Cybersikkerhed bliver obligatorisk i maskinteknik. Opdag de specifikke krav i den nye EU-forordning og hvordan man implementerer dem.
Vigtigheden af cybersikkerhed for maskiner
I en stadig mere netværksforbundet industri forbindes maskiner og systemer oftere til internettet og til hinanden. Selvom dette muliggør mere effektive processer og fjernstyret vedligeholdelse, gør det også systemer sårbare over for cyberangreb. Et succesfuldt angreb kunne ikke kun forårsage produktionsstop, men i værste fald også skabe sikkerhedsrisici for arbejdere eller miljøet.
Cybersikkerhedskrav
Den nye maskinforordning opstiller specifikke cybersikkerhedskrav for maskiner og relaterede produkter. Disse krav, fastsat i bilag III, afsnit 1.1.9, sigter mod at sikre integriteten og sikkerheden af maskiner i et stadig mere forbundet produktionsmiljø.
For producenter og operatører i maskinsektoren opstår følgende konkrete forpligtelser:
Sikker forbindelse
> Maskinen eller det relaterede produkt skal være designet og konstrueret, så tilslutningen af en anden enhed til maskinen eller det relaterede produkt gennem enhver funktion af den tilsluttede enhed selv, eller gennem en fjernbetjeningsenhed, der kommunikerer med maskinen eller det relaterede produkt, ikke fører til en farlig situation.
Maskiner skal være designet, så tilslutning af eksterne enheder eller tilladt fjernbetjening ikke skaber en fare.
For eksempel kunne en maskine være udstyret med en integreret firewall og sikre autentificeringsmekanismer for hver grænseflade for at forhindre uautoriseret eller potentielt farlig adgang.
Beskyttelse af kritisk hardware
> En hardwarekomponent, der transmitterer signaler eller data relevante for forbindelsen eller adgangen til den software, som er kritisk for en maskines eller et relateret produkts overensstemmelse med de gældende sundheds- og sikkerhedskrav, skal være designet til at være tilstrækkeligt beskyttet mod utilsigtet eller bevidst ødelæggelse. Maskiner eller relaterede produkter skal indsamle beviser for lovlig eller ulovlig indblanding med den pågældende hardwarekomponent, for så vidt det er relevant for forbindelsen eller adgangen til den software, der er kritisk for maskinernes eller de relaterede produkters overensstemmelse.
Hardwarekomponenter, der er ansvarlige for sikkerhedsrelevante signaler eller data, skal være tilstrækkeligt beskyttet mod utilsigtet eller bevidst ødelæggelse. Maskinen skal være i stand til at indsamle beviser for manipulering med disse komponenter.
I praksis kunne dette betyde at anbringe kontrolenheden i et låst kabinet og sikre, at den kun kører kryptografisk signeret kode eller kommandoer.
Beskyttelse af kritisk software og data
> Software og data, som er kritiske for maskinens eller det relaterede produkts overensstemmelse med de gældende sundheds- og sikkerhedskrav, skal identificeres som sådanne og tilstrækkeligt beskyttes mod utilsigtet eller bevidst ødelæggelse.
Sikkerhedskritisk software og data skal identificeres og tilstrækkeligt beskyttes mod ødelæggelse eller manipulation.
I en automatiseret produktionslinje kunne dette implementeres ved at bruge krypteret, digitalt signeret kontrolsoftware udført fra et beskyttet lagerområde.
Identifikation af sikkerhedskritisk software
> Maskinen eller det relaterede produkt skal identificere den installerede software, der kræves til sikker drift, og være i stand til at levere denne information til enhver tid i en let tilgængelig form.
Maskinen skal identificere den installerede software, der kræves til sikker drift, og gøre denne information let tilgængelig til enhver tid.
For eksempel kunne et maskinpanel vise versionsnummeret og checksum hash for dens sikkerhedskritiske firmware ved opstart og på anmodning i operatørmenuen. Dette gør det muligt for operatører hurtigt at verificere softwareintegritet.
Registrering af ændringer
> Maskiner eller relaterede produkter skal indsamle beviser for lovlig eller ulovlig indblanding med softwaren eller for en ændring i softwaren installeret i maskinerne eller de relaterede produkter eller i deres konfiguration.
Maskinen skal være i stand til at indsamle beviser for lovlig eller ulovlig indblanding med den installerede software eller dens konfiguration.
En mulig implementering er en kryptografisk beskyttet ændringslog, der registrerer alle opdateringer, konfigurationsændringer og adgangsforsøg.
Disse krav har til formål at sikre integriteten og sikkerheden af maskiner og relaterede produkter ved at beskytte dem mod uautoriseret indblanding og manipulation. De understreger behovet for at beskytte både hardware og software mod ødelæggelse og at gøre ændringer sporbare.
De fulde krav er fastsat i forordning (EU) 2023/1230 fra Europa-Parlamentet og Rådet af 14. juni 2023 om maskinprodukter. Den nøjagtige ordlyd af cybersikkerhedskravene kan findes i bilag III, afsnit 1.1.9 i forordningen.
Mange af bestemmelserne i bilag III efterlader plads til fortolkning, især ved grænsefladen mellem sikkerhed, security og eksisterende praksis. Hvis du ønsker at afklare, hvordan disse krav specifikt gælder for dine maskiner, kan en kort orienteringsdiskussion være nyttig.
Forhold til Cybersecurity Act
Den nye maskinforordning tager også højde for samspillet med eksisterende EU-cybersikkerhedsregler. Især henviser den til Cybersecurity Act (forordning (EU) 2019/881). Maskinforordningen bestemmer, at maskiner og relaterede produkter, der er blevet certificeret under en anerkendt ordning af Cybersecurity Act eller for hvilke en tilsvarende overensstemmelseserklæring eksisterer, skal betragtes som værende i overensstemmelse med visse krav i maskinforordningen.
Specifikt vedrører dette kravene til beskyttelse mod ødelæggelse (bilag III, afsnit 1.1.9) og sikkerheden og pålideligheden af kontrolsystemer (bilag III, afsnit 1.2.1). Denne formodning om overensstemmelse gælder, for så vidt de relevante krav er dækket af cybersikkerhedscertifikatet eller overensstemmelsescertifikatet.
Denne ordning skaber synergier mellem de to forordninger og undgår unødig dobbeltcertificering. Det gør det lettere for producenter, der allerede har opnået cybersikkerhedscertificeringer under Cybersecurity Act, at opfylde kravene i den nye maskinforordning og fremmer en sammenhængende tilgang til cybersikkerhed på tværs af forskellige EU-regler.
Forhold til Cyber Resilience Act
Den nye maskinforordning er også tæt forbundet med Cyber Resilience Act (CRA). For produkter, der falder under både maskinforordningen og CRA, skal producenter opfylde kravene i begge rammer. CRA anerkender, at der kan være overlap i cybersikkerhedskrav.
Opfyldelse af de væsentlige krav i CRA kan lette overholdelse af visse krav i maskinforordningen, især vedrørende beskyttelse mod ødelæggelse (afsnit 1.1.9) og sikkerheden og pålideligheden af kontrolsystemer (afsnit 1.2.1). Dog skal producenter demonstrere disse synergier, for eksempel ved at anvende harmoniserede standarder eller andre tekniske specifikationer baseret på en risikovurdering.
For at sikre sammenhæng har Europa-Kommissionen og europæiske standardiseringsorganisationer til hensigt at fremme konsistens i risikovurdering og behandling for begge forordninger ved udarbejdelse af standarder. Kommissionen planlægger også at levere vejledning til producenter for at hjælpe med at overholde kravene i begge forordninger.
Betydningen af maskinforordningen
For maskinproducenter betyder disse nye krav indledningsvis øget indsats. De skal tilpasse deres udviklingsprocesser og måske bygge yderligere ekspertise inden for cybersikkerhed. Især skal de:
- udføre risikoanalyser, der også overvejer cybersikkerhedsaspekter
- integrere cybersikkerhed i produktdesign fra starten
- producere omfattende dokumentation af implementerede sikkerhedsforanstaltninger
- udvikle mekanismer til regelmæssige sikkerhedsopdateringer
- levere træning og informationsmaterialer til brugere
På lang sigt giver forordningen dog også muligheder: den skaber harmoniserede standarder på tværs af EU og kan dermed styrke tilliden til europæiske produkter. Virksomheder, der investerer tidligt i cybersikkerhed, kan også opnå en konkurrencefordel.
For brugere af maskiner betyder den nye forordning et højere sikkerhedsniveau. De kan regne med, at købte produkter opfylder grundlæggende cybersikkerhedsstandarder.
Vigtige datoer og deadlines
Den nye maskinforordning (EU) 2023/1230 blev vedtaget den 14. juni 2023, men forskellige dele træder i kraft på forskellige tidspunkter.
Særligt vigtigt er 20. januar 2027 - indtil denne dato fortsætter det tidligere maskindirektiv 2006/42/EF med at gælde parallelt. Produkter bragt på markedet før denne deadline kan stadig leveres med en overensstemmelseserklæring under det gamle direktiv. Fra 20. januar 2027 skal alle nyligt bragte produkter overholde kravene i den nye forordning.
Producenter kan allerede tage højde for krav i den nye forordning, såsom dem om cybersikkerhed. Siden juli 2024 har Europa-Kommissionen også tilladt en kombineret EC/EU overensstemmelseserklæring for at lette overgangen.
Nogle dele af forordningen trådte i kraft tidligere, herunder bestemmelser om konformitetsvurderingsorganer og Europa-Kommissionens beføjelser til at vedtage delegerede retsakter (siden henholdsvis 20. januar 2024 og siden 20. juli 2024).
Virksomheder bør gøre sig bekendt med ændringerne tidligt for at sikre, at de opfylder alle krav efter overgangsperioden og kan fortsætte med at bringe deres produkter på EU-markedet.
Konklusion og fremtidsudsigter for cybersikkerhed i maskinteknik
Den nye maskinforordning markerer et vendepunkt i den forbundne industri. For første gang etablerer den bindende cybersikkerhedskrav for maskiner og relaterede produkter, hvilket betydeligt vil styrke sikkerheden og integriteten i et stadig mere netværksforbundet produktionsmiljø.
Det er værd at bemærke, at tidlig håndtering af cybersikkerhed ikke kun er vigtig med hensyn til maskinforordningen, men også til Radio Equipment Directive (RED) og Cyber Resilience Act (CRA). Synergierne med disse rammer gør det muligt for virksomheder at konsolidere deres cybersikkerhedsindsats og forberede sig effektivt på lovgivningsmæssige krav.
Virksomheder bør bruge tiden før forordningen fuldt ud træder i kraft til at tilpasse deres processer, bygge ekspertise og udvikle innovative løsninger. Kun ved at gøre dette kan de fuldt udnytte mulighederne i den nye forordning og forberede sig på fremtidige udfordringer.
Den nye maskinforordning introducerer bindende cybersikkerhedskrav i maskinteknik for første gang. Hvis du vil forstå, hvor stærkt dine produkter påvirkes, og hvilke næste skridt der giver mening, kan vi diskutere dette sammen i et uforpligtende orienteringsmøde.