Hoe bereid je je voor op de nieuwe machineverordening van de EU

Snelle technologische veranderingen op het gebied van digitale transformatie en Industry 4.0 zorgen voor nieuwe industriële uitdagingen en kansen. Het Europese Parlement keurde in lijn hiervan recentelijk de nieuwe Verordening betreffende machines goed, en dit zorgt hiervoor dat bestaande regels aangepast moeten worden om te voldoen aan de eisen van een moderne fabriek. De machineverordening 2023/1230 gaat in 2027 van kracht. Wat moeten bedrijven weten om zich voor te bereiden op de opvolger van de Machinerichtlijn?

Wat is er veranderd sinds de Machinerichtlijn van 2006?

De meest opvallende wijziging van deze regelgeving voor veiligheid en gezondheid is de focus op de technologische ontwikkeling van machines. Hierbij wordt speciale aandacht besteed aan de risico’s die gepaard gaat met nieuwe technologieën zoals het Internet of Things en artificial intelligence. Machinefabrikanten moeten ervoor zorgen dat alle producten die ze na 19 januari 2027 op de EU-markt brengen, voldoen aan de nieuwe ‘Machineverordening betreffende machines’. Met het oog op de lange doorlooptijden van productieprocessen is het verstandig snel met de compliance-planning te beginnen.

De ‘Machineverordening betreffende machines’ voorziet in nieuwe definities, rollen en verantwoordelijkheden voor alle economische spelers in de toevoerketen (zoals importeurs en distributeurs). Elk van deze partijen krijgen specifieke verantwoordelijkheden toegekend voor het waarborgen van overeenstemming met de machinerichtlijn. Dit benadrukt en versterkt de huidige focus op de toevoerketen en verificatie van de juiste identificatie van en documentatie voor apparatuur.

Een ander centraal aandachtspunt is cybersecurity. Het is noodzakelijk om machines en gerelateerde producten te ontwerpen die beveiligingsrisico’s die veroorzaakt worden door verbindingen met de buitenwereld, te minimaliseren. Het Fortinet OT Security Platform biedt een oplossing voor deze uitdagingen met speciaal voor operationele technologie (OT) ontwikkelde netwerkverbindingen, ondersteuning voor zero trust beveiliging en SecOps-oplossingen.

Tref voorbereidingen voor de deadline van 2027

De nieuwe machineverordening maakt deel uit van een breder kader van richtlijnen op het gebied van cybersecurity en wijst op de noodzaak om tijdens alle productiestadia rekening te houden met de beveiliging.

Voor organisaties is het van cruciaal belang om rekening te houden met beveiligingsrisico’s binnen de workflow voor het beoordelen van risico’s rond de machineveiligheid, alle gebruikte software bij te houden en onderdelen met zorg uit te kiezen. Een ander belangrijk aspect is het beheren van de afstemming op ecosystemen van externe partijen. Er moet voor worden gezorgd dat die aan de eisen van de laatste richtlijnen op het gebied van cyberbeveiliging. De Verordening Cyberweerbaarheid (Cyber Security Resilience Act; CRA) die op 23 oktober 2024 werd bekrachtigd, richt zich specifiek op aspecten van de beveiliging gedurende de volledige levensduur van producten met digitale onderdelen.

De volgende aanbevelingen kunnen machinebouwers helpen om effectief om te gaan met dit nieuwe regelgevingslandschap:

• Machines ontwerpen met cybersecurity in gedachten: Bouw vanaf de eerste ontwerpfase cybersecurity in en houd rekening met alle aspecten van fysieke en digitale beveiliging om integrale bescherming te waarborgen.
• Hanteer een systeemoverkoepelend beveiligingspersperctief: Waarborg de beveiliging van het complete ecosysteem, met inbegrip van alle software, hardware en netwerken.
• Zorg voor een continue compliance-proces: Pas voortdurende monitoring toe om overeenstemming met de regelgeving te waarborgen en zorg voor actief beheer van de beveiliging, zeker met het oog op de nieuwe focus op verificatie van de toevoerketen.
• Beveilig de complete levenscyclus van software: Zorg voor veilige ontwikkelingsprocessen, regelmatige updates en veilige programmeerpraktijken om kwetsbaarheden en misbruik daarvan te voorkomen.
• Pas robuuste mechanismen voor identiteits- en toegangsbeheer toe: Voorkom onbevoegde toegang met sterke identity & access management (IaM)-mechanismen. Dit is van cruciaal belang voor onderdelen die met de buitenwereld zijn verbonden.
• Bereid de incidentrespons voor: Stel een gedetailleerd plan voor incidentrespons op om snel op beveiligingsincidenten te kunnen reageren en cyberbedreigingen in te dammen.
• Voer een inspectie uit van ecosystemen van externe partijen: Zie erop toe dat alle externe partners voldoen aan de eisen op het gebied van cybersecurity en benadruk het belang van transparantie.
• Bied je team training en voorlichting: Draag bij aan een cultuur van beveiliging met regelmatige security awareness-training voor alle werknemers die bij de levenscyclus van machines betrokken zijn.
• Pas de CRA toe: Pas de regels van de CRA toe voor het waarborgen van overeenstemming met de beveiligingseisen van de nieuwe Machineverordening betreffende machines, en met name die voor digitale componenten.
• Documenteer alle inspanningen op het gebied van cybersecurity: Houd een gedetailleerde historie bij van alle compliance- en beveiligingsmaatregelen en beveiligingsincidenten om te zorgen voor continue verbetering en overeenstemming met de regelgeving.

Auteur: Jasper Wubben, business development manager OT bij Fortinet Nederland