Cyberbezpieczeństwo maszyn przemysłowych staje się jednym z najważniejszych wyzwań dla producentów działających na rynku europejskim. Dwa akty prawne UE, czyli dyrektywa NIS 2 oraz Cyber Resilience Act (CRA), wprowadzają nowe wymagania, zmieniające podejście do projektowania, produkcji i utrzymania maszyn. Nowe regulacje wpisują się w szerszy kontekst zmian prawnych dotyczących bezpieczeństwa maszyn. Warto pamiętać, że od 20 stycznia 2027 roku zacznie obowiązywać również Rozporządzenie (UE) 2023/1230, które po raz pierwszy wprowadza wymagania cyberbezpieczeństwa jako elementu oceny zgodności maszyn. Producenci muszą zatem przygotować się do spełnienia wymogów kilku powiązanych ze sobą aktów prawnych jednocześnie.

Dyrektywa NIS 2 dla producentów maszyn – zakres i obowiązki

Na mocy dyrektywy NIS 2 państwa członkowskie Unii Europejskiej zobowiązane są do opracowania krajowych strategii cyberbezpieczeństwa oraz do współpracy transgranicznej w zakresie reagowania na incydenty i egzekwowania przepisów. Dokument ten tworzy jednocześnie wspólne dla całej Unii Europejskiej ramy prawne obejmujące ochronę 18 sektorów krytycznych.

Kogo dotyczy NIS 2? Dyrektywa uwzględnia średnie i duże przedsiębiorstwa (powyżej 50 pracowników lub obrót przekraczający 10 mln EURO) z różnych sektorów, m.in. energetyki, transportu, ochrony zdrowia, infrastruktury cyfrowej, a także produkcji maszyn.

Cyber Resilience Act – nowe wymagania dla produktów z elementami cyfrowymi

Cyber Resilience Act (CRA) to strategia ochrony produktów cyfrowych przed zagrożeniami w cyberprzestrzeni. Przepisy określają wymagania, jakie musi spełniać sprzęt i oprogramowanie, które można podłączyć do sieci lub innych urządzeń. CRA wymaga projektowania zgodnie z zasadą „security by design”, dostarczania aktualizacji bezpieczeństwa oraz raportowania wykrytych podatności. 

Kogo dotyczy CRA? Przede wszystkim producentów, importerów i dystrybutorów wprowadzających produkty cyfrowe na rynek UE – od prostych urządzeń IoT, przez sterowniki PLC i systemy automatyki, po złożone maszyny przemysłowe.

Cyberbezpieczeństwo OT – specyfika środowisk przemysłowych

Cyberbezpieczeństwo OT (Operational Technology) wymaga odmiennego podejścia niż zabezpieczanie systemów IT. W środowiskach przemysłowych priorytetem jest dostępność i ciągłość procesu produkcyjnego, podczas gdy w IT na pierwszym miejscu stawia się poufność danych. Ta różnica ma duże znaczenie przy projektowaniu zabezpieczeń maszyn.

Systemy OT charakteryzują się długim cyklem działania. Aktualizacje oprogramowania są rzadkie i wymagają planowanych przestojów produkcji. Protokoły komunikacyjne stosowane w przemyśle projektuje się z myślą o długotrwałym funkcjonowaniu, a niekoniecznie o bezpieczeństwie cyfrowym – często brakuje w nich wbudowanego szyfrowania i uwierzytelniania.

Konsekwencje ataków na systemy OT mogą być poważne: uszkodzenia fizyczne maszyn, zagrożenie zdrowia i życia pracowników, a nawet katastrofy środowiskowe. Z tego powodu nowe regulacje kładą nacisk na ochronę elementów krytycznych dla bezpieczeństwa oraz rejestrowanie wszystkich ingerencji w oprogramowanie sterujące.

Zabezpieczenia PLC w kontekście nowych regulacji

Zabezpieczenia PLC (Programmable Logic Controllers) to centralny element ochrony systemów automatyki przemysłowej. Sterowniki programowalne odpowiadają za sterowanie procesami produkcyjnymi, dlatego ich ochrona ma bezpośredni wpływ na bezpieczeństwo całej maszyny.

Ochrona sterowników PLC wymaga kilku praktycznych działań: dzielenia kodu na mniejsze, niezależne moduły, sprawdzania poprawności wszystkich danych wejściowych (w tym, czy mieszczą się w dopuszczalnych zakresach), śledzenia czasów cyklu w celu wykrywania nieprawidłowości, a także stosowania programowych mechanizmów nadzorczych, czyli procesów automatycznie reagujących na zawieszenie systemu.

Z kolei sieć przemysłowa powinna być zorganizowana według zasady stref i kanałów. Oznacza to podział zasobów na logiczne grupy o zbliżonych wymaganiach bezpieczeństwa, przy czym komunikacja między poszczególnymi strefami odbywa się wyłącznie przez ściśle określone i kontrolowane punkty styku.

Jak przygotować się do nowych wymagań cyberbezpieczeństwa?

Wdrożenie wymagań NIS 2 i Cyber Resilience Act wymaga podejścia systematycznego i odpowiedniego przeszkolenia personelu. Trenerzy Akademii Elokon podkreślają, że przygotowania warto rozpocząć już teraz, gdyż proces obejmuje analizę portfolio produktów, aktualizację dokumentacji technicznej oraz wdrożenie nowych procedur.

Na początku należy przeprowadzić inwentaryzację produktów z elementami cyfrowymi i określić ich klasyfikację według załączników CRA. Następnie konieczna jest analiza luki między obecnym stanem a wymaganiami regulacyjnymi. Producenci powinni wdrożyć procesy zarządzania podatnościami, przygotować procedury raportowania incydentów oraz ustanowić system generowania SBOM (Software Bill of Materials) – wykazu składników oprogramowania wymaganego przez CRA.

Dokumentacja techniczna musi zawierać ocenę ryzyka cyberbezpieczeństwa, opis procesu obsługi podatności oraz opis rozwiązań przyjętych w celu spełnienia wymagań zasadniczych określonych w Załączniku I CRA. Od 11 grudnia 2027 roku producenci będą zobowiązani do sporządzenia deklaracji zgodności UE potwierdzającej spełnienie tych wymagań oraz oznakowania produktu znakiem CE.