CRA och maskinförordningen ställer nya krav på maskintillverkare. Detta förklarar hur man implementerar dessa krav på ett strukturerat och effektivt sätt.
Cyber Resilience Act (CRA)
Cyber Resilience Act (CRA) är en europeisk förordning som definierar grundläggande cybersäkerhetskrav för produkter med digitala element. Dess mål är att säkerställa att hårdvara och mjukvara som placeras på EU-marknaden kan drivas säkert under hela sin livscykel.
Viktiga element i CRA inkluderar:
- Enhetliga säkerhetskrav för alla produkter med digitala element.
- Obligatoriska säkerhetsuppdateringar och sårbarhetshantering.
- Ett riskbaserat tillvägagångssätt för produktsäkerhet - från design till avveckling.
- Högre konformitetskrav för vissa produktkategorier.
CRA tar ett horisontellt tillvägagångssätt: det gäller för alla produkter med digitala element oavsett deras avsedda användning och kräver att tillverkare överväger säkerhetsåtgärder redan under utvecklingsprocessen.
Harmoniserade standarder utvecklas för närvarande för att hjälpa till att uppfylla kraven. Tills de publiceras kan etablerade standarder som IEC 62443-4-1 (säker utvecklingsprocess) och EN 18031 (tekniska krav för radioutrustning) tjäna som praktiska referensramverk.
Maskinförordningen ersätter den tidigare Maskindirektivet och utvidgar grundläggande säkerhetskrav till att inkludera aspekter av cybersäkerhet. Tillverkare kommer nu också att behöva specifikt adressera risker från digital manipulation.
Viktiga uppdateringar i maskinförordningen inkluderar:
- Cybersäkerhet som en del av de väsentliga säkerhetskraven.
- Skydd mot avsiktlig och oavsiktlig manipulation av styrsystem (bilaga III, avsnitt 1.1.9).
- Krav på tillförlitlighet för styrsystem (bilaga III, avsnitt 1.2.1).
- Dokumentationsskyldigheter för att säkerställa spårbarhet av säkerhetsåtgärder.
En teknisk standard, EN 50742 ("Säkerhet för maskiner - Elektroteknisk aspekt - Skydd mot korruption"), utvecklas för närvarande. Den specificerar kraven från bilaga III och adresserar åtgärder mot oönskad störning - både tekniska och organisatoriska - över hela livscykeln.
Likheter och skillnader mellan CRA och maskinförordningen
Både CRA och maskinförordningen syftar till att etablera en hög säkerhetsnivå för anslutna enheter och maskiner. De kräver båda säkerhetsåtgärder under hela produktlivscykeln och betonar dokumentation och påvisbarhet.
CRA reglerar säkerheten för alla produkter med digitala element oavsett syfte. Maskinförordningen, däremot, fokuserar specifikt på säkerhetskrav för maskiner och deras styrsystem. Medan CRA därför har en bred omfattning, går maskinförordningen mer på djupet och adresserar branschspecifika risker.
För maskiner som innehåller digitala element och faller under båda förordningarna kan tillverkare utnyttja synergier. CRA:s krav på sårbarhetshantering och säkerhetsuppdateringar stödjer efterlevnad av maskinförordningen, särskilt inom områden som manipulationsskydd och tillförlitliga styrsystem.
Standarder för implementering - IEC 62443, EN 18031 och EN 50742
För att praktiskt implementera kraven i Cyber Resilience Act (CRA) och maskinförordningen står flera standarder och tekniska specifikationer för närvarande i fokus - även om inga CRA-harmoniserade standarder har publicerats ännu.
IEC 62443-serien är en internationellt etablerad uppsättning standarder för industriell automation och styrsystem. Särskilt IEC 62443-4-1 (krav för säkra utvecklingsprocesser) och IEC 62443-4-2 (tekniska krav för komponenter) betraktas av experter och standardiseringsorgan som centrala referenser för många CRA-krav. De utgör också en grund för att utveckla framtida harmoniserade standarder under CRA.
EN 18031 utvecklades i sammanhanget av den delegerade förordningen för Radio Equipment Directive (RED) och innehåller konkreta cybersäkerhetskrav för anslutna produkter. Även om den inte uttryckligen siktar på CRA gör dess struktur och detaljnivå den redan till en praktisk referens, särskilt för enheter med radio- eller nätverksgränssnitt.
För maskinförordningen utvecklas EN 50742. Den adresserar specifikt kraven från bilaga III av förordningen, särskilt angående manipulationsskydd och integritet hos styrsystem. När den är färdig kommer den sannolikt att listas som en harmoniserad standard för maskinförordningen.
Praktiska konsekvenser för tillverkare
Tillverkare av maskiner med digitala komponenter måste överväga både Cyber Resilience Act och maskinförordningen. Cybersäkerhet kommer att bli en integrerad del av produktutveckling, riskhantering och teknisk dokumentation.
I praktiken betyder detta att säkerhetskrav som sårbarhetshantering, säkerhetsuppdateringar och manipulationsskydd måste planeras tidigt och implementeras under hela livscykeln. Samtidigt kommer kraven på bevis och konformitetsbedömning att öka.
Standarder som IEC 62443, EN 18031 och, i framtiden, EN 50742 hjälper till att implementera dessa krav systematiskt och att utnyttja synergier mellan de två rättsakterna.
Slutsats - ett holistiskt tillvägagångssätt är väsentligt
Cyber Resilience Act och maskinförordningen gör det tydligt att cybersäkerhet inte kan betraktas isolerat. Säkerhetskrav måste inbäddas i utveckling från början, upprätthållas under hela produktlivscykeln och grundligt dokumenteras.
Att tillämpa etablerade standarder som IEC 62443, EN 18031 och den kommande EN 50742 kommer att vara avgörande för att uppfylla regulatoriska krav effektivt samtidigt som säkerheten för maskiner och styrsystem förbättras hållbart.
Stöd med implementering
Cyber Resilience Act och maskinförordningen definierar cybersäkerhetskrav för produkter och maskiner. Att implementera dem kan vara resurskrävande för många tillverkare, oavsett om det gäller teknisk härdning, interna processanpassningar eller bevis som tillhandahålls till myndigheter och testorgan.
Secuvi stödjer företag i att klassificera regulatoriska krav på ett tydligt sätt och implementera dem systematiskt. Oavsett om du behöver initial orientering, konkreta implementeringssteg eller förberedelse för en konformitetsbedömning - vi hjälper till att hitta praktiska lösningar som uppfyller kraven och integreras med befintliga utvecklingsprocesser.
Mer på: secuvi.com