1. Domov

  2. O spoločnosti Festo

  3. Blog

  4. Inovácie

  5. Kybernetická bezpečnosť

Ako minimalizovať riziká v oblasti bezpečnosti priemyselných sietí a dodržiavať zákon Európskej únie o kybernetickej odolnosti (CRA)

Kybernetická bezpečnosť v priemyselnej automatizácii už nie je voliteľná - je nevyhnutná. S rozvojom priemyslu 4.0 čelia prepojené systémy rastúcim rizikám vyplývajúcim z kybernetických útokov a vyvíjajúcich sa predpisov. Tento článok sa zaoberá tým, ako spoločnosť Festo zabezpečuje súlad a spoľahlivosť v oblasti kybernetickej bezpečnosti a bezpečnosti výrobkov - a prečo je zákon Európskej únie o kybernetickej odolnosti (CRA) významný pre bezpečnosť priemyselných sietí.

Čo je bezpečnosť OT a prečo je dôležitá v kybernetickej bezpečnosti?

Bezpečnosť prevádzkových technológií (OT) chráni systémy, ktoré riadia priemyselné operácie - zahŕňajúce výrobu, robotiku, energetické siete a kritickú infraštruktúru. Keďže OT priamo riadi fyzické procesy, jeho ochrana je nevyhnutná pre bezpečnosť, spoľahlivosť a nepretržitú výrobu.

Keďže kybernetické útoky sú čoraz sofistikovanejšie, zabezpečenie produktov je teraz kľúčové pre zaistenie bezpečnosti OT. Narušenie môže zastaviť prevádzku, poškodiť zariadenia, spôsobiť veľké finančné a bezpečnostné riziká a potenciálnu stratu údajov. Preto sú prispôsobené stratégie nevyhnutné pre staršie systémy, požiadavky v reálnom čase a konvergenciu IT a OT sietí.

Kľúčové predpisy a normy, ktoré formujú bezpečnosť OT, zahŕňajú:

  • Zákon o kybernetickej odolnosti (CRA): Stanovuje vyššie bezpečnostné požiadavky pre celú EÚ na výrobky s digitálnymi prvkami, najmä na pripojené zariadenia.
  • V nariadení EÚ o strojových zariadeniach (EÚ) č. 2023/1230, ktoré sa uplatňuje od januára 20, 2027, sa vyžaduje, aby boli výrobky chránené pred poškodením a manipuláciou.
  • V smernici EÚ NIS2 (EÚ) 2022/2555, ktorá sa uplatňuje od októbra 18, 2024, sa stanovujú vyššie požiadavky na kybernetickú bezpečnosť pre základné a dôležité subjekty.
  • NIST SP 800-82: Príručka USA s osvedčenými postupmi pre architektúry OT, zmierňovanie hrozieb a reakcie.
  • Softvérový zoznam materiálov (SBOM), v ktorom sú uvedené všetky knižnice a závislosti softvérového produktu s cieľom zvýšiť transparentnosť a bezpečnosť.
  • IEC 62443: Medzinárodná norma pre bezpečnosť priemyselných riadiacich systémov od návrhu po monitorovanie.
  • ISA/IEC 61511: Zaoberá sa bezpečnostnými prístrojovými systémami, v ktorých sa prelína bezpečnosť a kybernetická bezpečnosť.

Čo sú priemyselné riadiace systémy (ICS) a prečo sú dôležité pre kybernetickú bezpečnosť?

Priemyselné riadiace systémy (ICS) sú hardvérové a softvérové riešenia, ktoré monitorujú, riadia a automatizujú procesy v priemyselných odvetviach, ako je výroba, energetika, úprava vody a doprava. Medzi kľúčové komponenty patria systémy SCADA na vzdialený dohľad, distribuované riadiace systémy (DCS) na centralizované riadenie závodu, PLC na špecifické úlohy v závode a rozhrania HMI, ktoré umožňujú operátorom vizualizovať a riadiť procesy. Okrem zabezpečenia bezpečnej a efektívnej prevádzky sú ICS veľmi dôležité aj z hľadiska obrany pred kybernetickými útokmi, ktoré môžu narušiť základnú infraštruktúru. Zákon o kybernetickej odolnosti (CRA) zdôrazňuje túto naliehavosť a spoločnosť Festo zabezpečí bezpečnosť produktov a podporí zákazníkov kompatibilnými a spoľahlivými automatizačnými riešeniami.

Ako CRA Európskej únie posilňuje kybernetickú bezpečnosť

Zákon EÚ o kybernetickej odolnosti je nariadenie, ktorého cieľom je zabezpečiť, aby všetky prepojené produkty s digitálnymi prvkami - hardvérom a softvérom - boli bezpečné už pri návrhu, štandardne bezpečné a bezpečné počas celého životného cyklu. Vzťahuje sa na výrobcov, dovozcov a distribútorov, ktorí takéto výrobky uvádzajú na trh EÚ.

Kľúčové povinnosti zahŕňajú:

  • Posudzovanie rizík a hodnotenie kybernetickej bezpečnosti pred uvedením produktov na trh
  • Priebežné aktualizácie zabezpečenia a správa zraniteľností
  • Označenie CE (Conformité Européenne) na preukázanie zhody
  • Hlásenie zneužitých zraniteľností agentúre ENISA od septembra 11, 2026

Úplné dodržiavanie predpisov sa stáva povinným od decembra 11, 2027, pričom za nedodržanie predpisov hrozia sankcie až do výšky 15 miliónov EUR alebo 2,5 % celosvetového obratu.

Viac o EÚ CRA
Eberhard Klotz

"Nové nariadenie vyžaduje priebežné aktualizácie zabezpečenia. Podporuje tiež transparentnosť v oblasti rizík kybernetickej bezpečnosti. To pomáha organizáciám udržiavať silnú ochranu počas celého životného cyklu produktu."

Eberhard Klotz, obchodný riaditeľ pre priemysel 4.0 a digitalizáciu

Ako spoločnosť Festo podporuje zákazníkov v rámci zákona o kybernetickej odolnosti?

Hardvér a softvér spoločnosti Festo s digitálnymi rozhraniami - ako sú PLC, okrajové počítače, ventilové terminály, ovládače pohybu, inžinierske nástroje, a analytické aplikácie na báze umelej inteligencie - podliehajú CRA. Na podporu súladu s CRA ponúka spoločnosť Festo open-source nástroj na vytváranie, úpravu a overovanie SBOM CycloneDX, ktorý pomáha používateľom dokumentovať používané softvérové komponenty a zisťovať zraniteľnosti. Pomáhame výrobcom strojov, distribútorom a dovozcom riadiť dodržiavanie časových harmonogramov, dokumentácie a bezpečnosti zo strany CRA.

Hoci zatiaľ žiadne produkty nie sú v súlade s CRA, spoločnosť Festo je držiteľom certifikátu IEC 62443-4-1 pre bezpečný vývoj, ktorý bol auditovaný spoločnosťou TÜV Süd, a uplatňuje metódy analýzy hrozieb a rizík (TARA) na identifikáciu možných rizík pri používaní našich produktov a ich zmiernenie. Zabezpečíme, aby do decembra 2027 mohli zákazníci bez obáv používať riešenia Festo v súlade s predpismi EÚ.

Pozri Festo na GitHub

Úlohy v rámci CRA a bezpečnostný kontakt v spoločnosti Festo

CRA ovplyvňuje všetky úlohy v automatizácii: Výrobcovia OEM musia preukázať, že stroje sú v súlade s predpismi, integrátori sú zodpovední za bezpečné komponenty, prevádzkovatelia vyžadujú zabezpečenie kontinuity a úradníci zodpovední za obstarávanie musia posúdiť pripravenosť dodávateľov. Najväčšou výzvou je neistota v oblasti certifikácie, životných cyklov výrobkov a zdrojov, ktorú riešime transparentnosťou a zdokumentovanými opatreniami. Spoločnosť Festo je v súlade s normami ISO/IEC 29147 a ISO/IEC 30111.

Zraniteľnosti môžete nahlásiť nášmu tímu PSIRT (Product Security Incident Response Team) prostredníctvom kontaktného formulára alebo e-mailom na adresu psirt@festo.com, pričom na našej webovej lokalite transparentne zverejňujeme vydané oznámenia so známymi a opravenými zraniteľnosťami.

Prejsť na portál PSIRT

Kontrolný zoznam dodržiavania kybernetickej bezpečnosti krok za krokom pre CRA

☑ Pochopiť, ako CRA ovplyvňuje stroje, prevádzku a obstarávanie.

☑ Potvrďte pripravenosť svojich dodávateľov na CRA teraz - nečakajte až na 2027.

☑ Pri plánovaní používajte odporúčania, vyhlásenia a bezpečnostnú dokumentáciu spoločnosti Festo.

☑ Zostaňte v súlade s požiadavkami IEC 62443 a CRA, aby ste sa vyhli rizikám zhody.

☑ Spoľahnite sa na spoločnosť Festo ako na dôveryhodného partnera v oblasti bezpečnosti výrobkov.

Kybernetická bezpečnosť sa stretáva s celoživotným vzdelávaním

Zaujíma vás zákon o kybernetickej odolnosti a jeho vplyv na automatizáciu? Pozrite si naše videá "Cyber Resilience Act - Explained in 5 Minutes" a "Enabling Technologies - Big Data, Cloud & Cybersecurity" na našom online vzdelávacom portáli Festo LX, aby ste rýchlo pochopili základy CRA a ako sa ako výrobca pripraviť na dodržiavanie predpisov.

K videám Festo LX