La ciberseguridad, hoy, es la seguridad de las personas
¿Qué cambia para los fabricantes y los usuarios con el Reglamento sobre máquinas 2023/1230?
Ciberseguridad de las tecnologías operativas (OT) y Reglamento sobre máquinas (UE) 2023/1230
Cuando un sistema informático se ve comprometido en una oficina, las consecuencias siguen siendo digitales. Cuando el mismo tipo de ataque afecta al sistema de control de una máquina industrial, las consecuencias salen de la pantalla: pueden desactivar funciones de seguridad, iniciar movimientos peligrosos, bloquear paradas de emergencia.
La ciberseguridad OT, la que afecta a los sistemas operativos de las instalaciones, los PLC, las redes de campo y las conexiones remotas, tiene un impacto directo en la seguridad física de las personas que trabajan con esas máquinas. El Reglamento de Máquinas (UE) 2023/1230 ha formalizado este vínculo, introduciendo por primera vez requisitos específicos sobre la protección del software, de los sistemas de mando y de los datos críticos.
El perímetro de la máquina se ha ampliado
La Directiva de Máquinas 2006/42/CE estaba pensada para máquinas mecánicas y electromecánicas. En el texto no existían referencias explícitas al software, la conectividad, la inteligencia artificial o la ciberseguridad. Durante veinte años, esa parte del riesgo permaneció en una zona gris.
El Reglamento de Máquinas (UE) 2023/1230, que será aplicable a partir del 20 de enero de 2027, colma esta laguna. Software embebido, redes OT, accesos remotos: el Reglamento los trata como componentes de la máquina a todos los efectos, con las correspondientes obligaciones de diseño y seguridad.
El nuevo RESS 1.1.9, Protección contra la corrupción, establece que las máquinas deben diseñarse y fabricarse de modo que las conexiones y los accesos remotos no permitan la alteración de las funciones de seguridad ni la generación de situaciones peligrosas. El requisito abarca tres ámbitos distintos:
- Software
- Componentes de hardware
- Datos críticos
SAFETY y SECURITY: dos conceptos distintos
En las máquinas industriales con componentes digitales y conectividad, los riesgos funcionales (safety) y los riesgos ciber (security) ya no pueden gestionarse como ámbitos separados.
Un acceso no autorizado, un cambio de configuración o una actualización de software no controlada pueden incidir en el comportamiento de la máquina y, por tanto, en la seguridad de los operadores.
En el Reglamento (UE) 2023/1230, safety y security convergen.
Security
Qué protege: Los equipos y los datos frente a manipulaciones y accesos no autorizados.
Referencia: Ley de ciberresiliencia (UE) 2024/2847.
Ejemplos: Autenticación, cifrado, actualizaciones de firmware.
Tipo de medida: Informática y procedimental.
Safety
Qué protege: A los operarios de los peligros derivados del funcionamiento de la maquinaria.
Referencia: Reglamento (UE) 2023/1230.
Ejemplos: Protecciones, barreras, parada de emergencia.
Tipo de medida: Física y/o electrónica.
En otras palabras, a partir de 2027 no bastará con diseñar una máquina segura desde el punto de vista mecánico, eléctrico o funcional. Será necesario demostrar que el software, las redes, los dispositivos conectados y los accesos digitales no puedan comprometer las funciones de seguridad previstas por el diseño.
Una máquina puede cumplir los requisitos tradicionales de safety, pero si es vulnerable a manipulaciones informáticas que alteran funciones, parámetros o lógicas de control, el nivel de seguridad global queda comprometido. La protección de las personas y la protección de los sistemas digitales pasan así a ser partes del mismo proceso de gestión del riesgo.
Las demás novedades del Reglamento que afectan al software
El Reglamento interviene sobre el tema del software de manera más amplia.
RESS 1.2.1, Seguridad y fiabilidad de los sistemas de mando
Exige que los sistemas de control se diseñen de manera segura y fiable, incluidos los que integran software evolutivo o inteligencia artificial.
Los cambios en el comportamiento de la máquina, incluso los generados por sistemas autoadaptativos, deben gestionarse de modo que no generen situaciones peligrosas.
Modificación sustancial
El Reglamento introduce por primera vez una definición clara.
Una modificación es sustancial cuando incide en la seguridad de la máquina creando un nuevo peligro o aumentando un riesgo existente.
La novedad respecto a la Directiva es explícita: la modificación puede producirse «por medios físicos o digitales». Una actualización de software que altere el comportamiento del sistema de seguridad entra en esta definición.
El software como componente de seguridad (Anexo II)
En el Anexo II del Reglamento, la lista de los componentes de seguridad, aparece por primera vez el software que garantiza funciones de seguridad.
Un software de este tipo, si se introduce en el mercado por separado, deberá llevar el marcado CE e ir acompañado de una declaración UE de conformidad y de las instrucciones de uso.
La misma obligación rige para los componentes de seguridad con comportamiento autoevolutivo basado en el aprendizaje automático.
Cómo gestionamos esta parte
La digitalización de las máquinas ha convertido la ciberseguridad OT en parte integrante de la evaluación del riesgo. Esto significa abordar los aspectos de ciberseguridad relevantes para la seguridad de las personas y para la conformidad normativa de la máquina.
Nuestro enfoque está calibrado sobre el perímetro real de la instalación y sobre los requisitos aplicables. Mantenemos el foco en los sistemas OT de la máquina, al margen de actividades IT no pertinentes.
Los servicios que ofrecemos en este frente:
- Evaluación del sistema OT en materia de ciberseguridad (OT Assessment) / Análisis preliminar de la arquitectura OT, identificación del perímetro relevante y de los puntos críticos respecto a los requisitos normativos.
- Cyber Compliance CE / Verificación de los requisitos de ciberseguridad aplicables al marcado CE según el Reglamento de Máquinas (UE) 2023/1230.
- Cyber Compliance CE Advanced / Extensión del análisis a todo el sistema OT más allá de los requisitos mínimos CE.
- Determinación del Security Level según IEC 62443 / Evaluación del nivel de security de los sistemas OT según la norma internacional de referencia para la ciberseguridad industrial.