Nova Directiva de Maquinària 2023/1230

Nova Directiva de Maquinària 2023/1230: Ciberseguretat, automatització i el futur de la indústria

El 29 de juny de 2023 es va publicar al Diari Oficial de la Unió Europea la nova Directiva de Maquinària 2023/1230, que substitueix l’anterior Directiva 2006/42/CE. Aquesta nova regulació marca un canvi profund en la manera com les màquines industrials seran dissenyades, avaluades i comercialitzades al mercat europeu. Per primera vegada, aspectes com la ciberseguretat, la intel·ligència artificial, els riscos digitals i la connectivitat OT/IT són tractats de manera explícita en una normativa vinculant.

Per als professionals de la indústria, l’automatització, fabricants de maquinària, integradors de sistemes i responsables de ciberseguretat OT, aquesta nova directiva no només implica nous requisits legals, sinó que exigeix una transformació cultural i tècnica en la manera com es concep la seguretat dels equips industrials.

Què és la Directiva de Maquinària 2023/1230?

La Regulació (UE) 2023/1230, coneguda com la nova Directiva de Maquinària, és una normativa comunitària que estableix els requisits essencials de salut i seguretat per al disseny i la comercialització de màquines, productes associats i sistemes de seguretat al mercat de la Unió Europea. A diferència de la seva predecessora, aquesta regulació s’aplicarà directament a tots els Estats membres a partir del 14 de gener de 2027, sense necessitat de transposició nacional.

Principals novetats de la nova Directiva de Maquinària

A diferència de la versió de 2006, centrada en riscos físics i mecànics, la nova regulació 2023/1230 reconeix que els entorns industrials actuals estan altament digitalitzats, connectats i fins i tot automatitzats amb intel·ligència artificial. Algunes de les novetats més rellevants:

  1. Introducció de requisits de ciberseguretat
    • Exigeix que les màquines estiguin dissenyades per protegir-se contra accessos no autoritzats, manipulacions de programari o intrusions remotes. Inclou: validació de firmware i programari embegut; protecció contra alteracions de funcions de seguretat via connexions externes; consideració dels vectors d’atac via comunicació OT/IT o xarxes industrials.
  2. Equips amb funcions autònomes o d’IA
    • Reconèixer que algunes màquines poden utilitzar algoritmes de presa de decisions automatitzades implica nous riscos com decisions inesperades, col·lisions o errors en l’anàlisi de dades.
  3. Classificació de productes d’alt risc
    • S’estableix una nova categoria de productes d’alt risc (robots, màquines amb IA, interacció persona‑màquina), que requeriran avaluació de conformitat per organismes notificats, sense possibilitat d’autocertificació.
  4. Digitalització de la documentació tècnica
    • Es permet ara l’ús de manuals tècnics digitals, amb requisits sobre accessibilitat, integritat i durabilitat, aplicables a instruccions, esquemes de seguretat i plànols funcionals.
  5. Compatibilitat amb altres normatives (NIS2, IEC 62443, etc.)
    • La directiva dialoga amb altres marcs normatius, especialment en ciberseguretat i infraestructures crítiques:
      • NIS2: ciberseguretat en sectors essencials.
      • IEC 62443: seguretat en sistemes d’automatització industrial.
      • ISO 12100, ISO 13849, EN 62061: requisits de seguretat funcional.

Ciberseguretat industrial com a nou eix regulador

Un dels girs més importants és la inclusió explícita de requisits de ciberseguretat com a part de la seguretat global de les màquines. Això transforma la seguretat de ser només física a englobar també els riscos digitals. En concret, l’Annex III estableix que les màquines han de:

  • Garantir la integritat i autenticitat del programari rellevant per a la seguretat.
  • Preveure mecanismes per impedir accessos no autoritzats a funcions crítiques.
  • Incorporar mesures de protecció contra manipulacions remotes, inclosa l’actualització segura del programari.

Això requereix alineament amb pràctiques típiques de ciberseguretat OT, com segmentació de xarxes, control d’accés basat en rols (RBAC), registre i monitorització d’esdeveniments (Syslog, SIEM OT), i gestió de pegats i actualitzacions de firmware.

Impacte en fabricants, integradors i usuaris industrials

Per a fabricants:

  • Desenvolupament de màquines “segures per disseny”, integrant ciberseguretat des de l’inici.
  • Realització de noves proves, com tests d’intrusió i validació de firmware, fins i tot en línies ja certificades.

Per a integradors:

  • Garantir interoperabilitat segura dels components.
  • Documentar justificadament que la integració no comprometi les mesures de seguretat.

Per a usuaris industrials:

  • Entendre que la ciberseguretat és una responsabilitat clau en el cicle de vida dels actius, no només de TI.
  • Incorporar vulnerabilitats digitals en les auditories i avaluacions de risc.

Relació amb entorns OT i digitalització industrial

La normativa 2023/1230 arriba en un moment clau, amb moltes empreses migrades cap a models d’Indústria 4.0, IIoT i fàbriques intel·ligents. En aquests entorns OT, on les màquines intercanvien dades i permeten decisions automatitzades, els vectors d’atac es multipliquen. Per això, la directiva exigeix que la connectivitat industrial no comprometi la seguretat de l’operador ni del procés, alineant-la amb el model de zones i conductes de l’IEC 62443‑3‑2 per segmentar xarxes OT i contenir riscos.

Plaços i obligacions: quan comença a aplicar-se

Tot i que la directiva es va publicar el 2023, la seva aplicació comença el 14 de gener de 2027. A partir d’aquesta data:

  • Tots els productes nous al mercat hauran de complir els nous requisits.
  • Les certificacions sota la Directiva 2006/42/CE seguiran vigents només si el producte no s’ha modificat substancialment.

Això dona temps perquè les empreses:

  • Avaluïn el seu grau actual de compliment.
  • Adapti els processos de disseny, avaluació i documentació.
  • Introduir millores de ciberseguretat als seus sistemes.

Bones pràctiques per adaptar-se

Per complir la nova regulació, es recomana:

  • Revisió de riscos amb enfocament en ciberseguretat OT.
  • Implementació de processos de “secure development lifecycle” (SDL) per dissenyar màquines.
  • Aplicació de l’IEC 62443‑4‑1 per components segurs.
  • Formació interna perquè disseny, automatització i TI parlin el mateix llenguatge.
  • Realització de hardening, anàlisis de vulnerabilitats i escaneig de firmware abans de la comercialització.

Conclusió: una oportunitat per a la indústria intel·ligent

La Directiva 2023/1230 és molt més que un canvi normatiu. És una senyal clara que la seguretat industrial es redefineix per a l’era digital. En aquest nou escenari, la màquina deixa de ser només un equip mecànic i es converteix en un actiu connectat, intel·ligent i vulnerable, i la seva seguretat ha de considerar-se de forma integral.

Per als professionals del sector, aquesta regulació representa una oportunitat per alinear legalitat, tecnologia i eficiència, construint màquines més robustes, segures i preparades pel futur.

Necessites adaptar els teus equips o processos a la nova directiva?

A Kollaborative Work t’ajudem a realitzar auditories tècniques, avaluar el compliment normatiu, redissenyar l’arquitectura de seguretat OT i formar els teus equips per afrontar la Directiva 2023/1230 amb garanties. Dona el següent pas cap a una indústria més intel·ligent i segura. Contacta amb nosaltres!

Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada basada en un perfil elaborado a partir de tus hábitos de navegación. Puedes aceptar todas las cookies, rechazarlas o configurar tus preferencias.    Más información
Privacidad