El 29 de junio de 2023 marca un punto de inflexión histórico en la legislación europea: nace el nuevo Reglamento de Máquinas 2023/1230, publicado en Diario oficial de la Unión Europea. Este innovador reglamento, que será aplicable a partir del 14 de enero de 2027, no es sólo una actualización, sino una auténtica revolución. Ssustituye a la Directiva de Máquinas 2006/42/CE, que establecía los requisitos fundamentales en materia de seguridad y salud pública, a los que debían adaptarse las máquinas y equipos. El énfasis se puso principalmente en “seguridad”o sobre la implementación de medidas encaminadas a detectar riesgos potenciales para la salud y la seguridad de los operadores y sobre intervenciones dirigidas a reducir la probabilidad de accidentes.
A diferencia de la Directiva de Maquinaria 2006/42/CE, el Reglamento de Maquinaria impone una obligación vinculante a todos los países miembros de la UE, garantizando la aplicación uniforme de sus normas. Más que un simple reglamento, es un puente hacia el futuro de la seguridad de las máquinas digitales. Con requisitos rigurosos y una visión de vanguardia, se erige como una luz guía para una industria más segura y de vanguardia.
Un aspecto fundamental del Reglamento es que la seguridad informática se considera desde la fase de diseño y durante todo el ciclo de vida de la máquina. Este enfoque, conocido como “seguridad por diseño”Es vital para proteger las máquinas industriales de los crecientes riesgos de ciberataques.
Qué cambia para quienes trabajan con máquinas
Pero, ¿qué significa esto para los fabricantes de máquinas, los distribuidores y, por supuesto, los usuarios? Le pedimos Rafael Parisi, Responsable de Networking e Infraestructuras, en Digimetrica, empresa especializada en servicios de seguridad informática desde hace más de veinte años. «En primer lugar, el reglamento hace hincapié en la seguridad y la protección de datos. Las máquinas ya no son sólo herramientas físicas; se han convertido en plataformas conectadas, expuestas a riesgos digitales. Imaginemos, por ejemplo, una fresadora CNC en un laboratorio: según la nueva normativa, la seguridad de su software y la protección de los datos que procesa se vuelven tan cruciales como la seguridad de sus piezas mecánicas”.
¿Cuál es el impacto en las empresas?
Los fabricantes deberán asegurarse de que sus máquinas no sólo cumplan con los nuevos estándares de seguridad física, sino que también sean resistentes a las amenazas cibernéticas. Esto podría significar una mayor inversión inicial, pero también la oportunidad de destacarse en el mercado con productos altamente seguros y confiables. «En Digimetrics hemos creado un equipo de soporte dedicado a las industrias manufactureras para examinar nuevas implicaciones y planificar actividades”, destaca Raffaello Parisi.
Por otra parte, los importadores y distribuidores tendrán que ser más diligentes a la hora de seleccionar los productos que introducen en el mercado de la UE. El cumplimiento se convierte no sólo en un paso legal, sino también ético, que garantiza que solo lleguen a los consumidores productos seguros y confiables.
Cómo está compuesto el reglamento de maquinaria
El Reglamento consta de 52 artículos y 11 anexos, lo que demuestra una renovada conciencia de los desafíos que plantean las nuevas tecnologías, como la inteligencia artificial, la IoT, la robótica y los sistemas ciberfísicos. En particular, reconoce que la evolución tecnológica ha aumentado el uso de medios y software digitales en el diseño de máquinas, por lo que requiere una atención adecuada a la ciberseguridad.
Máxima atención a las tecnologías digitales
Un punto clave del Reglamento es el reconocimiento de los riesgos asociados a las nuevas tecnologías digitales, en particular las relacionadas con los ciberataques. En consecuencia, exige a los fabricantes que adopten medidas adecuadas para proteger la seguridad del producto. Lo hablamos con la Dra. Erika Leonetti, jefa del servicio de soporte legal y cumplimiento del cliente de Digimetric.
«El corazón de la cuestión de la ciberseguridad se aborda en el anexo III, con los artículos 1.1.9 y 1.2.1, que describen requisitos específicos para el diseño y construcción de máquinas seguras desde un punto de vista cibernético. Estos artículos exigen que las máquinas sean capaces de detectar y protegerse de intrusiones, tanto legítimas como ilícitas, garantizando la seguridad de los componentes de hardware y la protección de datos cruciales. Además, el Reglamento también amplía su ámbito de aplicación a las actualizaciones de software, considerando las “modificaciones sustanciales” como parte integrante de la conformidad de la máquina. Esto incluye dispositivos como sistemas SCADA y PLC, que deben estar equipados con un alto grado de ciberseguridad para evitar daños o modificaciones no deseadas”.
El anexo IV recuerda además la necesidad de una documentación técnica completa, incluida una evaluación de riesgos en términos de ciberseguridad, para demostrar la conformidad de la máquina con el Reglamento. En resumen, el Reglamento sobre Maquinaria (UE) 2023/1230 no solo establece nuevos estándares para la seguridad de las máquinas, sino también para su ciberresiliencia, lo que refleja el vínculo cada vez mayor entre la seguridad física y digital en la era moderna.
¿Qué es la norma IEC 62442?
Al mismo tiempo, el Norma IEC 62443 proporciona un estándar internacional para la seguridad de los sistemas de control industrial. Esta norma se centra en la protección de los sistemas de control y automatización industrial, abarcando aspectos como la integridad, confidencialidad y disponibilidad de los datos. IEC 62443 adopta un enfoque de seguridad de múltiples capas, que incluye control de acceso y gestión de actualizaciones de software, que son cruciales para evitar el acceso no autorizado y garantizar que los sistemas estén siempre actualizados con las últimas medidas de seguridad.
El Dr. Leonetti destaca cómo la norma internacional IEC 62443, desarrollada originalmente con el nombre ISA 99, proporciona un marco para la seguridad de los sistemas de automatización y control industrial. El objetivo de esta norma es garantizar la seguridad de la planta industrial, incluyendo la protección de la confidencialidad, integridad y disponibilidad de los datos. IEC 62443 enfatiza la seguridad tanto en la dimensión operativa (OT) como en la de información (IT), sentando las bases para un entorno de producción seguro contra los riesgos cibernéticos.
El núcleo de IEC 62443 es el concepto de seguridad multicapa, que requiere la ubicación correcta de dispositivos y servicios según el nivel de riesgo identificado. Este enfoque es esencial para evitar fugas de información confidencial, protegiendo dispositivos como PLC, sensores y otras herramientas de producción de amenazas cibernéticas.
¿Cuáles son los aspectos críticos de la legislación?
Raffaello Parisi subraya que un aspecto crítico de la legislación es el control de acceso, basado en el principio de privilegio mínimo. Cada componente del sistema, ya sea humano o automático, debe tener sólo los privilegios necesarios para sus funciones, lo que requiere segregación de funciones y control de acceso granular. El reglamento también pone gran énfasis en la importancia de los registros, exigiendo que cada dispositivo pueda registrar y transmitir información detallada sobre eventos de seguridad.
IEC 62443 adopta el principio de funcionalidad menos activa, deshabilitando todas las funciones no esenciales de forma predeterminada, reduciendo la superficie de ataque y mejorando la seguridad general. Además, presta especial atención a la gestión del código móvil y las actualizaciones de software, garantizando que los dispositivos certificados reciban actualizaciones de forma segura y verifiquen la integridad del firmware y las aplicaciones de software.
El reglamento también aborda la integridad del sistema, exigiendo que los componentes certificados incluyan sistemas de verificación de integridad para evitar modificaciones no autorizadas. Finalmente, aplica políticas de respaldo rigurosas con capacidades criptográficas para garantizar que la funcionalidad se recupere de incidentes.
La integración de IEC 62443 en el contexto del Reglamento de Maquinaria de la UE crea un sistema unificado que aumenta significativamente la seguridad en la industria manufacturera. La combinación de estos dos marcos regulatorios enfatiza la importancia de la seguridad física y cibernética, brindando a las empresas una orientación integral para proteger su infraestructura y datos en un entorno industrial cada vez más conectado y digitalizado.
Al combinar el Reglamento de Maquinaria de la UE con IEC 62443, se crea un marco sólido que garantiza la seguridad de las máquinas a nivel físico y cibernético. La sinergia entre estas dos regulaciones es clave para un enfoque holístico de la seguridad en las industrias modernas.
Este nuevo marco regulatorio subraya la creciente importancia de la ciberseguridad en el contexto industrial, encajando en un panorama legislativo europeo y nacional cada vez más atento a la resiliencia digital. Con su aplicación prevista para 2027, el Reglamento de Maquinaria invita a todos los actores del sector, desde los fabricantes hasta los usuarios, desde los mantenedores hasta los expertos en TI y ciberseguridad, a colaborar para garantizar operaciones eficientes y seguras en un contexto industrial en rápida evolución.
En conclusión, está claro que la industria manufacturera debe adaptarse a estos nuevos estándares de seguridad. Las empresas deben ser conscientes de estas regulaciones y tomar medidas para garantizar que sus máquinas no sólo cumplan con los requisitos de seguridad física, sino que también estén adecuadamente protegidas contra las ciberamenazas. Este nuevo panorama regulatorio representa un desafío, pero también una oportunidad importante para mejorar la seguridad y la eficiencia en la Industria 4.0.
El artículo A salvo de ciberataques con el nuevo Reglamento de Maquinaria (UE) 2023/1230 procede de la Revista Economía.
