Producenci, dystrybutorzy i integratorzy będą mieli nowe obowiązki określające cyberbezpieczeństwo w przemyśle. Wejdą w życie 1 stycznia 2027 r. wraz z unijnym Rozporządzeniem w sprawie maszyn. Określa ono wymagania związane z ochroną przed uszkodzeniem lub wywołaniem szkód przez różny sprzęt. W tym są m.in. maszyny z wbudowanymi funkcjami ML i funkcje bezpieczeństwa wykorzystujące uczenie maszynowe.

Regulacje są odpowiedzią na rozwój Przemysłu 4.0, wykorzystanie AI i integrację OT/IT. Wprowadzają systemowe traktowanie cyberbezpieczeństwa na każdym etapie funkcjonowania maszyny w środowisku przemysłowym.

Cyberbezpieczeństwo w przemyśle zadaniem dla vendorów i dystrybutorów

Będzie wymagane m.in. wdrożenie nowych zasad i procedur ochrony cyfrowej już na etapie projektowania, a także podczas eksploatacji i modernizacji maszyn.

Dostawcy produktów mają uwzględniać wymogi cyberbezpieczeństwa w projekcie jak i całym cyklu życia maszyny. Mają zapewnić m.in. możliwość bezpiecznego zarządzania aktualizacjami. Inny obowiązek to również zabezpieczenie przed nieautoryzowaną modyfikacją oprogramowania maszyn.

Co istotne, po integracji z nowym środowiskiem IT, a nawet aktualizacji firmware’u, trzeba będzie przeprowadzać ponowną ocenę zgodności. Przy czym to poszczególne państwa UE będą notyfikować jednostki oceniające zgodność z wymaganiami cyberbezpieczeństwa.

Importerzy mają wprowadzać do obrotu tylko maszyny zgodne z nowymi przepisami (powinni zadbać o to, by vendor przeprowadził procedury zgodności). Taką ofertę muszą też zapewnić dystrybutorzy. W razie przypuszczenia niezgodności, powinni podjąć działania naprawcze.

Rozporządzenie stwierdza też, że dystrybutorzy i importerzy mają być zaangażowani w zadania związane z nadzorem rynku, realizowanym przez organy krajowe. Powinni też być przygotowani do wykonywania takich obowiązków.

„Regulacja ta stanowi kluczowy element w szerszej strategii UE dotyczącej odporności cyfrowej i bezpieczeństwa łańcuchów dostaw. Wraz z Ustawą o cyberodporności (Cyber Resilience Act) zapewnia spójne podejście do zarządzania ryzykiem w produktach cyfrowych – od fazy projektowania, przez eksploatację, po późniejsze aktualizacje” – wyjaśnia Robert Dąbrowski, szef zespołu inżynierów Fortinetu w Polsce.

Szczegóły nadchodzących przepisów zawiera Rozporządzenie 2023/1230 w sprawie maszyn.

Cyberbezpieczeństwo w przemyśle zyskuje na znaczeniu, ponieważ ataki na systemy przemysłowe nasilają się. Z raportu Fortinetu State of OT Cybersecurity 2024 wynika, że 73 proc. firm przemysłowych doświadczyło cyberincydentu. To wyraźnie więcej niż w 2023 r. (49 proc.).
Wzrosła również liczba firm – ofiar naruszeń w ub.r. W 2024 r. z problemem tym mierzyło się 31 proc. przedsiębiorstw. To niemal trzykrotnie więcej niż w roku 2023.