Szybko postępująca cyfrowa transformacja, automatyzacja, integracja środowisk IT i OT oraz Przemysł 4.0 na nowo definiują krajobraz branży przemysłowej, przynosząc nowe wyzwania i możliwości. Odpowiedzią na ten fakt jest m.in. przygotowane przez Komisję Europejską Rozporządzenie 2023/1230 w sprawie maszyn. Firmy działające na terenie UE muszą dołożyć starań, aby sprostać nowym, wynikającym z tego dokumentu standardom przed 1 stycznia 2027 roku.
W czerwcu 2023 r. Parlament Europejski i Rada UE przyjęły Rozporządzenie 2023/1230 w sprawie maszyn. Zastępuje ono ustanowioną w 2006 roku Dyrektywę 2006/42/WE. Podczas gdy starszy akt wymagał wdrożenia do prawa krajowego, rozporządzenie z 2024 będzie obowiązywać bezpośrednio we wszystkich państwach członkowskich Unii w swojej oryginalnej formie, w tym samym terminie.
Nowe ramy prawne – dlaczego Rozporządzenie 2023/1230 to punkt zwrotny?
Nowe przepisy mają na celu dostosowanie europejskich regulacji do rzeczywistości cyfrowej ery przemysłowej. Uwzględniają takie zjawiska, jak rosnąca liczba maszyn połączonych z internetem, wykorzystywanie sztucznej inteligencji czy integracja środowisk OT (technologii operacyjnych) z systemami IT. Po raz pierwszy też na poziomie prawa unijnego pojawiły się jednoznaczne wymagania odnośnie do cyberbezpieczeństwa maszyn i systemów przemysłowych.
Przemysł jako atrakcyjny cel dla cyberprzestępców
Z opublikowanego przez Fortinet raportu State of OT Cybersecurity 2024 wynika, że aż 73 proc. firm przemysłowych doświadczyło cyfrowego incydentu. To wyraźnie więcej w porównaniu z poprzednimi latami (jeszcze w 2023 roku odsetek ten wynosił 49 proc.). Wzrosła również liczba firm, które na przestrzeni 12 miesięcy stały się ofiarami więcej niż sześciu przypadków naruszeń bezpieczeństwa. W 2024 roku z problemem tym mierzyło się 31 proc. przedsiębiorstw – niemal trzykrotnie więcej niż w roku 2023.
Skutki incydentów bezpieczeństwa bywają bardzo dotkliwe. Ponad połowa podmiotów odnotowała z ich powodu spadek produktywności, utratę danych o znaczeniu krytycznym oraz naruszenie zgodności z przepisami. Coraz częściej zagrożona jest także reputacja marki – w 2024 roku aż 52 proc. respondentów zauważyło jej degradację na skutek ataku.
Nowe obowiązki dla firm
Rozporządzenie 2023/1230 to pierwszy unijny akt prawny, który wprost nakłada obowiązki z zakresu cyberbezpieczeństwa na producentów maszyn, ich integratorów oraz użytkowników. W praktyce oznacza to konieczność wdrożenia szeregu nowych zasad i procedur już na etapie projektowania, a także podczas eksploatacji i modernizacji maszyn.
Wśród kluczowych obszarów, na które firmy powinny zwrócić szczególną uwagę, znajdują się:
- Uwzględnienie cyfrowych zagrożeń w ocenie ryzyka – obok tradycyjnych zagrożeń mechanicznych czy elektrycznych, konieczne staje się uwzględnianie cyfrowego ryzyka.
- Projektowanie z myślą o cyberbezpieczeństwie – wskazane jest ograniczenie powierzchni ataku i zapewnienie możliwości bezpiecznego zarządzania aktualizacjami.
- Zabezpieczenia przed nieautoryzowaną modyfikacją oprogramowania – rozporządzenie sugeruje potrzebę kontrolowania integralności systemów maszynowych.
- Ponowna ocena zgodności po „istotnych modyfikacjach” – także tych o charakterze cyfrowym, np. po aktualizacjach firmware’u czy integracjach z nowym środowiskiem IT.
- Ciągłość podejścia do bezpieczeństwa – cyberbezpieczeństwo powinno być uwzględniane przez cały cykl życia maszyny.
Nowe przepisy przesuwają punkt ciężkości z reaktywnego podejścia na prewencyjne, wymagając systemowego traktowania cyberbezpieczeństwa na każdym etapie funkcjonowania maszyny w środowisku przemysłowym.
