Zgodność CRA dla Automatyki Przemysłowej: Dostosowanie IEC 62443 i Przewodnik Bezpieczeństwa OT

Produkty automatyki przemysłowej stoją przed specyficznymi wyzwaniami CRA ze względu na ich kluczową rolę w produkcji, energetyce i infrastrukturze. Wiele z nich należy do kategorii Important Klasa II, wymagającej oceny zgodności przez stronę trzecią. Na szczęście dobrze ugruntowana norma IEC 62443 zapewnia solidną podstawę dla zgodności CRA.

Ten przewodnik obejmuje zgodność CRA dla producentów automatyki przemysłowej.

Które Produkty Przemysłowe Są Objęte?

Zakres CRA dla Automatyki Przemysłowej

CRA dotyczy „produktów z elementami cyfrowymi" wprowadzanych na rynek UE. Dla automatyki przemysłowej obejmuje to:

Wyraźnie objęte:

• Sterowniki PLC (Programowalne Sterowniki Logiczne)
• Przemysłowe PC i HMI
• Oprogramowanie SCADA
• Systemy DCS
• Przemysłowe czujniki i bramki IoT
• Routery i przełączniki przemysłowe
• Rozwiązania dostępu zdalnego
• Stacje inżynierskie i oprogramowanie

Mogą obowiązywać wyłączenia:

• Produkty wyłącznie do bezpieczeństwa narodowego
• Produkty zaprojektowane do użytku wojskowego
• Niestandardowe jednorazowe systemy przemysłowe (mogą kwalifikować się jako „części zamienne")

Klasyfikacja CRA dla Produktów Przemysłowych

Większość produktów automatyki przemysłowej należy do kategorii Important Klasa I lub II:

KLASYFIKACJA CRA AUTOMATYKI PRZEMYSŁOWEJ

IMPORTANT KLASA II (Wymagana strona trzecia):
- Zapory sieciowe do użytku przemysłowego
- Przemysłowe systemy IDS/IPS
- Mikrokontrolery z funkcjami bezpieczeństwa
- HSM dla aplikacji przemysłowych
- Inteligentne liczniki (infrastruktura energetyczna)
- Routery przemysłowe w infrastrukturze krytycznej

IMPORTANT KLASA I (Możliwa samoocena z normami zharmonizowanymi):
- PLC i sterowniki przemysłowe
- Oprogramowanie SCADA/DCS
- Przemysłowe bramki IoT
- Rozwiązania dostępu zdalnego/VPN
- Sprzęt sieciowy przemysłowy

KATEGORIA DOMYŚLNA (Samoocena):
- Podstawowe czujniki (bez możliwości sieciowych)
- Proste peryferia przemysłowe
- Sprzęt niepodłączony do sieci

ZWERYFIKUJ ZE ŹRÓDŁEM PIERWOTNYM: Klasyfikacja zależy od konkretnych możliwości produktu. Sprawdź Załączniki III i IV CRA dla ostatecznej klasyfikacji.

Dostosowanie IEC 62443 i CRA

Czym jest IEC 62443?

IEC 62443 to seria międzynarodowych norm dla bezpieczeństwa przemysłowych systemów automatyki i sterowania (IACS). Obejmuje:

• IEC 62443-4-1: Bezpieczny cykl rozwoju
• IEC 62443-4-2: Wymagania bezpieczeństwa komponentów (4 poziomy bezpieczeństwa)
• IEC 62443-3-3: Wymagania bezpieczeństwa systemu
• IEC 62443-2-4: Wymagania dla dostawców usług

Mapowanie IEC 62443 ↔ CRA

IEC 62443 jako Podstawa, Nie Równoważność

Ważne: Certyfikacja IEC 62443 NIE oznacza automatycznie zgodności CRA.

Co zapewnia IEC 62443:

• Solidna podstawa techniczna bezpieczeństwa
• Dojrzały cykl rozwoju bezpieczeństwa
• Dobrze udokumentowane możliwości bezpieczeństwa
• Dowody dla oceny zgodności

Co CRA dodaje ponad IEC 62443:

• Wymagania SBOM (nowe)
• Specyficzne zgłaszanie podatności do ENISA (24h/72h)
• Oznakowanie CE i Deklaracja Zgodności
• Zobowiązanie do minimum 5-letniego wsparcia
• Specyficzne wymagania formatu dokumentacji
• Koordynacja nadzoru rynku

Wykorzystanie IEC 62443 dla CRA

IEC 62443 → PODEJŚCIE DO ZGODNOŚCI CRA

JEŚLI masz certyfikację IEC 62443-4-1:
→ Wykorzystaj dokumentację SDL dla dokumentacji technicznej CRA
→ Wykaż „bezpieczny cykl rozwoju"
→ Dowody podejścia do oceny ryzyka

JEŚLI masz certyfikację IEC 62443-4-2:
→ Wykorzystaj dokumentację możliwości bezpieczeństwa
→ Mapuj Poziom Bezpieczeństwa na wymagania zasadnicze CRA
→ Dowody implementacji funkcji bezpieczeństwa

DODATKOWE DLA CRA:
[ ] Dodaj generowanie SBOM do swojego procesu
[ ] Wdróż możliwość zgłaszania do ENISA
[ ] Udokumentuj zobowiązanie do 5-letniego wsparcia
[ ] Przygotuj Deklarację Zgodności UE
[ ] Przyczep oznakowanie CE

Wyzwania Zgodności Specyficzne dla OT

Wyzwania Aktualizacji i Łatania

Środowiska przemysłowe mają unikalne ograniczenia dotyczące aktualizacji:

Wyzwania:

• Operacje 24/7, brak okien serwisowych
• Rewalidacja systemów bezpieczeństwa funkcjonalnego po aktualizacjach
• Integracja systemów starszego typu
• Środowiska odizolowane lub częściowo połączone
• Długie cykle kwalifikacji

Wymagania CRA Nadal Obowiązują:

• Musi zapewniać aktualizacje bezpieczeństwa przez 5+ lat
• Musi mieć mechanizm dostarczania aktualizacji
• Musi naprawiać podatności w rozsądnym czasie

Praktyczne Podejścia:

STRATEGIA AKTUALIZACJI OT DLA CRA

1. WDROŻENIE ETAPOWE:
   - Najpierw środowiska testowe
   - Pilotażowe linie produkcyjne
   - Pełne wdrożenie z monitoringiem

2. HARMONOGRAMOWANIE AKTUALIZACJI:
   - Koordynacja z planowaną konserwacją
   - Wcześniejsze powiadomienie (tygodnie/miesiące)
   - Wsparcie dla zaplanowanych cykli aktualizacji

3. DOSTARCZANIE OFFLINE:
   - Pakiety aktualizacji na USB
   - Serwery aktualizacji w sieci OT
   - Bezpieczne mechanizmy transferu plików

4. REWALIDACJA BEZPIECZEŃSTWA FUNKCJONALNEGO:
   - Dokumentuj wpływ aktualizacji na funkcje bezpieczeństwa funkcjonalnego
   - Zapewnij wskazówki do rewalidacji
   - Rozważ współinżynierię bezpieczeństwa funkcjonalnego i cyberbezpieczeństwa

Długie Cykle Życia Produktów

Produkty przemysłowe często mają cykle życia 15-20+ lat, ale CRA wymaga tylko minimum 5 lat.

Planowanie Cyklu Życia:

CYKL ŻYCIA PRODUKTU PRZEMYSŁOWEGO + CRA

Rok 1-5:   Aktywna sprzedaż + okres wsparcia CRA (minimum)
Rok 5-10:  Rozszerzone wsparcie (może kontynuować aktualizacje bezpieczeństwa)
Rok 10-15: Wsparcie dla starszych wersji (ograniczone aktualizacje, ryzyko klienta)
Rok 15+:   Koniec życia (odpowiedzialność klienta)

WYMAGANIA CRA:
- Minimum 5 lat od daty sprzedaży każdej jednostki
- Lub dłużej jeśli oczekiwana żywotność produktu przekracza 5 lat
- Planuj okres wsparcia na podstawie rozsądnej żywotności produktu

Potrzeby Dokumentacji:

• Jasno komunikuj okres wsparcia przy zakupie
• Podaj datę zakończenia wsparcia
• Dokumentuj odpowiedzialności klienta po zakończeniu wsparcia

Integracja Bezpieczeństwa Funkcjonalnego i Cyberbezpieczeństwa

Produkty przemysłowe często mają wymagania bezpieczeństwa funkcjonalnego (poziomy SIL według IEC 61508/ISO 13849). CRA dodaje wymagania cyberbezpieczeństwa.

Podejście Integracyjne:

WSPÓŁINŻYNIERIA BEZPIECZEŃSTWA FUNKCJONALNEGO + CYBERBEZPIECZEŃSTWA

Normy Bezpieczeństwa Funkcjonalnego:   Normy Cyberbezpieczeństwa:
IEC 61508 (Funkcjonalne)                IEC 62443 (Przemysłowe)
ISO 13849 (Maszyny)                     CRA (Rozporządzenie UE)

PUNKTY INTEGRACJI:
1. Ocena Ryzyka:
   - Połączone modelowanie zagrożeń safety/security
   - Zagrożenia cyberbezpieczeństwa dla funkcji bezpieczeństwa funkcjonalnego

2. Wymagania:
   - Wymagania bezpieczeństwa funkcjonalnego (SIL 1-4)
   - Wymagania cyberbezpieczeństwa (SL 1-4)
   - Żadna miara cyberbezpieczeństwa nie może naruszać bezpieczeństwa funkcjonalnego

3. Walidacja:
   - Walidacja bezpieczeństwa funkcjonalnego
   - Testy cyberbezpieczeństwa
   - Testy scenariuszy połączonych

4. Zarządzanie Zmianami:
   - Rewalidacja bezpieczeństwa funkcjonalnego dla poprawek cyberbezpieczeństwa
   - Ocena cyberbezpieczeństwa dla zmian bezpieczeństwa funkcjonalnego

SBOM dla Systemów Przemysłowych

Wyzwania Identyfikacji Komponentów

Produkty przemysłowe często zawierają:

• Systemy operacyjne czasu rzeczywistego (RTOS)
• Proprietary firmware
• Biblioteki stron trzecich (stosy OPC UA, MQTT, Modbus)
• Komponenty sprzętowe z firmware

Strategia SBOM:

PODEJŚCIE SBOM PRZEMYSŁOWE

KOMPONENTY OPROGRAMOWANIA:
- RTOS i jądro
- Stosy protokołów (OPC UA, Modbus, EtherNet/IP, PROFINET)
- Biblioteki bezpieczeństwa (TLS, crypto)
- Middleware stron trzecich
- Oprogramowanie aplikacyjne

FIRMWARE:
- Bootloader
- Firmware urządzenia
- Komponenty programowalne w terenie

ROZWAŻANIA O GŁĘBOKOŚCI:
- Komponenty główne: Kontrolowane przez producenta
- Strony trzecie: Żądaj SBOM od dostawców
- Zagnieżdżone: Idź tak głęboko jak praktycznie możliwe

FORMAT:
- CycloneDX lub SPDX (oba akceptowalne)
- Włącz identyfikatory PURL gdzie dostępne
- Dokumentuj komponenty niestandardowe/proprietary

Złożoność Łańcucha Dostaw

Produkty przemysłowe często mają złożone łańcuchy dostaw:

SBOM ŁAŃCUCHA DOSTAW PRZEMYSŁOWEGO

POZIOM 1 (Twój produkt):
- Twoje oprogramowanie/firmware
- Wymagany pełny SBOM

POZIOM 2 (Bezpośredni dostawcy):
- Komponenty stron trzecich
- Żądaj SBOM od dostawców
- Włącz do swojego SBOM

POZIOM 3 (Pod-dostawcy):
- Komponenty w komponentach
- Włączenie na zasadzie best effort
- Dokumentuj znane ograniczenia

DZIAŁANIE:
[ ] Zaktualizuj umowy z dostawcami dla wymagań SBOM
[ ] Ustal format wymiany SBOM z dostawcami
[ ] Utwórz proces integracji SBOM
[ ] Dokumentuj ograniczenia łańcucha dostaw

Ocena Zgodności dla Produktów Przemysłowych

Moduł B+C (Badanie Typu UE)

Dla produktów przemysłowych Important Klasa II:

MODUŁ B+C DLA PRODUKTÓW PRZEMYSŁOWYCH

KROK 1: MODUŁ B (Badanie Typu)
Jednostka notyfikowana bada:
- Kompletność dokumentacji technicznej
- Adekwatność oceny ryzyka
- Pokrycie wymagań bezpieczeństwa
- Certyfikację IEC 62443 (jeśli dostępna)
- Jakość SBOM
- Wyniki testów

WYNIK: Certyfikat Badania Typu UE

KROK 2: MODUŁ C (Zgodność z Typem)
Producent zapewnia:
- Produkcja odpowiada zbadanemu typowi
- Wewnętrzna kontrola jakości produkcji
- Dokumentacja utrzymywana

WYNIK: Samodeklaracja zgodności z typem

Wykorzystanie Certyfikacji IEC 62443

Jeśli masz certyfikację IEC 62443-4-2:

CERTYFIKACJA IEC 62443 → PROCES CRA

PRZEDSTAW JEDNOSTCE NOTYFIKOWANEJ:
- Certyfikat IEC 62443-4-2
- Osiągnięty Poziom Bezpieczeństwa (SL 1-4)
- Certyfikat ISASecure (jeśli dotyczy)
- Raport z oceny

OCENA JEDNOSTKI NOTYFIKOWANEJ:
- Uznaje IEC 62443 jako dowód
- Weryfikuje pokrycie wymagań CRA
- Identyfikuje wszelkie luki
- Może zmniejszyć zakres testów

DODATKOWE DOWODY POTRZEBNE:
- SBOM (nie objęty przez IEC 62443)
- Możliwość zgłaszania do ENISA
- Zobowiązanie do 5-letniego wsparcia
- Dokumentacja użytkownika

Przewodnik dla Konkretnych Branż

PLC i Sterowniki

ZGODNOŚĆ CRA PLC/STEROWNIKÓW

KLASYFIKACJA: Zazwyczaj Important Klasa I lub II

KLUCZOWE WYMAGANIA:
- Możliwość bezpiecznego rozruchu
- Szyfrowana komunikacja (opcjonalna → domyślna)
- Silne uwierzytelnianie
- Dziennik audytu
- Mechanizm aktualizacji firmware
- SBOM dla firmware i środowiska uruchomieniowego

DOPASOWANIE IEC 62443:
- Użyj IEC 62443-4-2 SL2+ jako bazowego
- Dokumentuj możliwości bezpieczeństwa
- Testuj funkcje bezpieczeństwa

SZCZEGÓLNE ROZWAŻANIA:
- Ograniczenia czasu rzeczywistego vs. przetwarzanie bezpieczeństwa
- Ochrona funkcji bezpieczeństwa funkcjonalnego
- Wsparcie dla protokołów starszego typu (Modbus, itp.)

Oprogramowanie SCADA/DCS

ZGODNOŚĆ CRA OPROGRAMOWANIA SCADA/DCS

KLASYFIKACJA: Zazwyczaj Important Klasa I

KLUCZOWE WYMAGANIA:
- Bezpieczna architektura
- Kontrola dostępu oparta na rolach
- Szyfrowana komunikacja
- Ścieżka audytu
- Mechanizm aktualizacji
- SBOM dla wszystkich komponentów

SZCZEGÓLNE ROZWAŻANIA:
- Bezpieczeństwo baz danych
- Konfiguracja bezpieczeństwa OPC UA
- Ochrona danych historyka
- Bezpieczeństwo dostępu zdalnego

Bramki IoT Przemysłowe

ZGODNOŚĆ CRA BRAMEK IOT PRZEMYSŁOWYCH

KLASYFIKACJA: Zazwyczaj Important Klasa I

KLUCZOWE WYMAGANIA:
- Bezpieczny rozruch
- Wsparcie dla segmentacji sieci
- Szyfrowane protokoły (MQTT-TLS, itp.)
- Uwierzytelnianie urządzeń
- Mechanizm aktualizacji firmware
- SBOM

SZCZEGÓLNE ROZWAŻANIA:
- Bezpieczeństwo edge computing
- Bezpieczeństwo łączności z chmurą
- Bezpieczeństwo translacji protokołów
- Filtrowanie/walidacja danych

Praktyczna Mapa Drogowa Zgodności

Faza 1: Ocena (Teraz - Połowa 2026)

OCENA PRODUCENTA PRZEMYSŁOWEGO

INWENTARZ PRODUKTÓW:
[ ] Wymień wszystkie produkty z elementami cyfrowymi
[ ] Klasyfikuj według kategorii CRA
[ ] Zidentyfikuj produkty Important Klasa II

ISTNIEJĄCE CERTYFIKACJE:
[ ] Wymień certyfikacje IEC 62443
[ ] Mapuj do wymagań CRA
[ ] Zidentyfikuj luki

ANALIZA LUK:
[ ] Możliwość SBOM
[ ] Gotowość do zgłaszania podatności
[ ] Planowanie 5-letniego wsparcia
[ ] Luki dokumentacyjne

OCENA DOSTAWCÓW:
[ ] Dostawcy krytycznych komponentów
[ ] Dostępność SBOM od dostawców
[ ] Gotowość CRA łańcucha dostaw

Faza 2: Przygotowanie (Połowa 2026 - Wrzesień 2026)

FAZA PRZYGOTOWANIA

TECHNICZNE:
[ ] Wdróż generowanie SBOM
[ ] Ustal proces obsługi podatności
[ ] Przygotuj możliwość zgłaszania do ENISA
[ ] Zaktualizuj bazowe bezpieczeństwo produktu

DOKUMENTACJA:
[ ] Struktura dokumentacji technicznej
[ ] Aktualizacje dokumentacji bezpieczeństwa
[ ] Przewodnik użytkownika dla bezpiecznego wdrożenia
[ ] Komunikacja okresu wsparcia

KOMERCYJNE:
[ ] Definicje okresów wsparcia
[ ] Aktualizacje umów z klientami
[ ] Przegląd cen (jeśli koszty zgodności znaczące)

Faza 3: Zgodność (Wrzesień 2026 - Grudzień 2027)

FAZA ZGODNOŚCI

WRZESIEŃ 2026:
[ ] Zgłaszanie podatności operacyjne
[ ] Rejestracja w platformie ENISA SRP

PRZEZ 2027:
[ ] Ukończ oceny zgodności
[ ] Zaangażuj jednostki notyfikowane (Important Klasa II)
[ ] Uzyskaj certyfikaty badania typu UE
[ ] Zaktualizuj całą dokumentację produktu

GRUDZIEŃ 2027:
[ ] Wszystkie produkty zgodne z CRA
[ ] Oznakowanie CE przyczepione
[ ] Komunikacja z klientami zakończona

Zasoby Branżowe

Organy Normalizacyjne

ODPOWIEDNIE ORGANIZACJE NORMALIZACYJNE

IEC (Międzynarodowa Komisja Elektrotechniczna):
Seria IEC 62443
https://www.iec.ch

ISA (International Society of Automation):
Rozwój ISA/IEC 62443
Program certyfikacji ISASecure
https://www.isa.org

NAMUR (Stowarzyszenie Przemysłu Procesowego):
Zalecenia NE dla bezpieczeństwa OT
https://www.namur.net

NIST:
Framework Cyberbezpieczeństwa
SP 800-82 (Przewodnik bezpieczeństwa OT)
https://www.nist.gov

Stowarzyszenia Branżowe

Lista Kontrolna dla Automatyki Przemysłowej

LISTA KONTROLNA CRA AUTOMATYKI PRZEMYSŁOWEJ

KLASYFIKACJA PRODUKTU:
[ ] Klasyfikacja określona (Domyślna/Important I/Important II)
[ ] Wybrana ścieżka oceny zgodności
[ ] Zidentyfikowana jednostka notyfikowana (jeśli potrzebna)

ISTNIEJĄCE CERTYFIKACJE:
[ ] IEC 62443-4-1 (SDL)
[ ] IEC 62443-4-2 (bezpieczeństwo komponentów)
[ ] Certyfikacja ISASecure
[ ] Zmapowane do wymagań CRA

ZGODNOŚĆ TECHNICZNA:
[ ] Konfiguracja bezpieczna domyślnie
[ ] Bezpieczny mechanizm aktualizacji
[ ] Możliwość generowania SBOM
[ ] Proces obsługi podatności
[ ] Możliwość zgłaszania do ENISA

DOKUMENTACJA:
[ ] Dokumentacja techniczna przygotowana
[ ] Ocena ryzyka udokumentowana
[ ] Architektura bezpieczeństwa udokumentowana
[ ] Przewodnik bezpieczeństwa użytkownika przygotowany

CYKL ŻYCIA:
[ ] Zdefiniowany 5-letni okres wsparcia
[ ] Mechanizm dostarczania aktualizacji
[ ] Planowanie końca życia
[ ] Proces rewalidacji bezpieczeństwa funkcjonalnego dla aktualizacji

ŁAŃCUCH DOSTAW:
[ ] Wymagania SBOM od dostawców
[ ] Ocena bezpieczeństwa komponentów
[ ] Dokumentacja łańcucha dostaw

Powiązane przewodniki:

• Klasyfikacja Produktów CRA: Czy Twój Produkt to Default, Important czy Critical?
• Ocena Zgodności CRA: Przewodnik Decyzyjny Moduł A vs B+C vs H

Jak CRA Evidence Pomaga

CRA Evidence wspiera producentów automatyki przemysłowej:

• Mapowanie IEC 62443: Szablony dopasowane do struktury IEC 62443
• Zarządzanie SBOM: Wsparcie dla śledzenia komponentów przemysłowych
• Wsparcie długiego cyklu życia: Przechowywanie dokumentacji dla harmonogramów przemysłowych
• Śledzenie podatności: Zarządzanie podatnościami produktów przemysłowych
• Dowody zgodności: Zbieranie dowodów do przedłożenia jednostce notyfikowanej

Rozpocznij swoją zgodność CRA na app.craevidence.com.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym prawnikiem.