Cyber Resilience Act & EU Data Act: wat machinebouwers nu moeten weten

5 min. leestijd

Share

 

Machines zijn tegenwoordig digitale systemen. Ze worden aangestuurd door software, zijn verbonden, op afstand toegankelijk en genereren continu operationele en gebruiksdata. Met de Cyber Resilience Act en de EU Data Act speelt de Europese Unie precies in op deze ontwikkeling. Beide verordeningen richten zich op dezelfde technische context.

De deadlines voor naleving komen snel dichterbij. De EU Data Act treedt in werking op 12 september 2025. De eerste verplichtingen van de Cyber Resilience Act, waaronder de meldplicht voor actief misbruikte kwetsbaarheden, gelden vanaf september 2026. Volledige naleving van de CRA wordt verplicht vanaf december 2027. Voor machinebouwers betekent dit dat de voorbereidingen feitelijk nu moeten beginnen.

Dit betekent ook dat security, datatoegang en servicearchitectuur niet langer los van elkaar kunnen worden gezien, maar als één samenhangende verantwoordelijkheid moeten worden benaderd.

In dit artikel lees je meer over:

CRA: cybersecurity als onderdeel van productverantwoordelijkheid

De Cyber Resilience Act is een productverordening voor producten met digitale elementen. Dit betekent dat de wet ook van toepassing is op industriële machines, besturingssystemen en de bijbehorende software. De kern draait om één centrale vraag:

Kan een verbonden machine gedurende haar volledige levensduur veilig worden gebruikt?

De CRA stelt onder andere de volgende eisen:

  • ‘Secure-by-design’ en ‘secure-by-default’ principes
  • Gestructureerde processen voor kwetsbaarhedenbeheer
  • Mogelijkheid om veilige software-updates te leveren
  • Transparantie over support- en updateperiodes
  • Verplichte melding van actief misbruikte kwetsbaarheden

Deze meldplicht heeft vooral betrekking op kwetsbaarheden in digitale componenten binnen de machine. Wanneer een OEM een gecertificeerd component van een derde partij gebruikt, bijvoorbeeld voor connectiviteit of remote access, ligt een groot deel van de verantwoordelijkheid voor monitoring en rapportage bij de leverancier van dat component. Dit kan de administratieve lasten voor machinebouwers aanzienlijk verlagen.

Voor machinebouwers betekent dit een duidelijke verandering in perspectief. Cybersecurity stopt niet bij de inbedrijfstelling. Fabrikanten blijven verantwoordelijk gedurende de volledige verwachte levensduur van de gebruikte software en digitale componenten, vaak vijf jaar of langer. Cybersecurity wordt daarmee een vast onderdeel van productconformiteit en eindigt niet bij levering van de machine.

Waarom remote access onder de CRA extra belangrijk is

Zodra een machine in gebruik wordt genomen, wordt remote access een relevant veiligheidsaspect. Vanuit regelgeving wordt elke externe verbinding gezien als een digitaal toegangspunt tot de machine. Als deze onvoldoende beveiligd is, kan dit de veilige werking in gevaar brengen.

Onder de CRA worden oplossingen voor remote access daarom beschouwd als securitykritische componenten. Is de verbinding zwak of niet gecertificeerd, dan ligt de verantwoordelijkheid bij de fabrikant.

In de praktijk betekent dit dat machines vanaf het begin moeten worden geleverd met gesloten poorten, duidelijk gedefinieerde toegangsgegevens en ingebouwde beveiligingsmechanismen. Wordt hier niet aan voldaan, dan geldt het product als onveilig en mag het niet op de markt worden gebracht.

Met de handhaving van de CRA vanaf 2026 in zicht, wordt de keuze voor veilige en gecertificeerde remote access technologie een strategische architectuur beslissing.

EU Data Act: wie mag machinedata gebruiken en hoe?

De EU Data Act volgt een andere benadering. Dit is geen securityverordening, maar een regelgeving rond data en markten. De focus ligt op data die worden gegenereerd door het gebruik van verbonden producten, ook in industriële omgevingen.

De Data Act regelt:

  • Toegang tot gebruiks- en operationele data
  • Het delen van data met derden
  • De rol van fabrikanten en dienstverleners als databeheerders
  • Bescherming van vertrouwelijke bedrijfsinformatie
  • Vermindering van cloud lock-in via regels voor overdraagbaarheid en overstappen
De wet heeft betrekking op vrijwel alle data die een machine tijdens gebruik genereert, zoals sensor-, status- en diagnosedata. Waar machinebouwers deze data vaak als hun eigendom beschouwden, draait de Data Act dit om: de exploitant van de machine krijgt een wettelijk recht op toegang.

De centrale uitdaging ligt in het onderscheid tussen ruwe gebruiksdata en eigen algoritmen of vertrouwelijke bedrijfsinformatie. Dit onderscheid moet zowel technisch als contractueel duidelijk worden vastgelegd.

Twee wetten, één technische realiteit

In de praktijk komen de Cyber Resilience Act en de EU Data Act samen op één punt: de internetverbinding van de machine.

Remote access is onder de CRA een securitykritisch toegangspunt. Tegelijkertijd is het onder de EU Data Act het kanaal voor datatoegang en datadeling.

Wordt toegang te streng beperkt, dan kan dit wettelijk verplichte datatoegang blokkeren. Is de toegang te open, dan ontstaan securityrisico’s. Machinebouwers moeten daarom leren om security en datatoegang in samenhang te ontwerpen, in plaats van ze tegen elkaar af te wegen.

Wat dit concreet betekent voor machinebouwers

Beide verordeningen veranderen de uitgangspunten van de machinebouw ingrijpend. Cybersecurity wordt onderdeel van de productstrategie in plaats van alleen een IT-onderwerp. Datatoegang wordt onderdeel van de klantrelatie. Remote services krijgen een duidelijke rol binnen regelgeving. Keuzes rond cloud en platforms worden strategisch belangrijk.

Een veelgemaakte fout is het onderschatten van verplichtingen op de lange termijn. Security-updates moeten ook jaren na verkoop beschikbaar blijven. Tegelijkertijd komen bestaande contractmodellen onder druk te staan. Algemene eigendomsclaims op machinedata zijn onder de EU Data Act niet langer houdbaar.

Concurrentievoordeel zal in de toekomst niet draaien om het bezit van data, maar om het vermogen om er duurzame waarde uit te halen.

CRA en EU Data Act als nieuwe randvoorwaarden

De Cyber Resilience Act en de EU Data Act stellen nieuwe kaders voor digitale machinebouw.

Security, datatoegang en remote services worden strategische factoren die bepalend zijn voor markttoegang, klantrelaties en concurrentievermogen.

Machinebouwers die deze onderwerpen vroegtijdig integreren, beperken risico’s en leggen de basis voor schaalbare en toekomstbestendige businessmodellen.

Dit betekent ook dat niet alles vanaf nul hoeft te worden opgebouwd. Het gebruik van gespecialiseerde en gecertificeerde industriële componenten kan de nalevingslast aanzienlijk verlagen.

Speciaal ontwikkelde industriële gateways zijn hier een goed voorbeeld van. Oplossingen zoals de IXON SecureEdge Pro zijn gecertificeerd volgens IEC 62443-4-2 en ondersteunen daarmee de strenge security-eisen van de CRA, terwijl ze tegelijkertijd open API’s bieden voor gecontroleerde datadeling onder de EU Data Act.

Voor veel machinebouwers is het gebruik van gecertificeerde componenten dan ook de meest efficiënte manier om aan de regelgeving te voldoen, zonder zelf de volledige infrastructuur te hoeven ontwikkelen.

Veelgestelde vragen

1. Wat is voor machinebouwers het belangrijkste verschil tussen de CRA en de EU Data Act?

De Cyber Resilience Act (CRA) is een productverordening en richt zich op de veiligheid van machines en software gedurende de hele levenscyclus, van ontwikkeling tot gebruik. Security wordt een voorwaarde om producten op de markt te mogen brengen.

De EU Data Act is een data- en marktverordening en regelt toegang tot machinedata en het recht om deze te gebruiken of te delen met derden

Kort gezegd: de CRA houdt ongewenste toegang buiten, de Data Act bepaalt wie er wél toegang krijgt.

2. Waarom moeten machinebouwers de Cyber Resilience Act en de EU Data Act samen bekijken?

Beide richten zich op hetzelfde technische punt: de internetverbinding van de machine.

Remote access is zowel van cruciaal belang voor de security (CRA) als relevant voor data (EU Data Act).

Los van elkaar bekeken ontstaan tegenstrijdigheden, zoals te restrictieve securitymaatregelen die rechtmatige toegang tot data verhinderen, of te open interfaces die securityrisico’s met zich meebrengen. Alleen een geïntegreerde aanpak zorgt voor een goede balans.

3. Wat betekent de Cyber Resilience Act en de EU Data Act voor remote access tot machines?

Remote access wordt de centrale schakel voor naleving.
Onder de CRA moet deze veilig, goed geauthenticeerd en traceerbaar zijn.
Onder de EU Data Act maakt dezelfde toegang gecontroleerde datatoegang mogelijk.

Remote access veranderd zo van een normale servicetool naar een onderdeel van de machinearchitectuur dat vanuit regelgevend oogpunt relevant is.

4. Op welke data is de EU Data Act van toepassing?

Vooral op data die tijdens gebruik van de machine worden gegenereerd, zoals:

  • Operationele en gebruiksdata
  • Status- en prestatiedata
  • Onderhouds- en diagnosedata

Broncode, ontwerpdocumentatie en eigen algoritmen vallen hier doorgaans niet onder.
De uitdaging ligt in het tot stand brengen van een duidelijke technische en contractuele scheiding tussen deze categorieën.

5. Waar moeten machinebouwers beginnen met de voorbereiding op de EU Data Act en de Cyber Resilience Act?

De eerste stap is een digitale inventarisatie:

  • Welke softwarecomponenten draaien op de machine?
  • Welke data worden gegenereerd en waar?
  • Welke toegangspunten en interfaces zijn er?
Op basis daarvan moeten toegangsrechten, datastromen en verantwoordelijkheden duidelijk worden vastgelegd. Alleen met die transparantie kan op lange termijn aan beide verordeningen worden voldaan.
 
Blijf op de hoogte van IXON-productfeatures en marktinzichten