Logo

Software en firmware als volwaardige componenten in een machine

Cybersecurity
0
Software en firmware als volwaardige componenten in een machine

Software en firmware als volwaardige componenten in een machine

Als de Machineverordening (Verordening (EU) 2023/1230) en de Cyber Resilience Act (Verordening (EU) 2024/2847) van toepassing worden, verandert de manier waarop we met software en firmware in machines en apparaten omgaan ingrijpend.

Onder de eerdere benadering lag de nadruk vaak op de machine als geheel, terwijl de exacte software- en firmwareversies minder expliciet werden vastgelegd. De Machineverordening en de CRA leggen meer nadruk op software en firmware als relevante componenten waarvoor traceerbaarheid en aantoonbare conformiteit essentieel zijn.

Dat betekent dat je voor de CE-conformiteit moet kunnen aantonen welke configuratie en welke software- of firmwareversies aanwezig waren op het moment dat het product op de markt werd aangeboden.

Software Bill of Materials (SBOM) onder de CRA

De Cyber Resilience Act (CRA) verplicht fabrikanten van producten met digitale elementen om inzicht te hebben in de gebruikte software- en firmwarecomponenten. In de praktijk wordt dit vaak vastgelegd in een Software Bill of Materials (SBOM).

Daarin moet per product of subsystem duidelijk zijn welke software, firmware en afhankelijkheden aanwezig zijn. Dit geldt niet alleen voor de hoofd-PLC, maar ook voor afzonderlijke modules, communicatiekaarten en slimme sensoren met een eigen firmwarestand.

Traceerbaarheid bij updates onder de Machineverordening

De Machineverordening richt zich op de veiligheid van machines, inclusief de invloed van software- en firmwarewijzigingen op de veiligheidsfuncties. Als een machine een update krijgt, moet worden beoordeeld of die wijziging de veiligheid beïnvloedt.

Om vast te stellen of sprake is van een substantiële wijziging, moet duidelijk zijn met welke hardware- en softwareconfiguratie de machine de fabriek heeft verlaten. Daarom is traceerbaarheid van de oorspronkelijke firmware- en softwarestand essentieel.

Wat betekent dit concreet voor de documentatie?

Als fabrikant of machinebouwer moet je in je technische documentatie en, waar relevant, richting de klant kunnen aantonen welke componenten zijn geleverd en met welke software- of firmwareversie. Denk daarbij aan:

  • Unieke identificatie: Per module het serienummer koppelen aan de exacte software- of firmwareversie op het moment van levering.

  • Integriteitscontrole: Een methode om aan te tonen dat de firmware legitiem is en niet is gemanipuleerd, bijvoorbeeld via een checksum of digitale handtekening.

  • Kwetsbaarhedenbeheer: Als na oplevering een cyberrisico wordt ontdekt in een specifieke firmwareversie van een toeleverancier, moet je kunnen achterhalen in welke geleverde modules of machines die versie is toegepast, zodat je gericht maatregelen kunt nemen.

Tijdlijn om rekening mee te houden

De wetten zijn al aangenomen, maar de toepassingsdata liggen nog gefaseerd in de tijd:

MVO (2023/1230): van toepassing vanaf 20 januari 2027.

CRA (2024/2847): grotendeels van toepassing vanaf 11 december 2027; bepaalde meldingsplichten voor kwetsbaarheden gelden al vanaf 11 september 2026.

CRA SBOM Machineverordening Substantiële wijziging Traceerbaarheid
Reacties zijn alleen mogelijk wanneer je bent ingelogd.
Inloggen

Reacties

Er zijn nog geen reacties op dit artikel geplaatst.