Cybersikkerhed bliver obligatorisk i maskinteknik. Lær de konkrete krav i den nye EU-forordning og hvordan de implementeres.
Vigtighed af cybersikkerhed for maskiner
I en stadig mere netværksforbundet industri er maskiner og udstyr oftere forbundet til internettet og til hinanden. Mens dette muliggør mere effektive processer og fjernvedligeholdelse, gør det også systemer sårbare over for cyberangreb. Et vellykket angreb kunne ikke blot føre til produktionsnedetid, men i værste fald også udgøre sikkerhedsrisici for arbejdere eller miljøet.
Krav til cybersikkerhed
Den nye maskinforordning fastsætter specifikke cybersikkerhedskrav for maskiner og relaterede produkter. Disse krav, som er fastsat i Bilag III, afsnit 1.1.9, sigter mod at sikre integriteten og sikkerheden af maskiner i et stadig mere netværksforbundet produktionsmiljø.
For producenter og operatører i maskinsektoren opstår følgende konkrete forpligtelser:
Sikker tilslutningsmulighed
> Maskinen eller det relaterede produkt skal designes og konstrueres således, at tilslutning af et andet apparat til maskinen eller det relaterede produkt ved enhver funktion af det tilsluttede apparat selv eller via et fjernadgangsapparat, der kommunikerer med maskinen eller det relaterede produkt, ikke fører til en farlig situation.
Maskiner skal designes således, at tilslutning af eksterne apparater eller aktivering af fjernadgang ikke skaber fare.
For eksempel kunne en maskine være udstyret med en integreret firewall og sikre autentificeringsmekanismer for hver grænseflade for at forhindre uautoriseret eller potentielt farlig adgang.
Beskyttelse af kritisk hardware
> En hardwarekomponent, der transmitterer signaler eller data, der er relevante for forbindelsen til eller adgangen til softwaren, som er afgørende for en maskines eller et relateret produkts overensstemmelse med gældende sundheds- og sikkerhedskrav, skal designes således, at den er tilstrækkeligt beskyttet mod utilsigtet eller bevidst korrumpering. Maskiner eller relaterede produkter skal indsamle bevis for lovlig eller ulovlig indgriben i den nævnte hardwarekomponent i det omfang, som det er relevant for forbindelsen til eller adgangen til softwaren, som er afgørende for maskinernes eller de relaterede produkters overensstemmelse.
Hardwarekomponenter, der er ansvarlige for sikkerhedsrelevante signaler eller data, skal være tilstrækkeligt beskyttet mod utilsigtet eller bevidst korrumpering. Maskinen skal kunne påvise indgriben med disse komponenter.
I praksis kunne dette betyde, at kontrolenheden er anbragt i et låst kabinet og kun udfører kryptografisk signeret kode eller kommandoer.
Beskyttelse af kritisk software og data
> Software og data, som er afgørende for maskinens eller det relaterede produkts overensstemmelse med gældende sundheds- og sikkerhedskrav, skal identificeres som sådan og tilstrækkeligt beskyttes mod utilsigtet eller bevidst korrumpering.
Sikkerhedsrelevant software og data skal identificeres som sådan og tilstrækkeligt beskyttes mod korrumpering eller manipulation.
I en automatiseret produktionslinje kunne dette implementeres ved at bruge krypteret, digitalt signeret kontrolsoftware, der udføres i et beskyttet hukommelsesområde.
Identifikation af sikkerhedsrelevant software
> Maskinen eller det relaterede produkt skal identificere den installerede software, der er nødvendig for sikker drift, og skal kunne gøre denne information tilgængelig til enhver tid i en let tilgængelig form.
Maskinen skal identificere den installerede software, der kræves for sikker drift, og skal kunne give denne information til enhver tid i en let tilgængelig form.
For eksempel kunne et maskinpanel vise versionsnummer og checksum-hash af sin sikkerhedskritiske firmware ved hver opstart og på anmodning i operatørmenuen. Dette giver operatører mulighed for hurtigt at verificere softwareintegritet.
Registrering af ændringer
> Maskiner eller relaterede produkter skal indsamle bevis for lovlig eller ulovlig indgriben med softwaren eller for en ændring til den software, der er installeret i maskiner eller relaterede produkter, eller til dens konfiguration.
Maskinen skal kunne indsamle bevis for lovlig eller ulovlig indgriben med installeret software eller dens konfiguration.
En maskine kunne for eksempel vedligeholde en kryptografisk sikret ændringslog, der registrerer alle opdateringer, konfigurationsændringer og adgangsforsøg.
Disse krav er designet til at sikre integriteten og sikkerheden af maskiner og relaterede produkter ved at beskytte dem mod uautoriseret indgriben og manipulation. De understreger behovet for at beskytte både hardware og software mod korrumpering og at gøre ændringer sporbare.
De fulde krav er fastsat i Forordning (EU) 2023/1230 fra Europa-Parlamentet og Rådet af 14. juni 2023 om maskinprodukter. Den nøjagtige ordlyd af cybersikkerhedskravene kan findes i Bilag III, afsnit 1.1.9 i forordningen.
Forhold til Cybersikkerhedsloven
Den nye maskinforordning overvejer også samspillet med eksisterende EU-cybersikkerhedsregler. Især etablerer den en forbindelse til Cybersikkerhedsloven (Forordning (EU) 2019/881). Maskinforordningen bestemmer, at maskiner og relaterede produkter, der er blevet certificeret under en anerkendt ordning under Cybersikkerhedsloven, eller for hvilke der foreligger en tilsvarende overensstemmelseserklæring, skal formodes at være i overensstemmelse med visse krav i maskinforordningen.
Specifikt relaterer dette sig til kravene for beskyttelse mod korrumpering (Bilag III, afsnit 1.1.9) og til sikkerhed og pålidelighed af kontrolsystemer (Bilag III, afsnit 1.2.1). Denne formodning om overensstemmelse gælder i det omfang, som de respektive krav er dækket af cybersikkerhedscertifikatet eller overensstemmelsescertifikatet.
Denne ordning skaber synergier mellem de to forordninger og undgår unødvendig dobbelcertificering. Det gør det lettere for producenter, der allerede har udført cybersikkerhedscertificeringer under Cybersikkerhedsloven, at opfylde kravene i den nye maskinforordning, samtidig med at den fremmer en sammenhængende tilgang til cybersikkerhed på tværs af forskellige EU-regler.
Forhold til Cyber Resilience Act
Den nye maskinforordning er også tæt forbundet med Cyber Resilience Act (CRA). For produkter, der falder under både maskinforordningen og CRA, skal producenter opfylde kravene i begge rammer. CRA anerkender, at der kan være overlap i cybersikkerhedskrav.
Opfyldelse af de væsentlige krav i CRA kan lette opfyldelsen af visse krav i maskinforordningen, især vedrørende beskyttelse mod korrumpering (afsnit 1.1.9) og sikkerhed og pålidelighed af kontrolsystemer (afsnit 1.2.1). Producenter skal dog demonstrere disse synergier, for eksempel ved at anvende harmoniserede standarder eller andre tekniske specifikationer baseret på en risikovurdering.
For at sikre sammenhæng har Europa-Kommissionen og de europæiske standardiseringsorganisationer til hensigt at fremme konsistens i risikovurdering og risikobehandling for begge forordninger ved udarbejdelse af standarder. Derudover planlægger Kommissionen at give vejledning til producenter for at lette overholdelse af kravene i begge forordninger.
Vigtighed af maskinforordningen
For maskinproducenter betyder disse nye krav indledningsvis øget indsats. De skal tilpasse deres udviklingsprocesser og skal muligvis opbygge yderligere ekspertise inden for cybersikkerhed. Især skal de:
- udføre risikoanalyser, der også overvejer cybersikkerhedsaspekter
- integrere cybersikkerhed i designet af deres produkter fra start
- skabe omfattende dokumentation af de implementerede sikkerhedsforanstaltninger
- udvikle mekanismer for regelmæssige sikkerhedsopdateringer
- tilbyde træning og informationsmateriale til brugere
På længere sigt tilbyder forordningen dog også muligheder: den skaber ensartede standarder inden for EU og kan således styrke tilliden til europæiske produkter. Virksomheder, der investerer tidligt i cybersikkerhed, kan også opnå en konkurrencefordel.
For brugere af maskiner betyder den nye forordning et højere sikkerhedsniveau. De kan stole på, at de produkter, de køber, opfylder grundlæggende cybersikkerhedsstandarder.
Nøgledatoer og deadlines
Den nye maskinforordning (EU) 2023/1230 blev vedtaget den 14. juni 2023, men forskellige dele træder i kraft på forskellige tidspunkter.
Af særlig betydning er 20. januar 2027 - indtil denne dato fortsætter det tidligere maskindirektiv 2006/42/EF med at gælde parallelt. Produkter, der bringes på markedet før denne skæringsdato, kan stadig leveres med en overensstemmelseserklæring under det gamle direktiv. Fra 20. januar 2027 skal alle nyligt markedsførte produkter overholde kravene i den nye forordning.
Producenter kan allerede tage højde for krav i den nye forordning, såsom dem om cybersikkerhed. Derudover har Europa-Kommissionen siden juli 2024 muliggjort en kombineret EF/EU-overensstemmelseserklæring for at lette overgangen.
Nogle dele af forordningen trådte i kraft tidligere, herunder regler om Konformitätsbewertungsstellen (siden 20. januar 2024) og Europa-Kommissionens beføjelser til at vedtage delegerede retsakter (siden 20. juli 2024).
Virksomheder bør sætte sig ind i ændringerne tidligt, så de kan opfylde alle krav efter overgangsperioden og fortsætte med at markedsføre deres produkter på EU-markedet.
Konklusion og udsigter Fremtiden for cybersikkerhed i maskinteknik
Den nye maskinforordning markerer et vendepunkt i den netværksforbundne industri. Den etablerer for første gang bindende cybersikkerhedskrav for maskiner og relaterede produkter, hvilket vil styrke sikkerheden og integriteten betydeligt i et stadig mere netværksforbundet produktionsmiljø.
Det er værd at understrege, at tidligt engagement med cybersikkerhed er vigtigt ikke kun med hensyn til maskinforordningen, men også til Radio Equipment Directive (RED) og Cyber Resilience Act (CRA). Synergierne med disse rammer gør det muligt for virksomheder at samle deres cybersikkerhedsindsats og forberede sig effektivt på regulatoriske krav.
Virksomheder bør bruge tiden indtil forordningen træder fuldt i kraft til at tilpasse deres processer, opbygge ekspertise og udvikle innovative løsninger. Kun på denne måde kan de fuldt ud udnytte mulighederne i den nye forordning og forberede sig på fremtidens udfordringer.
Støtte til implementering
For første gang introducerer den nye maskinforordning bindende krav til cybersikkerheden af sikkerhedsrelaterede kontrolsystemer. For producenter betyder dette: cybersikkerhed bliver en integreret del af CE-mærkning og er ikke længere blot et valgfrit kvalitetsaspekt.
Secuvi støtter virksomheder i at implementere disse krav rettidigt og struktureret. Dette inkluderer integration af cybersikkerhedsaspekter i risikovurdering, udvikling af sikre produktfunktioner, fremskaffelse af nødvendige beviser og forberedelse til overensstemmelsesvurderinger. Kommunikation af sikkerhedsrelevant information til kunder og distributører er også en del af kravkatalogen og af implementeringskonsulentvirksomheden.
Hvis du vil vide, hvilken konkret indvirkning maskinforordningen har på dine produkter, og hvordan de designes sikkert og i overensstemmelse, vil vi ledsage dig med regulatorisk og teknisk ekspertise.