Od 2027 roku firmy przemysłowe działające w Unii Europejskiej będą musiały spełniać nowe wymogi w zakresie cyberbezpieczeństwa. To efekt przyjęcia Rozporządzenia 2023/1230, które po raz pierwszy kompleksowo reguluje cyfrowy aspekt bezpieczeństwa maszyn i systemów przemysłowych.
Nowe realia cyfrowej produkcji
Przemysł wchodzi w erę głębokiej cyfryzacji. Przemysł 4.0, automatyzacja, rosnąca rola środowisk IT/OT i wszechobecna łączność sieciowa radykalnie zmieniają sposób projektowania, eksploatacji i zabezpieczania maszyn. W odpowiedzi na te zmiany Unia Europejska przyjęła Rozporządzenie 2023/1230 w sprawie maszyn, które zastępuje starą Dyrektywę 2006/42/WE. W przeciwieństwie do niej nowe przepisy obowiązują bezpośrednio, bez konieczności wdrażania do prawa krajowego, i wejdą w życie 1 stycznia 2027 roku.
Rozporządzenie 2023/1230 stanowi przełomowy krok w kierunku systemowego podejścia do cyberbezpieczeństwa w przemyśle. Wymaga ono od producentów maszyn, integratorów oraz użytkowników końcowych uwzględnienia ryzyk cyfrowych już na etapie projektowania urządzeń, a także podczas ich eksploatacji i modernizacji.
Cyberzagrożenia realnym wyzwaniem
Wprowadzenie nowych regulacji nie jest przypadkowe. Jak pokazuje raport State of OT Cybersecurity 2024 opublikowany przez Fortinet, aż 73% firm przemysłowych w UE doświadczyło w ostatnim roku cyfrowych incydentów – to wzrost o 24 punkty procentowe w porównaniu z 2023 rokiem. Z kolei liczba przedsiębiorstw, które odnotowały ponad sześć naruszeń bezpieczeństwa, niemal potroiła się – z 11% w 2023 roku do 31% w 2024 roku.
Konsekwencje tych ataków są poważne: spadki produktywności, utrata kluczowych danych, naruszenie zgodności z przepisami, a coraz częściej także pogorszenie reputacji marki. Aż 52% firm przyznało, iż ich wizerunek ucierpiał wskutek cyberataku. Co więcej, 56% przedsiębiorstw padło ofiarą ransomware, a ataki phishingowe i przejęcia skrzynek e-mailowych zanotowały największy wzrost.
„Systemy OT, które dawniej były izolowane, dziś są coraz bardziej zintegrowane z resztą infrastruktury cyfrowej. To zwiększa efektywność, ale i ryzyko. Co gorsza, rośnie skłonność do płacenia okupów cyberprzestępcom, głównie z powodu strat wynikających z przestojów produkcyjnych” – komentuje Robert Dąbrowski, szef zespołu inżynierów Fortinet Polska.
Nowe obowiązki
Rozporządzenie 2023/1230 wprowadza konkretne obowiązki:
- Ocena ryzyka musi uwzględniać zagrożenia cyfrowe, obok tradycyjnych mechanicznych czy elektrycznych.
- Maszyny muszą być projektowane z myślą o cyberbezpieczeństwie, m.in. przez minimalizację powierzchni ataku i możliwość bezpiecznego zarządzania aktualizacjami.
- Zabroniona jest nieautoryzowana modyfikacja oprogramowania, a integralność systemów musi być stale monitorowana.
- Po istotnych zmianach cyfrowych konieczna jest ponowna ocena zgodności, choćby w przypadku aktualizacji firmware’u czy integracji z nowym systemem.
- Bezpieczeństwo ma być traktowane jako proces ciągły.
Przepisy te przesuwają ciężar z działań reaktywnych na prewencyjne. To wymusza na firmach wdrożenie polityki bezpieczeństwa obejmującej cały cykl życia maszyny – od projektu, przez eksploatację, aż po modernizacje.
Cyfrowa odporność jako priorytet UE
Nowe rozporządzenie wpisuje to element unijnej strategii odporności cyfrowej, na równi z Ustawą o cyberodporności (Cyber Resilience Act). Oba akty mają zapewnić spójność i skuteczność w zarządzaniu ryzykiem cyfrowym w całym cyklu życia produktów przemysłowych.
Dla wielu przedsiębiorstw oznacza to konieczność głębokiej zmiany podejścia do projektowania i eksploatacji maszyn. Równocześnie może to stanowić impuls do zwiększenia inwestycji w kompetencje z zakresu bezpieczeństwa OT/IT oraz rozwój wewnętrznych procedur reagowania na incydenty.
