Security-by-Design in de productie

In de EU is sinds 2024 de Verordening cyberweerbaarheid van kracht. De regelgeving, die eind 2027 definitief in werking treedt, geldt voor bijna alle ‘producten met digitale elementen’ die op de Europese markt worden verkocht. We hebben met de IT-beveiligingsspecialist besproken wat dat betekent voor de fabrikanten van machines, apparaten en software.

“Wat de Verordening cyberweerbaarheid behelst: We willen een EU die ook op productniveau weerbaar is tegen cyberaanvallen”, verklaart Buchenberg. “Daarbij gaat het om procesthema’s die veel ondernemingen langdurig zullen bezig houden. Het zou mooi zijn als iedereen die het aangaat zich daar nu al op zouden toeleggen.” Vanaf december 2027 moet namelijk aan alle nieuwe eisen worden voldaan.

“Het is een lange lijst en bedrijven die niet aan hun verplichtingen voldoen hangen forse boetes boven het hoofd”, benadrukt de IT-beveiligingsspecialist. “De betreffende producten moeten worden ontwikkeld en geproduceerd volgens een Security-by-Design-aanpak. Ze moeten op de markt worden gebracht ‘zonder uit te buiten kwetsbaarheden’, beschikken over geïntegreerde beveiligingsmaatregelen, de privacy van gegevens garanderen en zo moeilijk mogelijk digitaal aan te vallen zijn.”

Bovendien bestaat er een verplichting om kwetsbaarheden te melden en te verhelpen, ook na de verkoop. “Softwareontwikkelaars moeten bijvoorbeeld vijf jaar lang gratis beveiligingsupdates leveren om dergelijke gaten te dichten”, legt Buchenberg uit. “Als een fabrikant een freesmachine met controller en HMI levert, moet hij jarenlang garant staan voor de levering van firmware-updates.”

Hij geeft niet alleen uitleg, maar schetst ook eventuele en uitvoerbare oplossingen. Welke? Dat kunt u lezen in Panorama 1/2026 op pagina 26 en 27.