Nowe przepisy bezpieczeństwa, a ich wpływ na cyfryzację przemysłu

Nieznajomość prawa szkodzi. O jakich przepisach musisz wiedzieć, aby uniknąć kłopotów? Odnoszenie sukcesów w dowolnym projekcie na rzecz cyfryzacji przemysłu wymaga systematycznego śledzenia regulacji ustawowych i wdrażanie ich już na wczesnym etapie. Nieprzestrzeganie przepisów regionalnych, krajowych i/lub globalnych może przerodzić się w finansową i wizerunkową katastrofę. Opóźnianie procesu zgodności z regulacjami prawa cofają rozwój produktu do punktu wyjścia.

„Branże ze stosunkowo niewielką ilością regulacji pozostają szczególnie narażone na ryzyko błędu podczas wytwarzania urządzeń objętych przepisami cyberbezpieczeństwa. Brak świadomości o istnieniu wymogów regulacyjnych w Unii Europejskiej, Stanach Zjednoczonych, Chinach oraz innych regionach i krajach świata naraża na dotkliwe konsekwencje po uruchomieniu oferty. Jeśli firma zamierza wprowadzić produkt na wszystkie rynki światowe, najlepszą metodą pozostaje uwzględnienie aktualnych wymagań prawnych już na etapie projektowania” - mówi Antti Tolvanen, Dyrektor ds. Sprzedaży Systemów Wbudowanych w Etteplan. 

Nietrudno zrozumieć przyczyny intensywnego wprowadzania regulacji dotyczących cyberbezpieczeństwa. Pozostają one szczególnie istotne w dziedzinie technologii operacyjnych, takich jak systemy i rozwiązania do produkcji przemysłowej. Technologia operacyjna (OT) to nieodzowny składnik krytycznej infrastruktury na poziomie całego społeczeństwa. Urządzenia OT są absolutnie niezbędne do prowadzenia procesów przemysłowych w wielu fabrykach. Tradycyjnie rozumiana technologia operacyjna uwzględnia wyposażenie służące poprawie bezpieczeństwa funkcjonalnego. Jednak w porównaniu z technologiami informatycznymi (IT), urządzenia OT wciąż pozostają niejako w cieniu procesów usprawniających cyberbezpieczeństwo.

W Unii Europejskiej niemal każda firma będzie bezpośrednio lub pośrednio dotknięta nową dyrektywą NIS2, ponieważ ma ona szerokie spektrum zastosowań. Regulacje NIS2 zostaną zaimplementowane do prawa krajowego do końca 2024 r. Producenci technologii operacyjnych (np. zakłady wytwarzające sprzęt przemysłowy), będą zmuszeni do wdrożenia adekwatnych procedur przystosowawczych.

„Dyrektywa NIS2 klasyfikuje prawie wszystkich producentów wyrobów elektrycznych w kategorii tzw. podmiotów kluczowych (essential entities) lub podmiotów istotnych (important entities). Firmy zostają zobowiązane do wdrożenia odpowiedniego systemu zarządzania bezpieczeństwem informacji. Kolejnym wymogiem okazują się bezpieczne procedury rozwojowe dotyczące urządzeń i usług cyfrowych”.

Światowy przemysł motoryzacyjny stanowi doskonały przykład wpływu NIS2 na zmianę postaw firm w zakresie cyberbezpieczeństwa. „Producenci OEM z branży motoryzacyjnej i niemal wszyscy dostawcy poziomu pierwszego musieli w 2021 r. wdrożyć system zarządzania cyberbezpieczeństwem. W lipcu 2022 r. stał się on warunkiem uzyskania homologacji typu WE dla nowych modeli samochodów. W branży motoryzacyjnej niektóre wymagania dotyczące systemów zarządzania cyberbezpieczeństwem rozprzestrzeniły się nawet na dostawców poziomu drugiego i trzeciego” – wyjaśnia Tolvanen.

Cyberbezpieczeństwo urządzeń połączonych bezprzewodowo i podlegających dystrybucji na terytorium UE będzie regulowane zapisami dyrektywy w sprawie urządzeń radiowych (Dyrektywa 2014/53/UE RED – Radio Equipment Directive). Sprzedaż urządzeń niezgodnych z wymienionym tutaj aktem prawnym stanie się nielegalna w UE już od 1 sierpnia 2024 r. W zależności od przeznaczenia sprzętu lub rozwiązania cyfrowego dany element wyposażenia przemysłowego już za kilka lat będzie podlegał pod nowe standardy bezpieczeństwa cybernetycznego.

Ramy prawne widnieją w ogólnym rozporządzeniu w sprawie bezpieczeństwa produktów, ustawie o sztucznej inteligencji i rozporządzeniu w sprawie maszyn. Wymienione tu dokumenty pozostają jeszcze w fazie tworzenia lub aktualizacji. Nowe przepisy sprawią, że sprzedaż już istniejących produktów i usług cyfrowych w UE będzie nielegalna w przypadku niezgodności ze świeżo uchwalonymi wymogami dotyczącymi cyberbezpieczeństwa.

Inwestowanie w zgodność z przepisami to niezbędny warunek dla legalizacji działalności. Bezpieczeństwo produktów i bezpieczeństwo cybernetyczne dla wielu przedsiębiorców okazuje się zupełnie nową dziedziną, wymagającą zdobycia rozległej wiedzy specjalistycznej. Niestety, nowe regulacje przełożą się również na znaczne uszczuplenie portfela firm, które chcą prowadzić procesy te we własnym zakresie. W działach R&D często brakuje ekspertów ds. cyberbezpieczeństwa.

„Dzisiaj nie opłaca się rozpoczynać żadnego przemysłowego projektu IoT lub SaaS bez wdrożenia już od samego początku działań dostosowawczych do nowych wymagań NIS2.  Wysokie ryzyko niezgodności z prawem przekłada się na krótki cykl życia produktu, na co nie mogą sobie pozwolić firmy planujące długofalową obecność na rynku. Spodziewam się również wielu problemów w obszarze odszkodowań. Nieprzestrzeganie obowiązujących przepisów dotyczących cyberbezpieczeństwa prawdopodobnie utrudni otrzymanie odszkodowania z tytułu ubezpieczenia kosztów odzyskiwania danych w przypadku incydentów związanych z cyberbezpieczeństwem” – podsumowuje Antti Tolvanen.