Акт ЕС о киберустойчивости достигает датчиков безопасности в 2027 году — когда световая завеса становится «продуктом с цифровыми элементами»?

Двадцать лет кибербезопасность промышленного устройства безопасности была чьей-то чужой проблемой — сетевой команды, ИТ-отдела, системного интегратора. Акт ЕС о киберустойчивости это меняет. Он возлагает обязательства по безопасности на сам продукт и обеспечивает их через ту же маркировку CE, которая уже несёт функциональную безопасность. Если вы размещаете машины или компоненты безопасности на рынке ЕС, CRA теперь является частью вашей картины соответствия.

Хорошая новость в том, что простейшего оборудования безопасности это едва касается. Сложность кроется в промежуточной зоне — интеллектуальных датчиках, настраиваемых сканерах и устройствах IO-Link, в которые отрасль десятилетие добавляла интеллект. Это руководство о том, как определить, где находится конкретное устройство, написанное для инженера, который должен принять решение, а не для юриста, который его подписывает.

Даты, которые имеют значение

Акт о киберустойчивости — это Регламент (ЕС) 2024/2847. Он вступил в силу в 2024 году и, как большинство регламентов ЕС по продуктам, не включается весь сразу. Обязательства приходят поэтапно. Обязательства по отчётности — обязанность сообщать об активно эксплуатируемых уязвимостях и серьёзных инцидентах безопасности органам власти — начинают применяться с 11 сентября 2026 года. Основной массив обязательств, включая существенные требования к кибербезопасности и маркировку CE, охватывающую кибербезопасность, применяется с 11 декабря 2027 года.

Рассматривайте декабрь 2027 года как жёсткий крайний срок соответствия продукта и используйте оставшееся время так же, как и для любого перехода CE: оцените сферу применения, поговорите с поставщиками и выстройте процессы, по которым вас будут проверять. Механизм отчётности приходит немного раньше, что стоит знать, если вы производитель компонента, а не только его интегратор.

Что означает «продукты с цифровыми элементами»

CRA не перечисляет продукты по названию. Он определяет класс: продукты с цифровыми элементами. Кратко — это аппаратный или программный продукт, предполагаемое использование которого включает прямое или косвенное логическое или физическое подключение данных к устройству или сети. Это определение намеренно широкое, и именно оно является осью, вокруг которой вращается сфера применения для датчиков безопасности.

Прочтите его внимательно, и следуют два вывода. Во-первых, триггером является подключение данных и цифровое содержимое — прошивка, настраиваемые параметры, коммуникационный интерфейс — а не функция безопасности как таковая. Во-вторых, сфера применения — это свойство конкретной модели, а не категории «световая завеса» или «лазерный сканер». Два устройства, выполняющие одну и ту же защитную задачу, могут оказаться по разные стороны линии, если одно из них — герметичный жёстко смонтированный блок, а другое несёт обновляемую прошивку и порт Ethernet.

Где, вероятно, окажутся распространённые устройства безопасности

Имея это определение, вы можете рассортировать типичную спецификацию компонентов безопасности на приблизительные уровни. Это инженерное суждение для направления формальной оценки — это не правовая классификация, и приоритет имеет официальный текст.

• Нижний край риска: простые жёстко смонтированные устройства OSSD. Световая завеса Type 2 или Type 4, которая лишь переключает парные защитные выходы OSSD, без сетевого интерфейса и без внешне открытой, обновляемой прошивки, имеет мало той цифровой поверхности, на которую нацелен CRA. Базовый бесконтактный датчик приближения или жёстко смонтированное реле безопасности, такое как DAIDISIKE DA31, включённое в цепь безопасности, находится в той же группе.
• Промежуточная зона: настраиваемые устройства и устройства IO-Link. Световая завеса или выключатель безопасности с интерфейсом параметризации, инструментом настройки мьютинга или бланкирования либо связью IO-Link / IO-Link Safety имеет цифровые элементы и подключение данных. Это устройства, которым с наибольшей вероятностью потребуется оценка по CRA.
• Наиболее вероятно в сфере применения: сетевые интеллектуальные датчики. Лазерный сканер безопасности / LiDAR, такой как блок серии DAIDISIKE DLD с полевой настройкой конфигурации, встроенной обновляемой прошивкой и коммуникационным интерфейсом, несёт наибольшую цифровую поверхность и является категорией, которую следует оценивать в первую очередь.
• Сеть часто несёт контроллер, а не датчик. На наших устройствах интеграция с полевой шиной или протоколом обрабатывается внешним контроллером безопасности, а не нативными стеками протоколов внутри датчика. Это важно для сферы применения: контроллер часто оказывается продуктом с более богатыми цифровыми элементами и заслуживает собственной оценки наряду с датчиками, которые он считывает.

Существенные требования к кибербезопасности простыми словами

Там, где устройство входит в сферу применения, CRA ожидает, что оно будет безопасным по своей конструкции. Подробные требования содержатся в приложениях к регламенту, и вам следует формировать файл соответствия из этого официального текста, а не из резюме — но на концептуальном уровне ожидания узнаваемы для любого, кто занимался промышленной безопасностью:

• размещён на рынке без известных эксплуатируемых уязвимостей;
• безопасная по умолчанию конфигурация с возможностью сброса к этому состоянию по умолчанию;
• защита конфиденциальности и целостности хранимых и передаваемых данных и команд — для устройства безопасности наибольшее значение имеет целостность конфигурации и пути команды безопасности;
• сокращённая поверхность атаки и защита от несанкционированного доступа;
• способность доставлять обновления безопасности там, где продукт спроектирован для их получения.

Ничто из этого не противоречит функциональной безопасности; это идёт параллельно ей. Требование целостности, в частности, является естественной точкой встречи — повреждённая конфигурация, которая незаметно ослабляет защитную функцию, является как сбоем безопасности, так и сбоем функциональной безопасности.

Обработка уязвимостей и скоординированное раскрытие

Большая часть CRA касается не продукта в том виде, в каком он поставляется, а того, что производитель делает после. На протяжении периода поддержки от производителя ожидается выявлять и документировать уязвимости, предоставлять обновления, устраняющие их, и поддерживать процесс скоординированного раскрытия уязвимостей, чтобы у исследователя, нашедшего изъян, был определённый способ сообщить о нём. Отдельные обязательства по отчётности — уведомление органов власти об активно эксплуатируемых уязвимостях и серьёзных инцидентах — накладываются поверх этого и являются той частью, которая начинается с сентября 2026 года.

Для покупателя это превращается в вопрос закупок, а не проектирования. Вы не проверяете исходный код поставщика; вы спрашиваете, существует ли процесс: есть ли контакт по безопасности, определённый период поддержки, механизм обновления и политика раскрытия? Поставщик, который может чётко ответить на эти вопросы, — это поставщик, чьи компоненты не станут вашим пробелом в соответствии в 2027 году.

CRA, IEC 62443 и Регламент по машинному оборудованию: три уровня

Эти три акта легко смешать, потому что все они затрагивают безопасность и кибербезопасность. Они находятся на разных уровнях, и понимание различия делает соответствие проще, а не сложнее.

• Акт о киберустойчивости — это закон для продукта. Он устанавливает обязательные требования доступа на рынок для продуктов с цифровыми элементами и обеспечивает их через маркировку CE. Вы не можете отказаться от него для продукта в сфере применения, продаваемого в ЕС.
• IEC 62443 — это инженерный инструментарий. Это добровольная серия международных стандартов по безопасности промышленных систем автоматизации и управления — уровни безопасности, зоны и каналы, практики безопасной разработки. Это не закон, но это метод, на который можно опереться, чтобы продемонстрировать, что вы достигли правовой цели.
• Регламент по машинному оборудованию владеет функцией безопасности. Регламент (ЕС) 2023/1230 регулирует безопасность машин и затрагивает кибербезопасность постольку, поскольку атака может нарушить функцию безопасности. Его забота — машина и её защитные функции; забота CRA — собственная безопасность цифрового продукта.

В реальном проекте эти три акта складываются, а не сталкиваются: Регламент по машинному оборудованию спрашивает, можно ли нарушить функцию безопасности, CRA спрашивает, можно ли скомпрометировать цифровой продукт, а IEC 62443 даёт вам словарь и методы, чтобы ответить на оба вопроса. Для более глубокого освещения этого пересечения см. нашу сопутствующую статью о встрече IEC 62443 и ISO 13849.

Чек-лист покупателя для закупки компонентов безопасности

Если вы OEM-производитель или интегратор, выпускающий машины на рынок ЕС, CRA в основном достигает вас через компоненты, которые вы покупаете. Для каждого интеллектуального или сетевого устройства безопасности задайте поставщику эти вопросы:

• Оценена ли эта конкретная модель как продукт с цифровыми элементами согласно CRA?
• Будет ли она нести маркировку CE, охватывающую кибербезопасность, к моменту размещения моей машины на рынке?
• Как доставляются обновления безопасности и как долго — каков период поддержки?
• Существует ли процесс скоординированного раскрытия уязвимостей и контакт по безопасности?
• Может ли простое жёстко смонтированное устройство OSSD выполнить эту задачу вместо него, удерживая связь — и сферу кибербезопасности — вне конструкции там, где она не добавляет ценности?

Этот последний пункт — тихий проектный урок CRA. Подключение к сети больше не бесплатно; оно несёт стоимость соответствия. Там, где функция безопасности действительно выигрывает от настройки или работы в сети, эту стоимость стоит платить. Там, где нет, простое жёстко смонтированное устройство OSSD сохраняет как ваше обоснование безопасности, так и обоснование кибербезопасности меньшими и легче защищаемыми.