Hoe maak je embedded systemen en IoT-producten CRA-compliant: een stappenplan

23 maart 2026
Branche
Industriële Elektronica

De hack bij Odido begin 2026 maakt opnieuw duidelijk hoe belangrijk cybersecurity is voor het bedrijfsleven. Naast de materiele schade, die vermoedelijk in de miljoenen loopt, is de reputatieschade voor Odido niet in geld uit te drukken. Dit kan jouw bedrijf ook overkomen, waarschuwen  Bram Blaauwendraad en Gaurav Raina van het cybersecurity consulting bedrijf Veritas.

FHI sprak met beide veiligheidsexperts over de vraag wat bedrijven nú kunnen doen om hun cybersecurity op orde te brengen en om op tijd compliant te zijn voor de Cyber Resilience Act (CRA).

De CRA is gericht maar op het vergroten van de cyberveiligheid van digitale producten en diensten binnen de Europese Unie. Bram en Gaurav geven tijdens het D&E event, op 14 april in Den Bosch, een keynote over deze nieuwe wet. Ze zoomen daarbij in op de praktische toepassing in het bedrijfsleven vanuit hun ervaring met de RED 3.3., de Europese richtlijn die de beveiliging van radioapparatuur regelt.

Gaurav is als Senior Security Consultant Service Lead goed bekend met de RED 3.3. en gebruikt die kennis om de onzekerheden rond de CRA op te vangen. “De RED 3.3. is als het ware het kleine zusje van de CRA,” steekt Gaurav van wal. “Maar de insteek van de CRA is breder. Het gaat niet alleen om het apparaat – de software en de hardware –  maar ook om de inrichting van de backend en de interconnectiviteit. Hoe zorg je dat apparaten veilig met elkaar communiceren, ook in kritieke omgevingen? En hoe test je appraten, apps en backends op een veilige manier?”

Kom in actie

“De volledige CRA-verplichtingen voor nieuwe producten gelden vanaf 11 december 2027, maar het advies is om nu al met de voorbereidingen te beginnen. Niet alleen omdat het ‘leuk’ is om compliant te zijn, maar ook om bedrijfsschade zoals bij Odido te voorkomen,” vervolgt de beveiligingsspecialist.  Hij geeft nog een voorbeeld: “In 2021 leidde een onbeveiligde reset-fout in Western Digital’s ‘My Book Live’ tot massale remote wipes van apparaten die met het internet waren verbonden. De geleerde lessen, zoals het vaststellen van ondersteuningsperiodes, het beveiligen van standaardconfiguraties en het uitvoeren van kwetsbaarheidsbeheer na het in de handel brengen, zijn zaken die de CRA nu allemaal verplicht stelt (met rapportage vanaf 11 september 2026).”

De voorbeelden onderstrepen de maatschappelijke relevantie van de CRA. “Bedrijven willen wel, maar weten vaak niet hoe ze het aan moeten pakken. Ze zijn op zoek naar handvatten en dat is precies wat Bram en ik ze mee willen geven tijdens onze presentatie op het D&E event.”

Horizontaal en verticaal

Een grote uitdaging voor de industrie én Bureau Veritas is het feit dat de technische standaarden nog niet officieel zijn geharmoniseerd. Gaurav: “De CRA werkt met twee type standaarden: horizontaal en verticaal. Horizontale standaarden zijn breed toepasbaar en richten zich op algemene principes van cybersecurity.  Verticale standaarden zijn specifiek voor bepaalde sectoren of industrieën en houden rekening met de unieke kenmerken en risico’s die daar spelen. De standaarden zijn nog in ontwikkeling, maar de wettekst van de CRA ligt al wel vast. Die tekst vormt het uitgangspunt voor ons beleid.”

Onzekerheid

Bedrijven vinden de onzekerheid rond de harmonisatie van de standaarden lastig, maar de grootste uitdaging ligt volgens de Gaurav in de supply chain. “CRA wijst verantwoordelijkheden toe aan fabrikanten, maar eist end-to-end-garantie in de hele toeleveringsketen. In de praktijk betekent dit dat je niet aan de regels kunt voldoen als je leveranciers niet compliant zijn. Als ondernemer moet je dus niet alleen rekening houden met je eigen bedrijf, maar ook met de naleving door leveranciers. Bovendien is het niet altijd duidelijk waar de verantwoordelijkheden liggen.”

Secure by design

Gaurav’s collega Bram, werkzaam als Senior Security Consultant, schuift aan bij het gesprek. “Bedrijven hebben behoefte aan eenduidig advies: hoe pakken we dit aan. Wij spelen daar op in door praktische documentatie te ontwikkelen voor onze klanten. Een voorbeeld: een vereiste vanuit de CRA is dat elk product in de basis ‘secure by design’ is. Wij hebben een plan geschreven waarin we stap-voor-stap uitleggen hoe je zo’n veilig ontwerp maakt en waar je als bedrijf rekening mee dient te houden.”

“Het is belangrijk dat engineers makkelijk kunnen werken met de richtlijnen en dat ze onderdeel zijn van de normale workflow. Denk aan tips en checks die automatisch verschijnen in IDE’s, pipelines en templates. Organisaties die dit goed regelen, worden veel sneller CRA‑compliant dan organisaties die alleen op beleid vertrouwen.”

Oplossingen op maat

Bram vervolgt: “De CRA werkt door in het hele ontwikkelproces, daarom is het zaak om  op tijd te starten met de voorbereidingen. Voor bedrijven die complete oplossingen leveren die bestaan uit meerdere onderdelen, zit het risico in de connectie tussen die onderdelen. Als een klant wil afwijken van de standaardarchitectuur (engineering to order), kijk ik naar drie dingen: wat verandert er precies, welk risico levert dat op en wie is daarvoor verantwoordelijk. Voor de CRA is het vooral van belang dat het proces helder en traceerbaar is.”

Samenwerking

“Compliance vraagt om samenwerking en betrokkenheid vanuit alle lagen van de organisatie: van de engineer die de componenten op een printplaat last tot de CEO,” sluit Bram af. “Vaak is het nodig om nieuw beleid op te stellen of andere procedures af te spreken. Daarom is het belangrijk dat alle neuzen dezelfde kant op staan en dat iedereen inziet dat de CRA, mits goed toegepast, het bedrijf veel voordeel oplevert.”

Ben je benieuwd naar de lezing? Meld je dan nu aan voor het event via onze website. We ontmoeten je graag in Den Bosch.

© FHI 2026
FHI, federatie van technologiebranches