Cybersäkerhet med EU:s Cyber Resilience Act (CRA)

Alla system som är direkt anslutna till internet riskerar att utsättas för säkerhetsrisker. Även om det industriella produktionssystemet kanske inte är det huvudsakliga målet kan en angripare ändå utnyttja det som en svag punkt för att nå sitt egentliga mål.

Cybersäkerhetsakten CRA har tagits fram för att stärka cybersäkerheten i hela EU genom att säkerställa att digitala produkter utformas för att stå emot en cyberattack eller annat intrång under hela sin livscykel. Det gäller både hårdvaru- och mjukvarukomponenter, exempelvis IoT-enheter, operativsystem och applikationer, som är avsedda för den europeiska marknaden.

CRA utfärdades den 10 december 2024, och efter den 11 december 2027 får endast produkter som uppfyller kraven säljas i Europa. Skyldigheter att rapportera sårbarheter träder i kraft redan den 11 september 2026.

CRA syftar till att öka säkerheten genom att fokusera på produktdesign, livscykelunderhåll och en obligatorisk rapportering av sårbarheter och allvarliga incidenter. Den ser också till att tillverkare, importörer och distributörer följer samma strikta säkerhetsstandard och tar hänsyn till säkerhetskraven redan i produktutvecklingen.

Tillverkarens ansvar

I korthet kan man säga att den nya förordningen ser till att tillverkare av industrirobotar, styrsystem, sensorer och kommunikationslösningar:

• Utvecklar produkter med inbyggd cybersäkerhet redan från början.
• Kan hantera sårbarheter och tillhandahålla säkerhetsuppdateringar under produktens hela livslängd.
• Inkluderar cybersäkerhetskrav i dokumentation och CE-märkning.

Hur påverkas YASKAWA av de nya kraven?

All digital funktionalitet och möjlighet till uppkoppling i robot- och automationsprodukter gör att de nya kraven påverkar praktiskt taget hela produktportföljen. Yaskawa lägger stor vikt vid kvaliteten på det man levererar och därför har arbetet redan börjat med att byta ut vissa komponenter och modifiera produkter för att kunna uppfylla de nya kraven.

I det arbetet ingår också en plan för hur reservdelar ska hanteras framöver, och hur man gör med ursprunglig programvara om befintlig utrustning behöver ersättas av en nytillverkad CRA-kompatibel produkt.

Förutsättningar för en cybersäker robotanläggning

Det räcker inte med att en automationskomponent eller en robot är CRA kompatibel om det finns andra säkerhetsluckor i den miljö där den ska användas. Det är förstås viktigt att företagsnätverket är skyddat av en brandvägg, och det kan behövas system för att upptäcka och förhindra intrång eller se till att enbart auktoriserad personal kan komma in i fabriken eller ha tillgång till vissa datorer.

Om de här förutsättningarna inte kan uppfyllas måste man noggrant bedöma de risker som finns och säkerställa att de är på en acceptabel nivå. Ingen kedja är starkare än sin svagaste länk!