Van Machinerichtlijn naar Verordening Machineproducten: klaar voor de toekomst?

De Verordening Machineproducten introduceert expliciete eisen rondom cybersecurity. Machines moeten o.a. beschermd zijn tegen ongeautoriseerde toegang, manipulatie van software en digitale storingen. Daarmee wordt digitale veiligheid een essentieel onderdeel van de veiligheid en cyberweerbaarheid van machines — in lijn met de opkomende Cyber Resilience Act (CRA).

Meer dan veiligheid: ook cyberweerbaarheid

Wat de nieuwe Machineverordening extra bijzonder maakt, is dat ze nauw aansluit op andere recente Europese wetgeving, zoals de CRA. Machines zijn allang geen puur mechanische producten meer. Ze zijn verbonden, slim en digitaal – en daarmee ook kwetsbaar voor cyberdreigingen.

De CRA verplicht fabrikanten straks om vanaf het ontwerp al rekening te houden met digitale beveiliging van hun producten. Die eisen sluiten direct aan op de nieuwe verplichtingen uit de Machineverordening. Wie nu al inspeelt op deze combinatie van fysieke en digitale veiligheid, bouwt niet alleen compliant, maar ook toekomstbestendig.  

Ook fabrikant heeft verantwoordelijkheid

Op basis van de verplichtingen van de CRA heeft de fabrikant ook in de gebruiksfase van de machine een verantwoordelijkheid. Je moet namelijk als fabrikant ook zorgen voor veiligheidsupdates (patches), gedurende de hele levensduur van het product. Dat betekent dat de fabrikant o.a. de kwetsbaarheden detecteert en zorgt dat updates veilig, tijdig en traceerbaar worden uitgerold. Om dit proces gestructureerd uit te kunnen voeren is het van belang dat patchmanagement tijdig wordt opgezet.

Cybersecurity in de gebruiksfase van de machine

Op het moment dat de machine eenmaal in gebruik genomen is, moet de machine voldoen aan het sociale wettelijke kader. Het kan hierbij voorkomen dat de organisatie die de machine in gebruik neemt, onder de NIS2-richtlijn valt. De NIS2-richtlijn is relevant omdat er expliciet de nadruk gelegd wordt op cybersecurity tijdens de operationele levensduur van systemen en processen. De verantwoordelijkheid stopt niet bij de aanschaf of installatie van een machine, maar loopt juist door zolang deze in gebruik is binnen een essentiële of belangrijke entiteit.

Het is van belang dat de machinefabrikant en de eindgebruiker het cyberweerbaarheidsniveau van de machine op elkaar afstemmen. Want een veilige werking in de praktijk is alleen mogelijk wanneer ontwerp, implementatie en operationeel gebruik op elkaar aansluiten. Eindgebruikers die onder het toepassingsgebied van de NIS2-richtlijn vallen, moeten op basis van hun eigen NIS2-verplichtingen aanvullende cybersecurity-eisen stellen aan hun toeleveranciers. Deze aanvullende eisen zijn noodzakelijk om te voldoen aan hun eigen verplichtingen onder NIS2, en versterken de noodzaak tot nauwe samenwerking tussen de machinefabrikant en de eindgebruiker.  

De rol van beveiligingsupdates (patches)

De fabrikant moet weten welke kwetsbaarheden er in de software van de machine zitten. Ook moet hij in staat zijn om beveiligingsupdates (patches) te ontwikkelen en beschikbaar te stellen. De eindgebruiker, aan de andere kant, is verantwoordelijk voor het toepassen van deze patches binnen zijn specifieke operationele omgeving.

Patchmanagement wordt in de praktijk regelmatig belemmerd door o.a. complexe afhankelijkheden in productielijnen, of incompatibiliteit van updates met bestaande softwarelagen. Bovendien ontbreekt in veel gevallen een automatische of gestructureerde aanpak voor het implementeren van beveiligingsupdates. Dit leidt tot achterstallig onderhoud en verhoogde kwetsbaarheid voor aanvallen zoals ransomware.

Als de eindgebruiker en de machinefabrikant niet goed op elkaar zijn afgestemd, kunnen er bijvoorbeeld patches beschikbaar gesteld worden die niet worden toegepast. Of omgekeerd: patches worden geïnstalleerd zonder te weten of ze compatibel zijn met het proces of de installatieconfiguratie, wat productieproblemen kan veroorzaken. Als de rol van de eindgebruiker en de machinefabrikant omtrent het patchmanagement niet op elkaar zijn afgestemd, ontstaat er een grijze zone waarin onduidelijk is wie verantwoordelijk is voor gemiste of verkeerd toegepaste updates.

Effectief patchmanagement is hierdoor onderdeel van cyberrisicobeheer. De fabrikant levert technische informatie over de aard en urgentie van kwetsbaarheden, en de eindgebruiker beoordeelt die informatie in de context van zijn eigen risico’s. Alleen wanneer deze inzichten worden gedeeld en besproken, kan worden bepaald wanneer en hoe een patch het beste kan worden doorgevoerd – en of er alternatieve mitigerende maatregelen nodig zijn. 

De kloof overbruggen tussen oude gewoontes en nieuwe verplichtingen

Voor zowel eindgebruikers als machinefabrikanten is het cruciaal om actief de samenwerking op te zoeken. Effectieve cyberweerbaarheid van machines kan namelijk alleen bereikt worden als technische kennis van de fabrikant en de operationele context van de gebruiker samenkomen. De machinefabrikant en de eindgebruiker zijn hierdoor samen verantwoordelijk voor de cyberweerbaarheid van machines en kunnen door actieve samenwerking de eisen invullen van onder meer de CRA en NIS2.

Tussen oude gewoontes en nieuwe verplichtingen zit een kloof. Wij helpen organisaties die kloof te dichten. Dat doen we met een gestructureerde aanpak: heldere analyses, strategisch advies en praktische begeleiding bij de implementatie. De overgangsperiode loopt tot januari 2027. Maar wie wacht tot het laatste moment, loopt mogelijk achter de feiten aan. De tijd om te starten is nu.