkt de betrouwbaarheid, continuïteit en weerbaarheid van industriële ketens en ondersteunt duurzame en toekomstbestendige productie.
Vanaf 11 september 2026 moeten ernstige incidenten en kwetsbaarheden onder actieve exploitatie worden gemeld bij de aangewezen nationale autoriteit, in Nederland naar verwachting NCSC. Ook maakbedrijven die sterk afhankelijk zijn van digitale leveranciers en technologiepartners krijgen hiermee te maken.
CRA Gids biedt praktische ondersteuning
Het ministerie van Economische Zaken heeft een CRA Gids gepubliceerd om organisaties te ondersteunen bij de voorbereiding op de nieuwe wetgeving. De gids geeft onder andere inzicht in:
· Welke producten en componenten onder de CRA vallen.
· Welke rollen en verantwoordelijkheden gelden binnen de industriële keten.
· Hoe bedrijven zich tijdig kunnen voorbereiden op naleving.
Voor bedrijven is de gids een praktisch hulpmiddel om de impact op producten, productielijnen en samenwerkingen in kaart te brengen.
Europese richtlijnen en nadere toelichting
Daarnaast heeft de Europese Commissie aanvullende richtlijnen gepubliceerd met verdieping op onder andere:
· Het uitvoeren van risicobeoordelingen.
· Zelfbeoordeling en conformiteitsbeoordeling.
· De praktische toepassing van de wettelijke eisen binnen industriële omgevingen.
Een tijdige voorbereiding stelt bedrijven in staat zowel innovatief als cyberweerbaar te opereren.
Op 10 februari is er een online kennissessie over de Cyber Resilience Act voor deelnemers van het Cyberweerbaarheidscentrum Maakindustrie.
Klik hier om je aan te melden!
Bronvermelding: Ministerie van Economische Zaken
foto credits: iStock/gorodenkoff