A segurança das pessoas depende cada vez mais da proteção da produção e das instalações industriais (Industrial Security). Isto porque a digitalização cria novas oportunidades de manipulação, pelo que o objetivo da Industrial Security é garantir a disponibilidade das máquinas, a integridade e confidencialidade dos dados e processos.
Para reduzir os riscos decorrentes de incidentes de segurança, a legislação europeia introduziu novos regulamentos e adaptou os regulamentos existentes, como o Regulamento Máquinas, que é importante para a conceção das máquinas, o CRA (Cyber Resilience Act), que visa proteger dispositivos e componentes e, a Diretiva NIS 2, que estabelece medidas que visam a consecução de um elevado nível comum de cibersegurança na União Europeia. Já não cabe às empresas decidir se devem, ou, não, e em que medida, abordar a segurança, porque agora é um requisito legal.
Quais são os novos requisitos?
Sucessor da Diretiva Máquina, o novo Regulamento Máquina 2023/1230 é o principal regulamento europeu relativo à segurança máquina. De cumprimento obrigatório a partir de janeiro de 2027, prevê medidas de segurança nas partes da máquina que influenciam a segurança funcional pelo que, no futuro, quem pretender obter a marcação CE deve garantir que o controlo da máquina está adequadamente protegido contra manipulações acidentais ou intencionais, bem como contra quaisquer situações de perigo que possam surgir.
Quanto ao Cyber Resilience Act, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais publicado em outubro de 2024 (2024/2847) tem o estatuto de regulamento. A partir de 11 de dezembro de 2027, qualquer produto que se enquadre neste regulamento e destinado a ser comercializado na Europa terá de cumprir os seus requisitos obrigatoriamente. Este regulamento aplica-se a qualquer produto com elementos digitais, não é exclusivo de componentes para as máquinas.
Isto significa que os fornecedores de componentes de automação terão de alterar os seus processos. Isto vai desde o desenvolvimento seguro de acordo com a norma IEC 62443-4-1 e a análise e avaliação contínuas de vulnerabilidades até ao fornecimento de atualizações de segurança, mesmo cinco anos após o produto ter saído da produção.
Os fabricantes têm de implementar processos que garantam aos clientes o funcionamento seguro das suas máquinas, mesmo após a entrega. Para obter a marcação CE, devem ser dados os seguintes passos: análise de risco, desenvolvimento de um conceito de segurança, implementação e verificação final.
Os clientes finais terão de ir mais além para cumprir os requisitos legais de segurança, por exemplo, adotando medidas organizacionais, fazendo a gestão do acesso às instalações e/ou formando os funcionários. A Diretiva NIS 2 (Network and Information Systems 2 – Diretiva (UE) 2022/2555) formaliza o quadro jurídico. O cumprimento desta Diretiva (ainda não transposta a Lei Nacional), dependerá da dimensão da empresa e, portanto, da sua maior, ou, menor atratividade económica a ciberataques.
A segurança (Security) é uma tarefa partilhada
As ameaças à segurança (Security) estão em constante mutação, quer porque os atacantes variam a sua estratégia, ou, porque surgem novas lacunas. A eficácia das medidas de segurança na prática depende de vários aspetos:
- As responsabilidades e a gestão de contas devem ser claramente estabelecidas nas empresas. Já não se trata apenas de uma questão de IT, mas a produção e a manutenção também têm de ser envolvidas.
- Enquanto responsáveis por garantir a disponibilidade das máquinas, a tecnologia operacional (OT – Operational Technology) tem de trabalhar em conjunto com as tecnologias de IT (Information Technology) unindo sinergias.
- A capacidade de cooperar entre todas as partes interessadas (fabricantes de máquinas e equipamentos e os clientes) ao longo do ciclo de vida das máquinas é um elemento-chave para detetar ameaças e aplicar soluções atempadamente.
Como afeta o Security a parte Safety?
A segurança é um requisito básico para as máquinas. No entanto, as funções correspondentes, como a paragem de emergência, ou, a função de uma barreira de segurança, devem ser protegidas contra manipulações (acidentais, ou, maliciosas). Assim, não há segurança sem Industrial Security e sem segurança as pessoas não estão protegidas.
Ao nível da máquina, isto significa que Safety e Security devem ser consideradas em conjunto durante a fase de planeamento e conceção. O acesso às máquinas tem sido tradicionalmente assegurado por portas de segurança que só podem ser abertas se a máquina estiver num estado seguro.
No entanto, a melhor porta de segurança é inútil se o acesso não estiver protegido contra a manipulação. A Gestão da Identificação e do Acesso (I.A.M. – Identification & Access Management) deve ser incorporada juntamente com medidas organizacionais para gerir o acesso e as permissões às instalações e máquinas. Além disso, as redes automatizadas devem ser protegidas contra a manipulação e o acesso externo não autorizado através de uma firewall industrial.
Ao nível da rede, a segurança deve ser localizada como uma função nas zonas apropriadas, de acordo com o conceito de zonas e condutas da norma IEC 62443. Embora os protocolos de segurança utilizados nas condutas tenham sempre proporcionado alguma proteção contra a corrupção, para garantir a segurança, questões como identidades seguras, ou, trocas de certificados tornar-se-ão cada vez mais importantes.
Nuno Guedes
Country Manager – Portugal / PSS Systems Development Manager
Pilz Portugal
Tel.: +351 229 407 594
info@pilz.pt · www.pilz.pt
Outros artigos relacionados
- Dossier “Cibersegurança Industrial” da edição 114 da revista Robótica;
- Reportagem “Regulamentação, formação e segurança é o futuro da automação” da edição 138 da revista Robótica;