Hoewel de nieuwe Europese machineverordening pas in 2027 van kracht wordt, moeten bedrijven zich er nu al in verdiepen, legt onze columnist Siegfried Müller van Red Lion Europe uit.
Eindelijk vakantie. De meesten van jullie denken waarschijnlijk vooral aan de zon, de zee, het strand of misschien de bergen en waarschijnlijk minder aan “hoe zit het met mijn cyberveiligheid”. Of heb ik het mis? Toch, of misschien wel juist daarom, verschijnen de onvermijdelijke tips over cybersecurity voor vakanties elk jaar net op tijd in de relevante IT-vakbladen, kort voor de langverwachte start van de vakanties. Van “waar moet je op letten voordat je het kantoor verlaat” tot “wat kan er gebeuren vlak voor en tijdens de vakantie”.
Naar alle waarschijnlijkheid weet je al veel dingen. Je kunt bijvoorbeeld beter geen vertrouwelijke gegevens invoeren op een pagina die geen slotsymbool – of nog opvallender, een “Niet beveiligd”-symbool – in de browserbalk heeft. Oké. Maar het advies dat het zinvol is om een back-up te maken voordat je op vakantie gaat of dat je goed moet nadenken over wat je communiceert in het out-of-office bericht is nuttiger – omdat beide verloren kunnen gaan in de stress voor de vakantie.
En toch is het duidelijk: wanneer bedrijven leeglopen tijdens het vakantieseizoen, is het de piektijd voor hackers – niet in de laatste plaats omdat ze ervan uitgaan dat er niet over alles is nagedacht op het gebied van cyberbeveiliging.
In de meeste gevallen hebben ze waarschijnlijk gelijk met deze veronderstelling – maar heb je ooit een gids ontvangen met vergelijkbaar advies over productie en een lijst met geschikte procedures voor het beveiligen ervan tijdens het vakantieseizoen?
Je verwacht dit (hopelijk) ook niet van mij. Want daarvoor is dit onderwerp te complex en moet het strategisch worden benaderd. Zoals bewezen is, vooral onder het aspect van voortschrijdende digitalisering. Dit is precies de reden voor de nieuwe machineregelgeving, die ik u vandaag wil uitleggen. Waarom juist nu? Omdat u op dit moment, nu het wat rustiger is, misschien meer tijd hebt om de achtergrond nader te bekijken.
Wat je moet weten over de nieuwe machineregelgeving
Om te beginnen: de nieuwe machineregeling (EU) 2023/1230 is op 19 juli 2023 in werking getreden. Voor de tenuitvoerlegging is een overgangsperiode van 42 maanden voorzien. Daarna is de toepassing ervan verplicht en vervangt ze de machinerichtlijn 2006/42/EG, die 17 jaar van kracht is geweest. De weg naar de nieuwe centrale reeks voorschriften was passend bij het onderwerp: Het eerste ontwerp van de nieuwe EU-machineverordening werd eind april 2021 gepubliceerd. En na de gebruikelijke procedure – van de indiening van mogelijke wijzigingsvoorstellen tot de afronding van de trialoogonderhandelingen medio december 2022 – vond de aankondiging in het Publicatieblad van de EU plaats op 29 juni 2023.
Hoewel de EU-machineverordening geen paradigmaverschuiving inhoudt, brengt deze wel een aantal wijzigingen van praktisch belang met zich mee. Een belangrijk kenmerk is dat de regelgeving is aangepast om rekening te houden met de risico’s en uitdagingen – die onder andere voortvloeien uit de toenemende digitalisering op het gebied van cyberveiligheid. En uit het gebruik van nieuwe technologieën zoals AI in en voor machineproducten – en er zo voor te zorgen dat ze op de lange termijn veilig kunnen worden gebruikt.
De EU-verordening staat in de context van andere nieuwe EU-verordeningen, waaronder de AI-wet, die globaal regelt wat in de toekomst van belang kan zijn voor fabrikanten, importeurs, (online) dealers, gevolmachtigden en distributeurs van machines. Dit geldt onder andere voor de CE-markering: Het belang van deze markering vloeit voort uit het feit dat het geenszins een eigen verklaring is, maar het resultaat van een conformiteitsbeoordelingsprocedure door de fabrikant.
Het komt erop neer dat de fabrikant verantwoordelijk is tegenover de markttoezichtautoriteiten om ervoor te zorgen dat zijn product voldoet aan alle toepasselijke wetgeving die vereist dat de CE-markering wordt aangebracht.
Regelgeving voor machines in het bijzonder: Cyberveiligheid
Een van de belangrijkste veranderingen in de regelgeving is dat machinebouwers in de toekomst niet alleen aan alle eisen op het gebied van veiligheid moeten voldoen, maar dat de regelgeving ook van toepassing is op cyberveiligheid. Wat betekent dat machinebouwers moeten zorgen voor de bescherming van besturingssystemen. Dit betekent onder andere dat er maatregelen moeten worden genomen om ervoor te zorgen dat er niet mee geknoeid kan worden.
Hoewel er in dit verband geen specifieke uitvoeringsinstructies zijn gedefinieerd, volgt hieruit dat de fabrikant een risicobeoordeling moet uitvoeren om cyberbeveiligingsmaatregelen te kunnen nemen door te anticiperen op mogelijke criminele handelingen of aanvallen door derden. Zodat de veiligheid van de machine adequaat kan worden gegarandeerd. Bovendien kunnen hieruit afdoende verdere documentatievereisten worden afgeleid.
Er is bijvoorbeeld nog steeds behoefte aan verduidelijking over hoe de passage “voldoen aan de eisen” uit de machineregeling kan worden uitgevoerd. Terwijl de machinebouwer de veiligheidseisen voor een specifieke toepassing altijd nauwkeurig heeft kunnen vastleggen als onderdeel van zijn risicoanalyse, is dit niet zo eenvoudig in de context van machineveiligheid. Hier speelt een grote verscheidenheid aan factoren een rol, aangezien een machine altijd geïntegreerd is in een totaalsysteem – daarom is het noodzakelijk om de implementatie van eisen holistisch te benaderen, wat betekent dat bescherming niet kan worden geïmplementeerd als een geïsoleerde oplossing.
Conclusie: Wat is nu raadzaam?
Mijn belangrijkste advies in dit verband is dat bedrijven zich nu tijdig moeten verdiepen in deze regels en het onderwerp als geheel. Naar mijn mening is het ook raadzaam om hier voortdurend up-to-date te blijven om de veranderingen die hieruit kunnen voortvloeien in de gaten te houden – bijvoorbeeld met betrekking tot de classificatie van de kriticiteit van de machines.
Het is ook essentieel om het bewustzijn over deze kwestie onder de eigen werknemers van het bedrijf te vergroten, zodat ze eventuele noodzakelijke veranderingen positief kunnen ondersteunen. In geen geval mag het tijdsbestek van drieënhalf jaar worden overschat – zoals we al hebben gezien, kunnen onverwachte gebeurtenissen zoals een pandemie of knelpunten in de toeleveringsketen plotseling al onze aandacht opeisen en staat de deadline voor de deur, maar zijn de voorbereidingen voor de verordening nog in volle gang.
De column is in de originele Duitse versie gepubliceerd op produktion.de.