Szybko postępująca cyfrowa transformacja, automatyzacja, integracja środowisk IT i OT oraz Przemysł 4.0 na nowo definiują krajobraz branży przemysłowej, przynosząc nowe wyzwania i możliwości. Odpowiedzią na ten fakt jest m.in. przygotowane przez Komisję Europejską Rozporządzenie 2023/1230 w sprawie maszyn. Firmy działające na terenie UE muszą dołożyć starań, aby sprostać nowym, wynikającym z tego dokumentu standardom przed 1 stycznia 2027 roku.
W czerwcu 2023 r. Parlament Europejski i Rada UE przyjęły Rozporządzenie 2023/1230 w sprawie maszyn. Zastępuje ono ustanowioną w 2006 roku Dyrektywę 2006/42/WE. Podczas gdy starszy akt wymagał wdrożenia do prawa krajowego, rozporządzenie z 2024 będzie obowiązywać bezpośrednio we wszystkich państwach członkowskich Unii w swojej oryginalnej formie, w tym samym terminie.
Nowe ramy prawne – dlaczego Rozporządzenie 2023/1230 to punkt zwrotny?
Nowe przepisy mają na celu dostosowanie europejskich regulacji do rzeczywistości cyfrowej ery przemysłowej. Uwzględniają takie zjawiska, jak rosnąca liczba maszyn połączonych z internetem, wykorzystywanie sztucznej inteligencji czy integracja środowisk OT (technologii operacyjnych) z systemami IT. Po raz pierwszy też na poziomie prawa unijnego pojawiły się jednoznaczne wymagania odnośnie do cyberbezpieczeństwa maszyn i systemów przemysłowych.
– Regulacja ta stanowi kluczowy element w szerszej strategii UE dotyczącej odporności cyfrowej i bezpieczeństwa łańcuchów dostaw. Wraz z Ustawą o cyberodporności (Cyber Resilience Act) zapewnia spójne podejście do zarządzania ryzykiem w produktach cyfrowych – od fazy projektowania, przez eksploatację, po późniejsze aktualizacje – wyjaśnia Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.
Przemysł jako atrakcyjny cel dla cyberprzestępców
Z opublikowanego przez Fortinet raportu State of OT Cybersecurity 2024 wynika, że aż 73 proc. firm przemysłowych doświadczyło cyfrowego incydentu. To wyraźnie więcej w porównaniu z poprzednimi latami (jeszcze w 2023 roku odsetek ten wynosił 49 proc.). Wzrosła również liczba firm, które na przestrzeni 12 miesięcy stały się ofiarami więcej niż sześciu przypadków naruszeń bezpieczeństwa. W 2024 roku z problemem tym mierzyło się 31 proc. przedsiębiorstw – niemal trzykrotnie więcej niż w roku 2023.
Skutki incydentów bezpieczeństwa bywają bardzo dotkliwe. Ponad połowa podmiotów odnotowała z ich powodu spadek produktywności, utratę danych o znaczeniu krytycznym oraz naruszenie zgodności z przepisami. Coraz częściej zagrożona jest także reputacja marki – w 2024 roku aż 52 proc. respondentów zauważyło jej degradację na skutek ataku.
– Systemy OT, które kiedyś działały w izolacji, dziś są coraz mocniej zintegrowane z resztą infrastruktury cyfrowej przedsiębiorstwa. To zwiększa efektywność operacyjną, ale i ekspozycję na zagrożenia. W 2024 roku największy wzrost odnotowano w przypadku ataków phishingowych oraz włamań na skrzynki poczty elektronicznej. Ransomware dotknął z kolei aż 56 proc. podmiotów – wylicza Robert Dąbrowski. – Co ważne, w przypadku branży produkcyjnej rośnie skłonność do płacenia cyberprzestępcom okupów – nie tylko dlatego, że zagrożone są dane, ale przede wszystkim ze względu na koszty przestojów produkcji.
Nowe obowiązki dla firm
Rozporządzenie 2023/1230 to pierwszy unijny akt prawny, który wprost nakłada obowiązki z zakresu cyberbezpieczeństwa na producentów maszyn, ich integratorów oraz użytkowników. W praktyce oznacza to konieczność wdrożenia szeregu nowych zasad i procedur już na etapie projektowania, a także podczas eksploatacji i modernizacji maszyn.
Wśród kluczowych obszarów, na które firmy powinny zwrócić szczególną uwagę, znajdują się:
• Uwzględnienie cyfrowych zagrożeń w ocenie ryzyka – obok tradycyjnych zagrożeń mechanicznych czy elektrycznych, konieczne staje się uwzględnianie cyfrowego ryzyka.
• Projektowanie z myślą o cyberbezpieczeństwie – wskazane jest ograniczenie powierzchni ataku i zapewnienie możliwości bezpiecznego zarządzania aktualizacjami.
• Zabezpieczenia przed nieautoryzowaną modyfikacją oprogramowania – rozporządzenie sugeruje potrzebę kontrolowania integralności systemów maszynowych.
• Ponowna ocena zgodności po „istotnych modyfikacjach” – także tych o charakterze cyfrowym, np. po aktualizacjach firmware’u czy integracjach z nowym środowiskiem IT.
• Ciągłość podejścia do bezpieczeństwa – cyberbezpieczeństwo powinno być uwzględniane przez cały cykl życia maszyny.
Nowe przepisy przesuwają punkt ciężkości z reaktywnego podejścia na prewencyjne, wymagając systemowego traktowania cyberbezpieczeństwa na każdym etapie funkcjonowania maszyny w środowisku przemysłowym.