Cybersäkerhet blir obligatoriskt inom maskinteknik. Lär dig de konkreta kraven i den nya EU-förordningen och hur du implementerar dem.
Betydelse av cybersäkerhet för maskiner
I en allt mer nätverksansluten industri är maskiner och utrustning oftare anslutna till internet och till varandra. Även om detta möjliggör mer effektiva processer och fjärrunderhåll, gör det också system sårbara för cyberattacker. En framgångsrik attack kunde inte bara leda till produktionsstopp utan i värsta fall också utgöra säkerhetsrisker för arbetare eller miljön.
Krav för cybersäkerhet
Den nya maskinförordningen fastställer specifika cybersäkerhetskrav för maskiner och relaterade produkter. Dessa krav, föreskrivna i bilaga III, avsnitt 1.1.9, syftar till att säkerställa integritet och säkerhet för maskiner i en allt mer nätverksansluten tillverkningsmiljö.
För tillverkare och operatörer inom maskinsektorn uppstår följande konkreta skyldigheter:
Säker anslutning
> Maskinen eller den relaterade produkten ska designas och konstrueras så att anslutning av en annan enhet till maskinen eller den relaterade produkten genom någon funktion hos den anslutna enheten själv eller via en fjärråtkomstenhet som kommunicerar med maskinen eller den relaterade produkten inte leder till en farlig situation.
Maskiner måste designas så att anslutning av externa enheter eller möjliggörande av fjärråtkomst inte skapar en fara.
Till exempel kunde en maskin vara utrustad med en integrerad brandvägg och säkra autentiseringsmekanismer för varje gränssnitt för att förhindra obehörig eller potentiellt farlig åtkomst.
Skydd av kritisk hårdvara
> En hårdvarukomponent som överför signaler eller data relevanta för anslutningen till, eller åtkomst till, mjukvaran som är väsentlig för överensstämmelsen hos en maskin eller en relaterad produkt med tillämpliga hälso- och säkerhetskrav ska designas så att den är adekvat skyddad mot oavsiktlig eller avsiktlig korruption. Maskiner eller relaterade produkter ska samla bevis för laglig eller olaglig störning i nämnda hårdvarukomponent i den omfattning som är relevant för anslutningen till, eller åtkomst till, mjukvaran som är väsentlig för överensstämmelsen hos maskinerna eller de relaterade produkterna.
Hårdvarukomponenter ansvariga för säkerhetsrelevanta signaler eller data måste vara adekvat skyddade mot oavsiktlig eller avsiktlig korruption. Maskinen måste kunna demonstrera störning med dessa komponenter.
I praktiken kunde detta betyda att styrenheten är inhyst i en låst inneslutning och endast utför kryptografiskt signerad kod eller kommandon.
Skydd av kritisk mjukvara och data
> Mjukvara och data som är väsentliga för överensstämmelsen hos maskinen eller den relaterade produkten med tillämpliga hälso- och säkerhetskrav ska identifieras som sådana och adekvat skyddas mot oavsiktlig eller avsiktlig korruption.
Säkerhetsrelevant mjukvara och data måste identifieras som sådana och adekvat skyddas mot korruption eller manipulation.
I en automatiserad produktionslinje kunde detta implementeras genom att använda krypterad, digitalt signerad styrmjukvara som utförs i ett skyddat minnesområde.
Identifiering av säkerhetsrelevant mjukvara
> Maskinen eller den relaterade produkten ska identifiera den installerade mjukvaran som är nödvändig för säker drift och kunna göra den informationen tillgänglig när som helst i en lätt åtkomlig form.
Maskinen måste identifiera den installerade mjukvaran som krävs för säker drift och kunna tillhandahålla den informationen när som helst i en lätt åtkomlig form.
Till exempel kunde en maskinpanel visa versionsnumret och checksum-hash för sin säkerhetskritiska firmware vid varje uppstart och på begäran i operatörmenyn. Detta tillåter operatörer att snabbt verifiera mjukvaruintegritet.
Registrering av ändringar
> Maskiner eller relaterade produkter ska samla bevis för laglig eller olaglig störning med mjukvaran eller av en ändring till mjukvaran installerad i maskiner eller relaterade produkter eller till dess konfiguration.
Maskinen måste kunna samla bevis för laglig eller olaglig störning med installerad mjukvara eller dess konfiguration.
En maskin kunde till exempel upprätthålla en kryptografiskt säkrad ändringslogg som registrerar alla uppdateringar, konfigurationsändringar och åtkomstförsök.
Dessa krav är designade för att säkerställa integritet och säkerhet för maskiner och relaterade produkter genom att skydda dem mot obehörig störning och manipulation. De betonar behovet av att skydda både hårdvara och mjukvara från korruption och att göra ändringar spårbara.
De fullständiga kraven anges i förordning (EU) 2023/1230 från Europaparlamentet och rådet av den 14 juni 2023 om maskinprodukter. Den exakta formuleringen av cybersäkerhetskraven kan hittas i bilaga III, avsnitt 1.1.9 i förordningen.
Förhållande med Cybersecurity Act
Den nya maskinförordningen betraktar också samspelet med befintliga EU cybersäkerhetsregler. I synnerhet etablerar den en länk till Cybersecurity Act (Förordning (EU) 2019/881). Maskinförordningen föreskriver att maskiner och relaterade produkter som har certifierats under ett erkänt schema från Cybersecurity Act eller för vilka en motsvarande försäkran om överensstämmelse existerar ska presumeras vara i överensstämmelse med vissa krav i maskinförordningen.
Specifikt avser detta kraven för skydd mot korruption (bilaga III, avsnitt 1.1.9) och till säkerhet och tillförlitlighet för styrsystem (bilaga III, avsnitt 1.2.1). Denna presumtion av överensstämmelse gäller i den omfattning som de respektive kraven täcks av cybersäkerhetscertifikatet eller överensstämmelsecertifikatet.
Detta arrangemang skapar synergier mellan de två förordningarna och undviker onödig dubbel certifiering. Det gör det lättare för tillverkare som redan har genomfört cybersäkerhetscertifieringar under Cybersecurity Act att möta kraven i den nya maskinförordningen, medan det främjar ett koherent tillvägagångssätt till cybersäkerhet över olika EU-regler.
Förhållande med Cyber Resilience Act
Den nya maskinförordningen är också nära kopplad till Cyber Resilience Act (CRA). För produkter som faller under både maskinförordningen och CRA måste tillverkare möta kraven från båda ramverken. CRA erkänner att det kan finnas överlappningar i cybersäkerhetskrav.
Att följa de väsentliga kraven i CRA kan underlätta att möta vissa krav i maskinförordningen, särskilt avseende skydd mot korruption (avsnitt 1.1.9) och säkerhet och tillförlitlighet för styrsystem (avsnitt 1.2.1). Tillverkare måste dock demonstrera dessa synergier, till exempel genom att tillämpa harmoniserade standarder eller andra tekniska specifikationer baserade på en riskbedömning.
För att säkerställa koherens avser Europeiska kommissionen och de europeiska standardiseringsorganisationerna att främja konsistens i riskbedömning och riskbehandling för båda förordningarna när de förbereder standarder. Dessutom planerar kommissionen att tillhandahålla vägledning för tillverkare för att underlätta efterlevnad av kraven i båda förordningarna.
Betydelse av maskinförordningen
För maskintillverkare betyder dessa nya krav initialt ökad ansträngning. De måste anpassa sina utvecklingsprocesser och kan behöva bygga ytterligare expertis inom cybersäkerhet. I synnerhet måste de:
- genomföra riskanalyser som också betraktar cybersäkerhetsaspekter
- integrera cybersäkerhet i designen av sina produkter från början
- skapa omfattande dokumentation av de implementerade säkerhetsåtgärderna
- utveckla mekanismer för regelbundna säkerhetsuppdateringar
- tillhandahålla utbildning och informationsmaterial för användare
På lång sikt erbjuder dock förordningen också möjligheter: den skapar enhetliga standarder inom EU och kan således stärka förtroendet för europeiska produkter. Företag som investerar tidigt i cybersäkerhet kan också få en konkurrensfördel.
För användare av maskiner betyder den nya förordningen en högre säkerhetsnivå. De kan lita på att produkterna de köper möter grundläggande cybersäkerhetsstandarder.
Nyckeldatum och deadlines
Den nya maskinförordningen (EU) 2023/1230 antogs den 14 juni 2023, men olika delar träder i kraft vid olika tidpunkter.
Av särskild betydelse är 20 januari 2027 - fram till det datumet fortsätter det tidigare maskindirektivet 2006/42/EG att gälla parallellt. Produkter som släpps på marknaden före denna slutdatum får fortfarande levereras med en försäkran om överensstämmelse under det gamla direktivet. Från 20 januari 2027 måste alla nyligen släppta produkter följa kraven i den nya förordningen.
Tillverkare kan redan ta hänsyn till krav från den nya förordningen, som de om cybersäkerhet. Dessutom har Europeiska kommissionen sedan juli 2024 möjliggjort en kombinerad EC/EU-försäkran om överensstämmelse för att underlätta övergången.
Några delar av förordningen trädde i kraft tidigare, inklusive regler om Konformitätsbewertungsstellen (sedan 20 januari 2024) och befogenheter för Europeiska kommissionen att anta delegerade akter (sedan 20 juli 2024).
Företag bör bekanta sig med förändringarna tidigt så att de kan möta alla krav efter övergångsperioden och fortsätta att släppa sina produkter på EU-marknaden.
Slutsats och utsikter Cybersäkerhetens framtid inom maskinteknik
Den nya maskinförordningen markerar en vändpunkt i den nätverksanslutna industrin. Den etablerar för första gången bindande cybersäkerhetskrav för maskiner och relaterade produkter, vilket kommer att avsevärt stärka säkerhet och integritet i en allt mer nätverksansluten tillverkningsmiljö.
Det är värt att betona att tidigt engagemang med cybersäkerhet är viktigt inte bara med avseende på maskinförordningen utan också till Radio Equipment Directive (RED) och Cyber Resilience Act (CRA). Synergierna med dessa ramverk tillåter företag att samla sina cybersäkerhetsansträngningar och förbereda sig effektivt för regulatoriska krav.
Företag bör använda tiden fram till att förordningen träder fullt i kraft för att anpassa sina processer, bygga expertis och utveckla innovativa lösningar. Endast på detta sätt kan de fullt utnyttja möjligheterna med den nya förordningen och förbereda sig för framtidens utmaningar.
Stöd för implementering
För första gången introducerar den nya maskinförordningen bindande krav för cybersäkerheten hos säkerhetsrelaterade kontroller. För tillverkare betyder detta: cybersäkerhet blir en integrerad del av CE-märkning och är inte längre bara en valfri kvalitetsegenskap.
Secuvi stödjer företag i att implementera dessa krav i tid och strukturerat. Detta inkluderar att integrera cybersäkerhetsaspekter i riskbedömning, utveckla säkra produktfunktioner, producera nödvändiga bevis och förbereda för överensstämmelsesbedömningar. Att kommunicera säkerhetsrelevant information till kunder och distributörer är också en del av kravkatalogen och av implementeringsrådgivningen.
Om du vill veta vilken konkret påverkan maskinförordningen har på dina produkter och hur du designar dem säkert och i överensstämmelse kommer vi att följa dig med regulatorisk och teknisk expertis.