Platform over civiele techniek, ondergrondse infra, energie, bouwmaterieel & bouwmachines
Cybercriminaliteit is al lang geen ver-van-mijn-bedshow meer. In een wereld waarin vrijwel alles verbonden is met het internet, waaronder ook bouwmaterieel, groeit de noodzaak om digitale veiligheid serieus te nemen. Daarin heeft iedereen zijn rol, van fabrikant tot gebruiker. We moeten allemaal scherp zijn. De Europese Unie werkt daarom aan nieuwe wetgeving die gefaseerd in werking treedt: de Cyber Resilience Act (CRA). De eerste delen zijn al gepubliceerd en sinds 10 december 2024 van kracht.
Rusland heeft aan het begin van de oorlog in Oekraïne een treinlading tractoren buitgemaakt. “De fabriek in de USA heeft op afstand de betreffende tractoren gedeactiveerd, waardoor de Russen deze machines niet konden gebruiken”, weet Bas van Gruijthuijsen, algemeen manager bij Aboma. “Geweldig toch. Of niet? Want, wat als een kwaadwillende het lukt om toegang te krijgen tot de machine? De CRA moet ervoor zorgen dat producten die met het internet verbonden zijn, beter beveiligd worden. Want wie een niet-afgeschermd apparaat gebruikt, loopt vroeg of laat risico. Hackers zoeken voortdurend naar kwetsbaarheden – soms met kwade bedoelingen (geld, macht, of sabotage), soms met goede (ethische hackers die bedrijven waarschuwen).”
De CRA schrijft niet alleen voor wat er beveiligd moet worden, maar ook wie waarvoor verantwoordelijk is, zegt Van Gruijthuijsen. “Fabrikanten moeten zorgen voor veilige producten en tijdige beveiligingsupdates. Maar ook gebruikers, onderhoudsbedrijven en eigenaren hebben hierin een rol. Stel: een machine vraagt om een update, wie voert die dan uit? De huurder? De monteur? De fabrikant? Zulke afspraken moeten binnen de hele keten duidelijk zijn.” De CRA is dus in het leven geroepen om te zorgen dat het bedrijfsleven weerbaar wordt tegen cybercriminaliteit. Op het moment dat een systeem of voertuig aan het internet hangt moet het beveiligd worden. “En dat betreft zowel hardware als software, maar ook onderdelen die indirect zijn gekoppeld vallen onder de CRA. En maakt de machine tijdens het uitvoeren van het werk gebruik van AI dan wordt het aangemerkt als hoog risicoproduct en is zelfs een aanvullende certificering door een NoBo (aangemelde instantie, red.) vereist.”
Net zoals we nadenken over valgevaar of brandveiligheid, moeten we volgens Van Gruijthuijsen ook aandacht hebben voor digitale veiligheid. “Cybersecurity is een nieuwe dimensie van veiligheid, eentje die steeds belangrijker wordt.” De boodschap is duidelijk: begin nu met nadenken over hoe je je organisatie, machines en processen digitaal weerbaar maakt. De CRA is namelijk al van kracht. Sinds 10 december 2024 al. “Vanaf 11 september 2026 geldt er een meldplicht voor actief misbruikte kwetsbaarheden en incidenten, en vanaf 11 september 2027 moeten alle producten met digitale elementen voldoen aan de CRA.”
