NIS2

De NIS2-richtlijn schrijft voor dat organisaties cyberweerbaar moeten zijn, om ontwrichting van kritische processen te voorkomen. Of jouw organisatie onder NIS2 valt, kun je vinden op de overheidswebsite. Voor deze TechTalk laten we NIS2 buiten beschouwing, omdat de focus ligt op machines en systemen, en NIS2 meer gericht is op organisatorische cyberweerbaarheid.

CRA

De Cyber Resilience Act (CRA) richt zich juist op producten met digitale elementen: hardware, software, IoT-apparatuur en alles met een netwerkverbinding. Belangrijke kernpunten van de CRA:

• Security by design en secure by default
  Producten moeten vanaf het ontwerp veilig zijn en standaard beveiligd geleverd worden.
• Updates en kwetsbaarheden gedurende de levenscyclus
  Leveranciers zijn verantwoordelijk voor het beheren van kwetsbaarheden en het aanbieden van updates gedurende de hele levensduur van het product.
• Transparante securityinformatie
  Gebruikers moeten duidelijk geïnformeerd worden over mogelijke risico’s en beveiligingsmaatregelen.

De CRA is in werking getreden op 10 december 2024 en volledig van toepassing vanaf 11 december 2027.
Hoewel dat nog een paar jaar weg lijkt, is er nu al veel werk te doen om tijdig compliant te zijn.

Machineverordening

De nieuwe Europese Machineverordening (EU 2023/1230) vervangt vanaf 20 januari 2027 de oude Machinerichtlijn (2006/42/EC). Voor het eerst bevat deze verplichtende cybersecurity-eisen voor machines. Machines moeten niet alleen fysiek veilig zijn, maar ook bestand tegen cyberaanvallen. Zonder een CE-markering die bewijst dat deze eisen zijn nageleefd, mag een machine niet verkocht of uitgeleverd worden. Het belangrijkste is dat de machine beschermd wordt tegen ‘ongewenste toegang’ die de veiligheid zouden kunnen beïnvloeden. In Annex III van de verordening wordt dit nader toegelicht:

Bescherming tegen corruptie (1.1.9)

Machines moeten:

• Beschermd zijn tegen corruptie van software, data of communicatie.
• Bestand zijn tegen opzettelijke of onopzettelijke wijzigingen die invloed hebben op de veilige werking.

Dit gaat over:

• Aanvallen op PLC’s, controllers, sensoren en actuatoren
• Manipulatie van parameters
• Ongeautoriseerde toegang tot besturingssystemen

Veiligheid en betrouwbaarheid van besturingssystemen (1.2.1)

Besturingssystemen moeten:

• Veilig blijven functioneren, ook bij cyber gerelateerde verstoringen;
• Robuust zijn tegen digitale aanvallen die fysieke onveiligheid kunnen veroorzaken;
• Zodanig ontworpen zijn dat foutdetectie, noodstop en beveiligde modi niet door cyberaanvallen uitgeschakeld kunnen worden.

Met andere woorden: machines moeten fail-safe blijven, zelfs wanneer iemand via software probeert de veiligheid te omzeilen.

Naast de machineverordening gelden soms ook de R155- en R156-regels, voor respectievelijk cybersecurity en software-updates van voertuigen, op de besturingen die wij bij RIWO ontwerpen. De impact van deze regelgeving kan groot zijn: we werken momenteel aan een volledige softwaremigratie van een seriemachine, omdat bestaande controllers niet voldoen aan de nieuwe eisen.

Handvatten

De IEC 62443 Industriële cybersecurity norm geeft praktische handvaten hoe aan de machineverordening te voldoen in een OT-omgeving. Er zijn namelijk een aantal essentiële verschillen in een IT en OT-landschap hoewel deze tegenwoordig wel steeds meer bij elkaar komen.

De norm beschrijft cybersecurity voor de hele levenscyclus van een machine: van componentfabrikanten, machinebouwers en integrators tot eindgebruikers. Hoewel cybersecurity altijd een wedloop blijft met hackers, geeft de norm duidelijke handvaten om aan verschillende beveiligingslevels te voldoen.

Praktisch

In de praktijk zien we dat, hoewel machineveiligheid goed ingeburgerd is, cybersecurity nog veel vragen oproept, niet alleen bij integratoren, maar ook bij bijvoorbeeld OEM’s en machinefabrikanten:

• Wat moet je concreet doen om compliant te zijn?
• Welke verplichtingen gelden?
• Zijn er standaard checklists of tooling beschikbaar?

Bij RIWO hebben we de eerste stappen gezet:

• Kennis van normen en CRA is opgedaan, en meer collega’s volgen training
• De eerste risicoanalyses op cybergebied worden uitgevoerd
• Cyberbewustzijn wordt organisatiebreed getraind
• De eerste SBOM’s zijn opgesteld, tooling voor geautomatiseerde evaluatie is in ontwikkeling
• Safety software wordt geïntegreerd in het technisch constructiedossier

Het is nog geen januari 2027, maar we hebben een roadmap opgesteld om onze klanten te ondersteunen en te ontzorgen op het gebied van cybersecurity.

Zijn jouw machines al cybersecure? Ben je op zoek naar meer informatie of advies? Neem contact met ons op voor een vrijblijvend gesprek!