maandag 22 juni 2026

Van compliance naar cyberweerbaarheid: hoe EU regelgeving de machinebouw fundamenteel verandert

Door: Redactie - 16 juni 2026 |

Sander van Reijzen CRA — Sander van Reijzen, Vice President Industrial & Process Automation voor Schneider in BeNe

In het Europese machinebouwlandschap worden cybersecurity-discussies vaker benaderd vanuit de nieuwe Machine Verordening dan vanuit de de Cyber Resilience Act (CRA). Dit is geen toeval. De Machine Verordening is nauw geïntegreerd in de bestaande engineering- en ontwikkelprocessen van OEM’s, waardoor deze het praktische en operationele vertrekpunt vormt voor het beheersen van cyberrisico’s.

Waarom de Machine Verordening het vertrekpunt is

De Machine Verordening sluit nauw aan op vertrouwde onderdelen zoals CE-markering, veiligheidsrisicobeoordelingen en het technisch dossier dat de conformiteit onderbouwt. In die zin voelt het kader bekend en operationeel ingebed. Wat fundamenteel is veranderd, is de aanname dat digitale risico’s los kunnen worden gezien van deze structuur. Die benadering past niet langer bij de realiteit van moderne, verbonden machines.

De Machine Verordening (EU) 2023/1230 – aangenomen in 2023 en van toepassing vanaf 20 januari 2027 – maakt deze verschuiving expliciet. De verordening introduceert een formele verplichting voor OEM’s om veiligheidsgerelateerde risico’s die voortkomen uit digitale technologieën te beoordelen, te mitigeren en te documenteren. Voor veel engineering- en compliance-teams is dit de eerste keer dat cybersecurity op een gestructureerde en aantoonbare manier onderdeel wordt van het proces voor machineconformiteit. Wat voorheen vaak werd beschouwd als een IT- of servicevraagstuk na ingebruikname, maakt nu volledig deel uit van de productveiligheidslevenscyclus.

De plaats van NIS2 en de CRA binnen het bredere regelgevingskader

Deze ontwikkeling staat niet op zichzelf. Andere regelgevende initiatieven ontwikkelen zich parallel, waarvan NIS2 de belangrijkste is. In tegenstelling tot de Machine Verordening is NIS2 een richtlijn en moet deze door iedere lidstaat worden omgezet in nationale wetgeving. Dit heeft geleid tot verschillen in interpretatie, handhaving en de mate waarin de regelgeving daadwerkelijk is ingevoerd in Europa. Hoewel de formele implementatie-deadline op 17 oktober 2024 lag, blijven de praktische verplichtingen zich ontwikkelen en verschillen ze per land.

De Cyber Resilience Act volgt een ander model. Als Europese verordening is deze gelijk van kracht en uniform van toepassing op lidstaten. De CRA trad in werking in december 2024. De belangrijkste verplichtingen worden van toepassing vanaf 11 december 2027, terwijl de verplichtingen rond kwetsbaarheids- en incidentrapportage al gelden vanaf 11 september 2026.

Als je de ontwikkelingen in regelgeving bekijkt, ontstaat er een duidelijke volgorde. NIS2 verhoogde de verwachtingen rondom organisatorische cybersecurity en governance. De Machine Verordening bracht digitale risico’s nadrukkelijk onder het domein van machineveiligheid. Vervolgens was de CRA een aanvulling op het geheel door een geharmoniseerd Europees kader te stellen voor product-cybersecurity. Het zijn geen aparte initiatieven of concurrerende verplichtingen, maar onderling verbonden lagen binnen een bredere transitie in het regelgevingskader.

Wanneer een machine binnen het toepassingsgebied van de CRA valt

De CRA is van toepassing op producten met digitale elementen. Dit is nauwkeurig gedefinieerd: het gaat om producten die bedoeld zijn om gegevens uit te wisselen met andere producten, apparaten of netwerken, of waarvan redelijkerwijs kan worden verwacht dat zij dit doen.

Een machine valt niet automatisch onder de CRA. Zodra een machine echter software, connectiviteit of mogelijkheden bevat voor gegevensuitwisseling, kan de machine wél binnen de reikwijdte van de CRA vallen. Daarbij is met name overweging (recital) 53 van de CRA relevant. Deze maakt duidelijk dat wanneer een product al onder sectorspecifieke wetgeving valt, zoals de Machineverordening, de fabrikant aan beide regelgevingskaders moet voldoen voor zover deze van toepassing zijn. In de praktijk betekent dit dat beide kaders op elkaar moeten worden afgestemd en elkaar aanvullen, in plaats van dat het ene het andere vervangt.

Momenteel zijn de geharmoniseerde normen onder de CRA nog in ontwikkeling en hebben de Europese autoriteiten het certificeringsschema voor producten die als kritisch worden geclassificeerd nog niet definitief vastgesteld. Machines vallen momenteel niet onder categorieën waarvoor een verplichte conformiteitsbeoordeling door een derde partij vereist is. De verwachting is dat eigen beoordeling door de fabrikant voldoende blijft.

Desondanks is de impact op de bestaande conformiteitsprocessen aanzienlijk. Cybersecurity-gerelateerd bewijsmateriaal moet worden geïntegreerd in de technische documentatie die de conformiteitsbeoordeling, CE-markering en blijvende toegang tot de Europese markt ondersteunt.

De rol van NIS2 voor OEM’s

NIS2 vervult een andere, maar steeds belangrijkere rol voor OEM’s. NIS2 richt zich niet op machines als product, maar op de organisaties die ze ontwikkelen, leveren of exploiteren binnen essentiële en belangrijke sectoren. Sommige machinebouwers vallen rechtstreeks onder NIS2, afhankelijk van hun omvang, sector en positie binnen kritieke waardeketens.

In dergelijke gevallen richten de verplichtingen zich op governance, risicobeheer, incidentrapportage en beveiliging van de supply chain. Vaker is de impact echter indirect. Klanten die onder NIS2 vallen, verwachten steeds vaker dat hun leveranciers kunnen aantonen hoe zij cybersecurity structureel aanpakken. Ze verwachten daarbij steeds vaker transparantie over het beheren van kwetsbaarheden, de beschikbaarheid van beveiligingsupdates, gebruikte softwarecomponenten en de manier waarop beveiligingsmeldingen worden afgehandeld.

Hierdoor vervaagt het onderscheid tussen product cybersecurity en organisatorische cybersecurity. Beslissingen op het gebied van engineering, lifecycle-support verplichtingen en interne governance worden steeds vaker beoordeeld als onderdelen van één samenhangend systeem.

Een verschuiving die verder gaat dan compliance

De echte uitdaging voor OEM’s is daarom niet om de Machine Verordening, de CRA en NIS2 als drie losse compliance-oefeningen te zien. Het gaat erom een samenhangend operationeel model op te bouwen waarin engineeringprocessen, lifecycle-denken en interne werkprocessen elkaar versterken en samen deze drie kaders ondersteunen. De echte toets is consistentie: het vermogen om met heldere en gestructureerde bewijslast aan te tonen hoe veiligheid, cybersecurity en lifecycle management systematisch met elkaar verbonden zijn.

Auteur: Sander van Reijzen, Vice President Industrial & Process Automation voor Schneider in BeNe

.rll-youtube-player .play{--wpr-bg-2bfc5155-a33a-4e26-93af-f13356724a25: url('https://q3q6r7e2.delivery.rocketcdn.me/wp-content/plugins/wp-rocket/assets/img/youtube.png');}

Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.

Redactie

De redactie van IndustrieVandaag bestaat uit gespecialiseerde redacteuren met ervaring in de procesindustrie, productie-industrie en machinebouw met een focus op industriële automatisering. Artikelen worden samengesteld op basis van primaire bronnen zoals persinformatie, interviews met leveranciers en vakinhoudelijke documentatie.
Lees meer van: Redactie

Productie industrie - Uitgelicht

FANUC CRX-3iA: draagbare cobot van 11 kilo voor flexibele productie

22 juni 2026

Robotontwerp Argus: zee-egelrobot met twintig poten trotseert elk terrein (video)

19 juni 2026