Cybersecurity is nieuw element in nieuwe Machinerichtlijn

Hoewel de Machinerichtlijn oorspronkelijk is geschreven om het handelsverkeer tussen EU-landen te vereenvoudigen, wordt hij door velen ook beschouwd als ‘de machineveiligheidsrichtlijn’. En dat is niet geheel onterecht. In de nieuwe machinerichtlijn die op 20 januari 2027 van kracht wordt, is specifieke aandacht voor cybersecurity toegevoegd. Een belangrijke aanvulling in een tijd waarin Internet of Things (IoT), AI, industrial security, digitalisering en netwerkvorming een steeds grotere invloed hebben op machines en installaties. Machinefabrikanten maken echter nog weinig haast om de vereiste maatregelen te nemen.

In 1995 werd de eerste Machinerichtlijn van kracht. Een belangrijke Europese richtlijn die de handel in machines tussen EU-landen vereenvoudigde. De richtlijn geldt namelijk voor alle bedrijven in de Europese Economische Ruimte die machines ontwerpen, bouwen en/of verkopen. Middels een CE-markering wordt verklaard dat een betreffende machine voldoet aan de Machinerichtlijn waarmee bedrijven bij het importeren van machines verzekerd zijn van een veilige machine.

Cybersecurity

Sinds 1995 is de Machinerichtlijn twee keer aangepast en verscheen er een nieuwe versie in respectievelijk 1998 en 2009. We zijn inmiddels weer vijftien jaar verder en de techniek heeft zeker niet stilgestaan. De meest opvallende ontwikkelingen zijn gedaan met betrekking tot industrie 4.0 (internet of things/IoT), artificiële intelligentie en augmented reality en netwerkvorming. Centraal hierbij staat dat er een verbinding is tussen de machine en ‘de buitenwereld’, waarmee de laatste theoretisch de mogelijkheid heeft om de machine – en hiermee soms een heel bedrijf – op digitaal niveau binnen te dringen. 

Dit ‘hacken’ gebeurt in sommige gevallen door ‘kwajongens’, maar vaker door harde cybercriminelen die erop uit zijn om data te stelen of een bedrijf digitaal te gijzelen. In het laatste geval moet het betreffende bedrijf losgeld betalen om weer bij haar bestanden te kunnen. Veel bedrijven doen dit omdat het stilliggen van de productie nu eenmaal geen optie is. De praktijk leert dat in de afgelopen jaren het aantal dreigingen maar ook het soort dreigingen sterk is gegroeid. Het feit dat ‘werken in de cloud’ aan populariteit wint, levert ook een bijdrage aan de groei van het aantal aanvallen.

2027: nieuwe Machinerichtlijn

Deze digitale innovaties zijn al langer geleden voldoende reden geweest om een vierde editie van de Machinerichtlijn te ontwikkelen. Deze is in 2023 al in werking getreden maar geeft fabrikanten tot 20 juli 2027 de tijd om hier volledig aan te voldoen. Deze update zal overigens waarschijnlijk niet meer als richtlijn worden gepubliceerd, maar als verordening. Dit betekent dat het een Europese wet is die direct van kracht is en niet vraagt om een vertaling naar de nationale wetgeving. 

De belangrijkste aanvullingen in deze nieuwe editie liggen op het vlak van cybersecurity, die verplicht moet worden meegenomen in de risicobeoordeling. Hieruit kan onder meer komen dat er extra bescherming van software tegen beschadiging is vereist. Zo vormt het aansluiten van ‘vreemde’ apparaten op een machine een potentieel risico. Denk daarbij aan de laptop van een onderhoudsmonteur of een USB-stick met een nieuw programma. De nieuwe Machinerichtlijn eist dat de veiligheidsfuncties van de machine door deze koppeling niet worden beïnvloed. En zo zijn er vele andere details die moeten voorkomen dat bedrijven via een machine het slachtoffer worden van een gelukte cyberaanval. 

Voorbereiden

Bedrijven die zich gespecialiseerd hebben in machineveiligheid merken dat de interesse bij machinefabrikanten om zich bezig te houden met cybersecurity niet bijzonder groot is. Nu is dat een bekend gegeven wanneer de verplichting nog ‘zo ver weg is’, maar ook bekend is dat de tijd sneller gaat dan je soms wilt. Een algemeen advies aan machinefabrikanten is dan ook om haast te maken met de stappen die nodig zijn om een machine ook na 20 januari 2027 te mogen voorzien van een CE-markering. Er zijn inmiddels diverse trainingen en workshops ontwikkeld waarmee bedrijven aan de slag kunnen en die ondersteunen bij enerzijds het detecteren van de risico’s en daarnaast bij het selecteren van de juiste hard- of softwareoplossing gecombineerd met organisatorische maatregelen of protocollen.