Cybersäkerhet blir obligatorisk inom maskinteknik. Upptäck de specifika kraven i den nya EU-förordningen och hur du implementerar dem.
Betydelsen av cybersäkerhet för maskiner
I en allt mer nätverksansluten industri är maskiner och system oftare anslutna till internet och till varandra. Även om detta möjliggör mer effektiva processer och fjärrunderhåll, gör det också systemen sårbara för cyberattacker. En framgångsrik attack kunde inte bara orsaka produktionsstopp utan i värsta fall också skapa säkerhetsrisker för arbetare eller miljön.
Cybersäkerhetskrav
Den nya maskinförordningen fastställer specifika cybersäkerhetskrav för maskiner och relaterade produkter. Dessa krav, som finns i bilaga III, avsnitt 1.1.9, syftar till att säkerställa maskinernas integritet och säkerhet i en allt mer ansluten tillverkningsmiljö.
För tillverkare och operatörer inom maskinsektorn uppstår följande konkreta skyldigheter:
Säker anslutning
Maskinen eller den relaterade produkten måste vara designad och konstruerad så att anslutning av en annan enhet till maskinen eller den relaterade produkten genom någon funktion hos den anslutna enheten själv, eller genom en fjärråtkomstenhet som kommunicerar med maskinen eller den relaterade produkten, inte leder till en farlig situation.
Maskiner måste designas så att anslutning av externa enheter eller tillåtelse av fjärråtkomst inte skapar en fara.
Till exempel kunde en maskin utrustas med en integrerad brandvägg och säkra autentiseringsmekanismer för varje gränssnitt för att förhindra obehörig eller potentiellt farlig åtkomst.
Skydd av kritisk hårdvara
En hårdvarukomponent som överför signaler eller data relevanta för anslutning eller åtkomst till programvara som är kritisk för överensstämmelsen hos en maskin eller en relaterad produkt med tillämpliga hälso- och säkerhetskrav måste designas för att vara tillräckligt skyddad mot oavsiktlig eller avsiktlig korruption. Maskiner eller relaterade produkter ska samla bevis på laglig eller olaglig inblandning i den hårdvarukomponenten i den mån det är relevant för anslutning eller åtkomst till programvara som är kritisk för överensstämmelsen hos maskiner eller relaterade produkter.
Hårdvarukomponenter som ansvarar för säkerhetsrelevanta signaler eller data måste vara tillräckligt skyddade mot oavsiktlig eller avsiktlig korruption. Maskinen måste kunna samla bevis på manipulering av dessa komponenter.
I praktiken kunde detta innebära att kontrollenheten placeras i ett låst hölje och säkerställa att den endast kör kryptografiskt signerad kod eller kommandon.
Skydd av kritisk programvara och data
Programvara och data som är kritiska för överensstämmelsen hos maskinen eller den relaterade produkten med tillämpliga hälso- och säkerhetskrav ska identifieras som sådana och tillräckligt skyddas mot oavsiktlig eller avsiktlig korruption.
Säkerhetskritisk programvara och data måste identifieras och tillräckligt skyddas mot korruption eller manipulation.
I en automatiserad produktionslinje kunde detta implementeras genom att använda krypterad, digitalt signerad kontrollprogramvara som körs från ett skyddat lagringsområde.
Identifiering av säkerhetskritisk programvara
Maskinen eller den relaterade produkten måste identifiera den installerade programvara som krävs för säker drift och kunna tillhandahålla denna information när som helst i en lättillgänglig form.
Maskinen måste identifiera den installerade programvara som krävs för säker drift och göra denna information lättillgänglig hela tiden.
Till exempel kunde en maskinpanel visa versionsnumret och kontrollsumma-hash för sin säkerhetskritiska firmware vid start och på begäran i operatörsmenyn. Detta gör det möjligt för operatörer att snabbt verifiera programvarans integritet.
Registrering av ändringar
Maskiner eller relaterade produkter ska samla bevis på laglig eller olaglig inblandning i programvaran eller av en förändring i programvaran installerad i maskinerna eller relaterade produkter eller i deras konfiguration.
Maskinen måste kunna samla bevis på laglig eller olaglig inblandning i den installerade programvaran eller dess konfiguration.
En möjlig implementering är en kryptografiskt skyddad ändringslogg som registrerar alla uppdateringar, konfigurationsändringar och åtkomstförsök.
Dessa krav syftar till att säkerställa maskinernas och relaterade produkters integritet och säkerhet genom att skydda dem från obehörig inblandning och manipulation. De understryker behovet av att skydda både hårdvara och programvara från korruption och göra ändringar spårbara.
De fullständiga kraven finns i förordning (EU) 2023/1230 av Europaparlamentet och rådet av den 14 juni 2023 om maskinprodukter. Den exakta ordalydelsen av cybersäkerhetskraven finns i bilaga III, avsnitt 1.1.9 i förordningen.
Många av bestämmelserna i bilaga III lämnar utrymme för tolkning, särskilt vid gränssnittet mellan säkerhet, security och befintlig praxis. Om du vill klargöra hur dessa krav specifikt gäller för dina maskiner kan en kort orienteringsdiskussion vara användbar.
Förhållande till Cybersecurity Act
Den nya maskinförordningen tar också hänsyn till interaktionen med befintliga EU cybersäkerhetsregler. I synnerhet hänvisar den till Cybersecurity Act (förordning (EU) 2019/881). Maskinförordningen föreskriver att maskiner och relaterade produkter som har certifierats under ett erkänt schema från Cybersecurity Act eller för vilka en motsvarande överensstämmelsedeklaration existerar ska anses överensstämma med vissa krav i maskinförordningen.
Specifikt gäller detta kraven för skydd mot korruption (bilaga III, avsnitt 1.1.9) och säkerhet och tillförlitlighet hos kontrollsystem (bilaga III, avsnitt 1.2.1). Denna presumtion av överensstämmelse gäller i den mån de relevanta kraven täcks av cybersäkerhetscertifikatet eller överensstämmelsecertifikatet.
Detta arrangemang skapar synergier mellan de två förordningarna och undviker onödig dubbel certifiering. Det gör det lättare för tillverkare som redan har erhållit cybersäkerhetscertifieringar under Cybersecurity Act att uppfylla kraven i den nya maskinförordningen och främjar en sammanhängande ansats till cybersäkerhet över olika EU-regler.
Förhållande till Cyber Resilience Act
Den nya maskinförordningen är också nära kopplad till Cyber Resilience Act (CRA). För produkter som faller under både maskinförordningen och CRA måste tillverkare uppfylla kraven från båda ramverken. CRA erkänner att det kan finnas överlappningar i cybersäkerhetskrav.
Att uppfylla de väsentliga kraven i CRA kan underlätta överensstämmelse med vissa krav i maskinförordningen, särskilt angående skydd mot korruption (avsnitt 1.1.9) och säkerhet och tillförlitlighet hos kontrollsystem (avsnitt 1.2.1). Tillverkare måste dock demonstrera dessa synergier, till exempel genom att tillämpa harmoniserade standarder eller andra tekniska specifikationer baserade på en riskbedömning.
För att säkerställa sammanhang avser Europeiska kommissionen och europeiska standardiseringsorganisationer att främja konsekvens i riskbedömning och behandling för båda förordningarna när standarder förbereds. Kommissionen planerar också att tillhandahålla vägledning för tillverkare för att hjälpa till att uppfylla kraven från båda förordningarna.
Betydelsen av maskinförordningen
För maskintillverkare innebär dessa nya krav initialt ökad ansträngning. De måste anpassa sina utvecklingsprocesser och kan behöva bygga ytterligare expertis inom cybersäkerhet. I synnerhet måste de:
- genomföra riskanalyser som också överväger cybersäkerhetsaspekter
- integrera cybersäkerhet i produktdesign från början
- producera omfattande dokumentation av implementerade säkerhetsåtgärder
- utveckla mekanismer för regelbundna säkerhetsuppdateringar
- tillhandahålla utbildning och informationsmaterial för användare
På lång sikt erbjuder förordningen dock också möjligheter: den skapar harmoniserade standarder över hela EU och kan därmed stärka förtroendet för europeiska produkter. Företag som investerar i cybersäkerhet tidigt kan också få en konkurrensfördel.
För användare av maskiner innebär den nya förordningen en högre säkerhetsnivå. De kan förlita sig på att inköpta produkter uppfyller grundläggande cybersäkerhetsstandarder.
Viktiga datum och deadlines
Den nya maskinförordningen (EU) 2023/1230 antogs den 14 juni 2023, men olika delar träder i kraft vid olika tidpunkter.
Särskilt viktigt är 20 januari 2027 - till detta datum fortsätter det tidigare maskindirektivet 2006/42/EG att gälla parallellt. Produkter som släpps ut på marknaden före denna deadline kan fortfarande levereras med en överensstämmelsedeklaration enligt det gamla direktivet. Från 20 januari 2027 måste alla nyligen släppta produkter uppfylla kraven i den nya förordningen.
Tillverkare kan redan ta hänsyn till krav från den nya förordningen, såsom de om cybersäkerhet. Sedan juli 2024 har Europeiska kommissionen också tillåtit en kombinerad EG/EU-överensstämmelsedeklaration för att underlätta övergången.
Några delar av förordningen trädde i kraft tidigare, inklusive bestämmelser om överensstämmelsebedömningsorgan och befogenheter för EU-kommissionen att anta delegerade rättsakter (sedan 20 januari 2024 respektive sedan 20 juli 2024).
Företag bör bekanta sig med förändringarna tidigt för att säkerställa att de uppfyller alla krav efter övergångsperioden och kan fortsätta att släppa sina produkter på EU-marknaden.
Slutsats och utsikter för framtiden för cybersäkerhet inom maskinteknik
Den nya maskinförordningen markerar en vändpunkt i den anslutna industrin. För första gången etablerar den bindande cybersäkerhetskrav för maskiner och relaterade produkter, vilket avsevärt kommer att stärka säkerheten och integriteten i en allt mer nätverksansluten tillverkningsmiljö.
Det är värt att notera att att adressera cybersäkerhet tidigt är viktigt inte bara med avseende på maskinförordningen utan också Radio Equipment Directive (RED) och Cyber Resilience Act (CRA). Synergierna med dessa ramverk tillåter företag att konsolidera sina cybersäkerhetsinsatser och förbereda sig effektivt för regulatoriska krav.
Företag bör använda tiden innan förordningen träder fullt i kraft för att anpassa sina processer, bygga expertis och utveckla innovativa lösningar. Endast genom att göra så kan de fullt ut utnyttja möjligheterna med den nya förordningen och förbereda sig för framtida utmaningar.
Den nya maskinförordningen introducerar bindande cybersäkerhetskrav inom maskinteknik för första gången. Om du vill förstå hur starkt dina produkter påverkas och vilka nästa steg som är vettiga kan vi diskutera detta tillsammans i ett icke-bindande orienteringsmöte.