Mašīnu un mehānismu programmatūra un kiberdrošība, Regula 2023/1230.

Regula par mašīnām un mehānismiem nosaka, ka ražotājiem jānodrošina mašīnu un vadības sistēmu aizsardzība pret kiberdraudiem. Kiberdrošība direktīvā netika tieši pieminēta, jo 2006. gadā tā vēl nebija prioritāra problēma.

Regula 2023/1230 nosaka ražotāju pienākumus attiecībā uz mašīnu izsekojamību un drošības kontroli visā to dzīves ciklā, stingrākas prasības mašīnu marķēšanai un drošības informācijas (piemēram, instrukciju) sniegšanai, tostarp digitālajos formātos.

Viedās mašīnas un sistēmas ir cieši saistītas ar informācijas tehnoloģijām. Ļaunprātīgiem lietotājiem ir kļuvis vieglāk iekļūt automatizācijas un vadības sistēmās, manipulēt ar tām un apdraudēt iekārtu drošību. Ja ļaunprātīgiem lietotājiem izdosies izmantot šo ievainojamību, tas var būt ar postošām sekām uzņēmumam — no ražošanas apstāšanās līdz draudiem cilvēkiem, ja tiek apzināti manipulēti ar drošības pasākumiem. Noteikumi par kiberdrošību ir izklāstīti Regulas III pielikumā.

Mašīna jāprojektē tā, lai izslēgtu iespēju tās turpmākai neatļautai piekļuvei. Saistībā ar to regula uzliek ražotājam pienākumu dokumentēt, kāda programmatūra un dati ir svarīgi drošai ekspluatācijai, kā arī kādi pasākumi ir veikti to aizsardzībai. Mašīnai jāreģistrē arī programmatūras un datu izmaiņas. Šis noteikums ir spēkā neatkarīgi no tā, vai šīs izmaiņas ir veiktas ar atļauju vai bez atļaujas.

Ražotājam ir arī pienākums nodrošināt programmatūras un tās vadības sistēmas darbības nepārtrauktību, garantējot, ka mašīnas drošības funkcijas vienmēr darbosies noteiktās robežās. Tas attiecas ne tikai uz uzbrukumiem, bet arī uz apzinātiem vai neapzinātiem izmaiņām, ko veikuši lietotāji vai administratori, kā arī uz mākslīgā intelekta balstītām pašmācīšanās sistēmām. Izsekošanas žurnāls jāuzglabā un jāpadara pieejams piecu gadu garumā.

Mašīnas mācās un kļūst arvien autonomākas. Informācijas apstrāde reālajā laikā, problēmu risināšana, elastība, sensoru sistēmas, mācīšanās, pielāgošanās spēja un spēja darboties nestrukturētās vidēs (piemēram, būvlaukumos) — tās ir jaunas digitālās funkcijas, kas rada arī jaunus drošības riskus. Un šie riski palielinās, paplašinoties šīm tehnoloģijām. Palielinās ļaunprātīgas izmantošanas iespējamība un parādās jaunas uzbrukumu virsmas.

Ar jaunajām digitālajām tehnoloģijām saistītie riski ir mašīnbūves regulas uzmanības centrā. Tā ievieš jaunas kiberdrošības saistības, kas attiecas uz mašīnu ražotājiem un citiem ekonomikas dalībniekiem . Jaunā regula lielākā mērā ņem vērā digitālos un tīkla aspektus mūsdienu mašīnbūvē.

Ražotājiem ir jānodrošina rūpīga risku analīze, tostarp potenciālie kiberdrošības riski. Šajā analīzē ir jāidentificē potenciālie draudi, kas saistīti ar neatļautu piekļuvi, hakeru uzbrukumiem vai citiem kiberuzbrukumiem.

Pamatojoties uz riska analīzi, ir jāīsteno atbilstoši tehniskie un organizatoriskie pasākumi, lai šos riskus samazinātu līdz minimumam. Tie ietver, piemēram, drošus sakaru protokolus, datu šifrēšanu un piekļuves kontroli.

Ražotājiem ir pienākums nodrošināt iekārtu drošību visā to ekspluatācijas laikā. Tas ietver programmatūras atjauninājumu izlaišanu, lai novērstu drošības ievainojamības un jaunas draudas.

Ir jānodrošina, ka atjauninājumi ir autentiski un nav viltoti trešo personu.

Mašīnām jābūt aprīkotām ar līdzekļiem, kas novērš neatļautu piekļuvi, jo īpaši funkcijām un datiem, kas saistīti ar drošību. Tas ietver, piemēram, paroles aizsardzību, lietotāju autentifikāciju un piekļuves kontroli, pamatojoties uz lomām.

Konfidenciāli dati, kas tiek vākti vai apstrādāti iekārtas darbības laikā, jāaizsargā pret neatļautu piekļuvi. Tas attiecas arī uz personas datiem.

Ražotājiem jāiesniedz detalizēta informācija par kiberdrošības pasākumiem, kas īstenoti iekārtas tehniskajā dokumentācijā.

Iekārtu operatoriem jābūt informētiem par potenciālajiem kiberdrošības riskiem un nepieciešamajiem aizsardzības pasākumiem. Tas ietver instrukciju sniegšanu par drošu lietošanu un atjauninājumu pārvaldību.

Kiberdrošības pasākumiem jāņem vērā visa ierīces kalpošanas laika. Ražotājiem ir arī jāizstrādā plāni gadījumam, ja tiek pārtraukta ierīces atbalsta sniegšana (jāizdod drošības atjauninājumi noteiktu laiku pēc pārdošanas beigām).

Kiberdrošības pasākumiem jāņem vērā visa ierīces kalpošanas laiks. Ražotājiem jāizstrādā arī plāni gadījumam, ja ierīces atbalsts tiek pārtraukts (jāizdod drošības atjauninājumi noteiktu laiku pēc pārdošanas beigām).

Atbilstības novērtēšanas ietvaros ražotājiem ir jāpierāda atbilstība regulas prasībām par kiberdrošību. To var izdarīt, izmantojot trešās puses (piemēram, pilnvaroto iestāžu) novērtējumu vai iekšēju atbilstības novērtējumu atkarībā no iekārtas kategorijas.

Šo prasību mērķis ir palielināt iekārtu izturību pret kiberuzbrukumiem un nodrošināt operatoru un citu personu, kas cietušas no kiberuzbrukumiem, drošību. Ražotājiem šīs prasības jāiekļauj izstrādes un ražošanas procesos pēc iespējas ātrāk, lai būtu gatavi regulas stāšanās spēkā.