Maszyny w sieci przepisów – od bezpieczeństwa po cyberbezpieczeństwo

Czy robot może zabić nie z powodu mechanicznej awarii, lecz przez błąd w oprogramowaniu? Czy mikrokontroler bez aktualizacji stanie się furtką dla cyberataku? Od 2027 r. każda maszyna łącząca się z siecią będzie musiała spełnić nie tylko fizyczne, lecz także cyfrowe normy bezpieczeństwa. Unia Europejska mówi wprost: bez cyberodporności nie ma miejsca na rynku. Wchodzące w życie rozporządzenia – Maszynowe i Cyberbezpieczeństwa Horyzontalnego – tworzą nowy paradygmat dla producentów, inżynierów i prawników. To już nie tylko pytanie, czy produkt działa, ale czy działa bezpiecznie – i to w perspektywie cyklu życia maszyny.

Od 2027 r. obowiązywać będą dwa nowe rozporządzenia UE:

◾️ Rozporządzenie Maszynowe (2023/1230) – zastępuje dotychczasową dyrektywę.

◾️ Cyber Resilience Act (CRA) – (2024/2847) – wprowadza obowiązki w zakresie cyberbezpieczeństwa.

Producent maszyny (robota) będzie musiał spełnić wymagania obu regulacji – co jasno wynika z motywu 53 preambuły CRA.

Poznaj program szkolenia online "Machinery Regulation i Cyber Resilience Act" >>

Czym jest CRA w telegraficznym skrócie?

Cyber Resilience Act (Rozporządzenie UE 2024/2847), przyjęte w październiku 2024 r., to pierwsze kompleksowe unijne prawo nakładające obowiązkowe wymogi cyberbezpieczeństwa na prawie wszystkie produkty z elementami cyfrowymi – od urządzeń konsumenckich, przez oprogramowanie i usługi chmurowe, po systemy przemysłowe.

CRA nie jest zbiorem dobrych praktyk, ale prawnie wiążącym zestawem wymogów dotyczących projektowania, rozwoju i utrzymania bezpiecznych produktów cyfrowych przez cały ich cykl życia.

Mateusz Jakubik, Prawnik, Compliance Officer, Bonnier Business Polska
Mateusz Jakubik, Prawnik, Compliance Officer, Bonnier Business Polska
Sama CRA to jednak za mało, aby być „compliance”. Oprócz cyberbezpieczeństwa unijny prawodawca zwraca uwagę na bezpieczeństwo, które wskazane jest w MR.
FOT.

Główne założenia CRA to:

◾️ Cyberbezpieczeństwo z założenia i domyślnie – projektowanie produktu z myślą o bezpieczeństwie;

◾️ Zarządzanie podatnościami – szybkie wykrywanie, raportowanie i łatanie luk;

◾️ Aktualizacje bezpieczeństwa – przez cały zadeklarowany okres życia produktu;

◾️ Transparentność – jasne instrukcje dla użytkowników, informacja o wsparciu i zagrożeniach;

◾️ Oceny zgodności – dla bardziej krytycznych produktów przewidziano ostrzejsze procedury;

◾️ Produkty objęte będą oznaczeniem CE, potwierdzającym spełnienie wymogów cyberbezpieczeństwa.

CRA stopniuje ponadto produkty z elementami cyfrowymi. Kluczowa różnica między „ważnym”, „krytycznym” a „zwykłym” produktem z elementami cyfrowymi nie polega na poziomie wymagań bezpieczeństwa (te są jednakowe), ale na sposobie oceny zgodności – ważne i krytyczne produkty wymagają zewnętrznej oceny zgodności.

CRA a rozporządzenia wykonawcze

Niestety, CRA zawierała w załącznikach opisy bardzo ogólne, bez jasnych definicji. Przykładowo – jak ustalić, czy dane rozwiązanie to „system zarządzania siecią”, „mikrokontroler o funkcjach bezpieczeństwa” czy „wirtualny asystent dla inteligentnego domu”? W związku z tym prawodawca unijny podjął działania, aby ustanowić akt wykonawczy, wraz z załącznikami dotyczącymi technicznych opisów wszystkich kategorii ważnych i krytycznych produktów. Dzięki temu, jesteśmy w stanie odpowiedzieć na pytanie: czym jest mikrontroler? Zgodnie z przyszłym rozporządzeniem wykonawczym: Produkt z elementami cyfrowymi składający się z uniwersalnego procesora z odpowiednią pamięcią, umożliwiającą jego programowanie, zwykle zawierający inne urządzenia peryferyjne na jednym chipie i zapewniający ochronę przed atakami logicznymi, m.in. dzięki dodatkowym komponentom sprzętowym.

Newsletter konferencje.pb.pl
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
×
Newsletter konferencje.pb.pl
autor: Mateusz Stempak
Ostatnia środa miesiąca
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: [email protected]. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: [email protected]. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Oprócz cyberbezpieczeństwa unijny prawodawca zwraca uwagę na bezpieczeństwo, które wskazane jest w MR. Obie regulacje to rozporządzenia UE, które obowiązują bezpośrednio we wszystkich państwach członkowskich (w przeciwieństwie do dyrektyw).
Oprócz cyberbezpieczeństwa unijny prawodawca zwraca uwagę na bezpieczeństwo, które wskazane jest w MR. Obie regulacje to rozporządzenia UE, które obowiązują bezpośrednio we wszystkich państwach członkowskich (w przeciwieństwie do dyrektyw).
Rafał Prabucki, COO, Szostek_Digital
FOT. Grzegorz Niklas

Rozporządzenie Maszynowe a CRA

Sama CRA to jednak za mało, aby być „compliance”. Oprócz cyberbezpieczeństwa unijny prawodawca zwraca uwagę na bezpieczeństwo, które wskazane jest w MR. Obie regulacje to rozporządzenia UE, które obowiązują bezpośrednio we wszystkich państwach członkowskich (w przeciwieństwie do dyrektyw). Obie należą do tzw. unijnego prawodawstwa harmonizacyjnego – mają wspólne podstawy prawne w ramach „Nowych Ram Legislacyjnych” (NLF).

Rozporządzenie Maszynowe obejmuje maszyny, częściowo zmontowane maszyny i komponenty (np. urządzenia zabezpieczające). Z kolei CRA dotyczy produktów z elementami cyfrowymi i połączeniem danych (logicznie lub fizycznie z siecią lub urządzeniem). Rozporządzenie Maszynowe koncentruje się na bezpieczeństwie fizycznym i funkcjonalnym: ochrona zdrowia, użytkowników, zwierząt, mienia i środowiska. Inaczej wygląda to w przypadku CRA. Rozporządzenie koncentruje się na cyberbezpieczeństwie produktów z elementami cyfrowymi przez cały cykl życia.

Oba akty legislacyjne bazują na ocenie ryzyka. Rozporządzenie Maszynowe wymaga oceny ryzyka bezpieczeństwa (np. uszkodzeń ciała, niewłaściwego użycia). CRA wymaga oceny ryzyka cyberbezpieczeństwa (np. ataków na komponenty cyfrowe).

Autorzy proponują połączyć obie analizy i szczególnie uwzględnić złośliwe działania prowadzące do zagrożeń dla zdrowia i życia.

Na koniec należy podkreślić, że od 2027 r. brak znaku CE oznacza zakaz wprowadzenia produktu na rynek UE.

Istotne terminy:

️ Rozporządzenie Maszynowe: stosowane od 20 stycznia 2027 r.

️ CRA: stosowane od 12 grudnia 2027 r.

️ Raportowanie luk (CRA art. 14): obowiązuje od 11 września 2026 r.

Warto pamiętać, że wskazane rozporządzenia to dopiero wierzchołek „góry legislacyjnej”. Z drugiej strony cyberzagrożenia nie czekają – my również nie powinniśmy.

Co dalej?

Rozporządzenia to dopiero początek. Przed nami kolejne akty wykonawcze, standardy techniczne, nowe normy oceny zgodności. Ale jedno jest pewne: robot przyszłości musi być nie tylko silny i szybki, ale przede wszystkim cyberodporny.

Autorzy:
Mateusz Jakubik, Prawnik, Compliance Officer, Bonnier Business Polska
Rafał Prabucki, COO, Szostek_Digital

Przeczytaj w strefie wiedzy

Dlaczego warto wziąć udział w naszych konferencjach?

20

lat doświadczenia w organizacji wydarzeń dla biznesu

Doświadczenie

Konferencje, warsztaty i szkolenia dla biznesu organizujemy od 2004 roku. Najbardziej aktualne tematy dla przedstawicieli wielu branż oraz uznana marka na rynku sprawiają, że jesteśmy czołowym organizatorem wydarzeń skierowanych do specjalistów, menedżerów i przedstawicieli wyższej kadry zarządzającej, którzy stawiają na rozwój i nieustanne podnoszenie kwalifikacji.

1546

firm zaufało nam w 2023 roku

Profesjonalizm i nowoczesne kategorie szkoleń

Nasze konferencje, warsztaty oraz szkolenia biznesowe prowadzą najlepsi mówcy - trenerzy i praktycy będący uznanymi ekspertami w swoich dziedzinach i mający na swoim koncie znaczące osiągnięcia. Pomożemy Ci w wielu dziedzinach - zarządzaniu zespołem, budowaniu marki osobistej, udoskonalaniu obsługi klienta, poznaniu nowych trendów rynkowych, nadchodzących zmian legislacyjnych itp. Nie ma lepszej inwestycji niż inwestycja w siebie.

3396

uczestników wydarzeń w 2023 roku

Tysiące zadowolonych klientów

Efektywne prowadzenie firmy nie jest możliwe bez ciągłego rozwoju, zdobywania wiedzy i umiejętności korzystania z odpowiednich narzędzi. Wiedzą o tym tysiące przedsiębiorców, menedżerów i specjalistów, którzy co roku uczestniczą w naszych wydarzeniach, szukając nie tylko wiedzy i inspiracji, ale również doskonałej okazji do nawiązania cennych kontaktów. Udział w wydarzeniach PB to doskonałe forum wymiany doświadczeń i networkingu.