Nowe rozporządzenie UE – Cyberbezpieczeństwo w przemyśle od 2027 roku

Od 2027 roku firmy przemysłowe działające w Unii Europejskiej będą musiały spełniać nowe wymogi w zakresie cyberbezpieczeństwa. To efekt przyjęcia Rozporządzenia 2023/1230, które po raz pierwszy kompleksowo reguluje cyfrowy aspekt bezpieczeństwa maszyn i systemów przemysłowych.

Nowe realia cyfrowej produkcji

Przemysł wchodzi w erę głębokiej cyfryzacji. Przemysł 4.0, automatyzacja, rosnąca rola środowisk IT/OT i wszechobecna łączność sieciowa radykalnie zmieniają sposób projektowania, eksploatacji i zabezpieczania maszyn. W odpowiedzi na te zmiany Unia Europejska przyjęła Rozporządzenie 2023/1230 w sprawie maszyn, które zastępuje starą Dyrektywę 2006/42/WE. W przeciwieństwie do niej nowe przepisy obowiązują bezpośrednio, bez konieczności wdrażania do prawa krajowego, i wejdą w życie 1 stycznia 2027 roku.

Rozporządzenie 2023/1230 stanowi przełomowy krok w kierunku systemowego podejścia do cyberbezpieczeństwa w przemyśle. Wymaga ono od producentów maszyn, integratorów oraz użytkowników końcowych uwzględnienia ryzyk cyfrowych już na etapie projektowania urządzeń, a także podczas ich eksploatacji i modernizacji.

Cyberzagrożenia realnym wyzwaniem

Wprowadzenie nowych regulacji nie jest przypadkowe. Jak pokazuje raport State of OT Cybersecurity 2024 opublikowany przez Fortinet, aż 73% firm przemysłowych w UE doświadczyło w ostatnim roku cyfrowych incydentów – to wzrost o 24 punkty procentowe w porównaniu z 2023 rokiem. Z kolei liczba przedsiębiorstw, które odnotowały ponad sześć naruszeń bezpieczeństwa, niemal potroiła się – z 11% w 2023 roku do 31% w 2024 roku.

Konsekwencje tych ataków są poważne: spadki produktywności, utrata kluczowych danych, naruszenie zgodności z przepisami, a coraz częściej także pogorszenie reputacji marki. Aż 52% firm przyznało, że ich wizerunek ucierpiał wskutek cyberataku. Co więcej, 56% przedsiębiorstw padło ofiarą ransomware, a ataki phishingowe i przejęcia skrzynek e-mailowych zanotowały największy wzrost.

„Systemy OT, które dawniej były izolowane, dziś są coraz bardziej zintegrowane z resztą infrastruktury cyfrowej. To zwiększa efektywność, ale i ryzyko. Co gorsza, rośnie skłonność do płacenia okupów cyberprzestępcom, głównie z powodu strat wynikających z przestojów produkcyjnych” – komentuje Robert Dąbrowski, szef zespołu inżynierów Fortinet Polska.

Nowe obowiązki
Rozporządzenie 2023/1230 wprowadza konkretne obowiązki:

• Ocena ryzyka musi uwzględniać zagrożenia cyfrowe, obok tradycyjnych mechanicznych czy elektrycznych.
• Maszyny muszą być projektowane z myślą o cyberbezpieczeństwie, m.in. przez minimalizację powierzchni ataku i możliwość bezpiecznego zarządzania aktualizacjami.
• Zabroniona jest nieautoryzowana modyfikacja oprogramowania, a integralność systemów musi być stale monitorowana.
• Po istotnych zmianach cyfrowych konieczna jest ponowna ocena zgodności, nawet w przypadku aktualizacji firmware’u czy integracji z nowym systemem.
• Bezpieczeństwo ma być traktowane jako proces ciągły.

Przepisy te przesuwają ciężar z działań reaktywnych na prewencyjne. To wymusza na firmach wdrożenie polityki bezpieczeństwa obejmującej cały cykl życia maszyny – od projektu, przez eksploatację, aż po modernizacje.

Cyfrowa odporność jako priorytet UE

Nowe rozporządzenie wpisuje to element unijnej strategii odporności cyfrowej, na równi z Ustawą o cyberodporności (Cyber Resilience Act). Oba akty mają zapewnić spójność i skuteczność w zarządzaniu ryzykiem cyfrowym w całym cyklu życia produktów przemysłowych.

Dla wielu przedsiębiorstw oznacza to konieczność głębokiej zmiany podejścia do projektowania i eksploatacji maszyn. Równocześnie może to stanowić impuls do zwiększenia inwestycji w kompetencje z zakresu bezpieczeństwa OT/IT oraz rozwój wewnętrznych procedur reagowania na incydenty.