IT-security wordt een must voor de Europese industrie

Met de NIS 2-richtlijn, de nieuwe machineverordening en de Cyber Resilience Act staan er heel wat nieuwe normen en regels aan te komen die voor machinebouwers een enorme impact zullen hebben omdat ze het garanderen van IT-security verplicht maken. De benadering van cybersecurity lijkt zelfs een stuk verder te gaan dan die van machine safety omdat IT-security gedurende de ganse levensloop gegarandeerd moet worden.

Thomas Pilz, die als managing partner bij Pilz verantwoordelijk is voor IT en ook R&D, gaf recent op de jaarlijkse persconferentie van het bedrijf een mooi overzicht van de regels die er staan aan te komen en hun implicaties voor de industrie.

NIS 2: meer verplichtingen en meer sancties voor meer bedrijven

Thomas Pilz: “NIS (Network and Information Security) is een richtlijn van de Europese Unie om de cyberveiligheid te versterken. Deze richtlijn is sinds 2016 van kracht en geldt tot nu toe voor aanbieders in de sector kritieke infrastructuur, waaronder energie, verkeer, banken en financiële instellingen, gezondheid, drinkwatervoorziening en -distributie en digitale infrastructuur. Aanbieders in deze sectoren moesten met het oog op Security "passende veiligheidsmaatregelen" treffen en ernstige cyberveiligheidsincidenten melden. De opvolger is NIS 2, die begin 2023 in werking is getreden en door de EU-lidstaten in het najaar van 2024 in nationaal recht moet zijn omgezet. De richtlijn geldt nu ook binnen onder meer de machinebouw en de automotive-sector, en wel voor bedrijven met meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro. Volgens het VDMA (Duits verbond voor machine- en installatiebouw) betreft dit ongeveer 9.000 bedrijven in heel Europa. In de toekomst zullen deze bedrijven moeten bewijzen dat zij technische, operationele en organisatorische maatregelen treffen om zich tegen security-incidenten te beschermen. In de eerste plaats omvat dit de risicoanalyse van bestaande systemen, ook in productieomgevingen, dus de OT (Operations Technology). Dit wordt gevolgd door de ontwikkeling en uitvoering van specifieke processen en maatregelen, zoals wachtwoordbeveiliging of encryptie, en door verdere opleiding en training van werknemers. Cyberveiligheidsincidenten moeten binnen 24 uur aan de verantwoordelijke instanties worden gemeld. Ook de expliciete opname van toeleveringsketens is nieuw. Kortom, NIS 2 geldt nu voor meer bedrijven, breidt de verplichtingen uit en voorziet in strengere sancties. Bedrijven die geen actie ondernemen, riskeren zware sancties.”

Cyber Resilience Act – Security voor de volledige productlevenscyclus

Thomas Pilz: “In september 2022 presenteerde de Europese Commissie een ontwerpverordening om de cyberveiligheid van producten te vergroten. Deze Cyber Resilience Act is gericht op fabrikanten van producten met digitale elementen. Dit betreft zowel hardware als software (zoals bijvoorbeeld firmware). De verordening geldt zowel voor consumentenproducten als voor producten voor industriële toepassingen, zoals machinebesturingen. Volgens de Cyber Resilience Act mogen voortaan alleen producten op de markt worden gebracht die een passend niveau van cyberveiligheid waarborgen. Voorts zijn fabrikanten verplicht om klanten zo snel mogelijk te informeren over zwakke plekken in de beveiliging en deze te elimineren. De verordening heeft dus betrekking op de volledige levenscyclus van een product. Dit betekent dat fabrikanten nu ook na de gebruikelijke garantieperiode software-updates moeten aanbieden om ook toekomstige bedreigingen af te weren. Wij gaan ervan uit dat de verordening eind 2024 in werking treedt.”

De nieuwe Machineverordening – cybersecurity als plicht

Thomas Pilz: “De derde nieuwe wettelijke security-eis is de Machineverordening van de EU. De publicatie daarvan is aanstaande. Aangezien het om een verordening gaat, hoeft deze niet eerst in nationaal recht te worden omgezet. Machinefabrikanten hebben 42 maanden de tijd om aan de nieuwe eisen te voldoen. De Machineverordening komt in de plaats van de vorige Machinerichtlijn en stelt, anders dan zijn voorganger, cybersecurity verplicht. Waar de machinerichtlijn uitsluitend betrekking had op Safety, is in de verordening ook het beschermingsdoel Security opgenomen onder "Protection against corruption" in de "Essential health and safety requirements EHSR": de veiligheidsfuncties van een machine mogen niet worden beïnvloed door onopzettelijke of opzettelijke vervalsing. Tot dusver is bekend dat naleving van de eisen van de Cyber Resilliance Act leidt tot een vermoeden van overeenstemming voor de Machineverordening.”

© Productivity.be, 12/06/2023