La ciberseguridad, hoy, es la seguridad de las personas

¿Qué cambia para los fabricantes y los usuarios con el Reglamento sobre máquinas 2023/1230?

Ciberseguridad de las tecnologías operativas (OT) y Reglamento sobre máquinas (UE) 2023/1230

Cuando un sistema informático se ve comprometido en una oficina, las consecuencias siguen siendo digitales. Cuando el mismo tipo de ataque afecta al sistema de control de una máquina industrial, las consecuencias salen de la pantalla: pueden desactivar funciones de seguridad, iniciar movimientos peligrosos, bloquear paradas de emergencia.

La ciberseguridad OT, la que afecta a los sistemas operativos de las instalaciones, los PLC, las redes de campo y las conexiones remotas, tiene un impacto directo en la seguridad física de las personas que trabajan con esas máquinas. El Reglamento de Máquinas (UE) 2023/1230 ha formalizado este vínculo, introduciendo por primera vez requisitos específicos sobre la protección del software, de los sistemas de mando y de los datos críticos.

Quadro elettrico macchinario
Tecnico che analizza codice o interfaccia software su schermo

El perímetro de la máquina se ha ampliado

La Directiva de Máquinas 2006/42/CE estaba pensada para máquinas mecánicas y electromecánicas. En el texto no existían referencias explícitas al software, la conectividad, la inteligencia artificial o la ciberseguridad. Durante veinte años, esa parte del riesgo permaneció en una zona gris.

El Reglamento de Máquinas (UE) 2023/1230, que será aplicable a partir del 20 de enero de 2027, colma esta laguna. Software embebido, redes OT, accesos remotos: el Reglamento los trata como componentes de la máquina a todos los efectos, con las correspondientes obligaciones de diseño y seguridad.

El nuevo RESS 1.1.9, Protección contra la corrupción, establece que las máquinas deben diseñarse y fabricarse de modo que las conexiones y los accesos remotos no permitan la alteración de las funciones de seguridad ni la generación de situaciones peligrosas. El requisito abarca tres ámbitos distintos:

Análisis en profundidad

SAFETY y SECURITY: dos conceptos distintos

En las máquinas industriales con componentes digitales y conectividad, los riesgos funcionales (safety) y los riesgos ciber (security) ya no pueden gestionarse como ámbitos separados.

Un acceso no autorizado, un cambio de configuración o una actualización de software no controlada pueden incidir en el comportamiento de la máquina y, por tanto, en la seguridad de los operadores.

En el Reglamento (UE) 2023/1230, safety y security convergen.

Security

Qué protege: Los equipos y los datos frente a manipulaciones y accesos no autorizados.

Referencia: Ley de ciberresiliencia (UE) 2024/2847.

Ejemplos: Autenticación, cifrado, actualizaciones de firmware.

Tipo de medida: Informática y procedimental.

Safety

Qué protege: A los operarios de los peligros derivados del funcionamiento de la maquinaria.

Referencia: Reglamento (UE) 2023/1230.

Ejemplos: Protecciones, barreras, parada de emergencia.

Tipo de medida: Física y/o electrónica.

En otras palabras, a partir de 2027 no bastará con diseñar una máquina segura desde el punto de vista mecánico, eléctrico o funcional. Será necesario demostrar que el software, las redes, los dispositivos conectados y los accesos digitales no puedan comprometer las funciones de seguridad previstas por el diseño.

Una máquina puede cumplir los requisitos tradicionales de safety, pero si es  vulnerable a manipulaciones informáticas que alteran funciones, parámetros o lógicas de control, el nivel de seguridad global queda comprometido. La protección de las personas y la protección de los sistemas digitales pasan así a ser partes del mismo proceso de gestión del riesgo.

Las demás novedades del Reglamento que afectan al software

El RESS 1.1.9 no es el único punto relevante.

El Reglamento interviene sobre el tema del software de manera más amplia.

Exige que los sistemas de control se diseñen de manera segura y fiable, incluidos los que integran software evolutivo o inteligencia artificial.

Los cambios en el comportamiento de la máquina, incluso los generados por sistemas autoadaptativos, deben gestionarse de modo que no generen situaciones peligrosas.

El Reglamento introduce por primera vez una definición clara.

Una modificación es sustancial cuando incide en la seguridad de la máquina creando un nuevo peligro o aumentando un riesgo existente.

La novedad respecto a la Directiva es explícita: la modificación puede producirse «por medios físicos o digitales». Una actualización de software que altere el comportamiento del sistema de seguridad entra en esta definición.

En el Anexo II del Reglamento, la lista de los componentes de seguridad, aparece por primera vez el software que garantiza funciones de seguridad.

Un software de este tipo, si se introduce en el mercado por separado, deberá llevar el marcado CE e ir acompañado de una declaración UE de conformidad y de las instrucciones de uso.

La misma obligación rige para los componentes de seguridad con comportamiento autoevolutivo basado en el aprendizaje automático.

Tecnico che analizza codice o interfaccia software su schermo
Persona davanti a quadro elettrico

Cómo gestionamos esta parte

La digitalización de las máquinas ha convertido la ciberseguridad OT en parte integrante de la evaluación del riesgo. Esto significa abordar los aspectos de ciberseguridad relevantes para la seguridad de las personas y para la conformidad normativa de la máquina.

Nuestro enfoque está calibrado sobre el perímetro real de la instalación y sobre los requisitos aplicables. Mantenemos el foco en los sistemas OT de la máquina, al margen de actividades IT no pertinentes.

Los servicios que ofrecemos en este frente:

Contacta con nuestros ingenieros de Seguridad

Rellena el formulario rápido y habla de inmediato con un experto

Scroll al inicio
¿Necesitas un presupuesto gratuito?
Pregunten a nuestros ingenieros de seguridad

    Envíenos su proyecto o maqueta
    Sube tus proyectos en formato PDF, DWG, STP, JPG, PNG, CSV, XLSX, WORD, zip o rar
    NOTA: solo se puede subir un archivo con un tamaño máximo de 8 MB. Si tienes más archivos, envíalos en una carpeta comprimida.




    * = campo obligatorio

    ¿Necesitas un presupuesto gratuito?
    Pregunten a nuestros ingenieros de seguridad

      Envíenos su proyecto o maqueta
      Sube tus proyectos en formato PDF, DWG, STP, JPG, PNG, CSV, XLSX, WORD, zip o rar
      NOTA: solo se puede subir un archivo con un tamaño máximo de 8 MB. Si tienes más archivos, envíalos en una carpeta comprimida.




      * = campo obligatorio