jtsec | Blog | Nueva propuesta de la Machinery Directive incluyendo requisitos de ciberseguridad.

- Junio

2021

Publicado por: José Ruiz

Nueva propuesta de la Machinery Directive incluyendo requisitos de ciberseguridad.

Machinery Directive, definición y sectores implicados

La Machinery Directive es el núcleo de la legislación europea que regula los productos de las industrias de ingeniería mecánica, cuya función es establecer un marco normativo para la comercialización de las máquinas en el mercado único. Esta directiva sólo se aplica a los productos que se van a comercializar por primera vez en la UE.

Los principales objetivos de esta directiva son:

Garantizar la libre circulación de maquinaria en el mercado interior.

Garantizar un alto nivel de protección para los trabajadores y ciudadadanos de la UE.

La Machinery Directive 2006/42/EC se publicó el 9 de junio de 2006 y entró en vigor el 29 de diciembre de 2009; su última edición fue aprobada por el comité de máquinas y publicada en octubre de 2019.

En Abril de 2021, la Comisión Europea tomó la decisión de revisar esta directiva para convertirla en una regulación que mejore la armonización en un futuro próximo.

Principales razones para desarrollar una nueva regulación

La Comisión considera que esta antigua directiva no es adecuada para los riesgos relacionados con las nuevas tecnologías, incluidas las actualizaciones de software y las máquinas autónomas, ámbitos que han experimentado una gran evolución en los últimos años. No sólo los componentes físicos son críticos para la seguridad. Con este nuevo enfoque, sólo los productos que cumplan la nueva normativa tendrán cabida en el mercado europeo.

Existen diferentes objetivos para esta nueva regulación:

Abordar los riesgos derivados de las tecnologías emergentes, permitiendo al mismo tiempo el progreso técnico.

Mejorar la claridad jurídica de algunos conceptos y definiciones importantes del texto actual de la Directiva sobre máquinas.

Garantizar la coherencia con otras directivas y reglamentos sobre productos y mejorar.

La aplicación de la legislación mediante la adaptación al nuevo marco legislativo.

Habrá severas sanciones económicas para aquellos proveedores y empresas que no cumplan con la nueva Regulación, dependiendo de la gravedad del incumplimiento, pueden llegar hasta 30.000.000€ o el 6% del total de la facturación de la empresa.

¿Qué productos es obligatorio evaluar?

Existe una lista de productos de alto riesgo que deben ser certificados por una tercera parte, de lo contrario, la certificación no será aceptada, incluso cuando los fabricantes apliquen las normas armonizadas pertinentes. Puede encontrar la lista completa de productos de maquinaria de alto riesgo resumida en dos áreas principales:

Software que garantiza las funciones de seguridad, incluidos los sistemas de IAs.

Máquinas que incorporan sistemas de IA que garantizan funciones de seguridad.

La maquinaria no incluida anteriormente, puede seguir los procedimientos de comprobación interna.

Requisitos de ciberseguridad

Esta nueva versión de la Directiva, tiene en cuenta la ciberseguridad como una de las partes principales de la misma, lo que nos alegra especialmente, como expertos en ciberseguridad. Este nuevo documento considera que un componente de hardware para la conexión que sea crítico para el cumplimiento de la seguridad de la máquina deberá estar diseñado de forma que esté adecuadamente protegido contra la corrupción accidental o intencionada. Del mismo modo, el software y los datos críticos deberán estar adecuadamente protegidos.

El cumplimiento de los requisitos de ciberseguridad puede demostrarse mediante un certificado europeo de ciberseguridad o una declaración de conformidad con el Cybersecurity Act, en la medida en que dichos requisitos estén cubiertos por el certificado o la declaración.

¿Cómo podemos ayudarle a evaluar sus productos según la Machinery Directive?

En jtsec somos expertos en certificaciones de ciberseguridad y miembros activos en el desarrollo del ECCF (European Cybersecurity Certification Framework). Si tiene alguna duda, estaremos encantados de ayudarle.

tags

José Ruiz/CTO

José es consultor experto en el estándar Common Criteria con más de 10 años de experiencia. Posee una amplia experiencia en normas de seguridad en el campo de la tecnología de la información como FIPS 140-2, GP TEE o FIDO y ha servido como evaluador, líder técnico y consultor para Epoche & Espri y como gerente de laboratorio de CC y Cyber Security Service Manager para Applus +. Su experiencia lo ha llevado a participar como ponente en varias ediciones de la ICCC (International Common Criteria Conference), ICMC (International Cryptographic Module Conference) y Securmatica. Es el “Chairmande un subgrupo dentro de la iniciativa ISCI WG1 Eurosmart para desarrollar la Metodología CC. Ha sido nombrado revisor por la comisión europea del grupo ERNCIP \IACS Cybersecurity certification".

En 2017 funda con Javier lo que hoy se conoce como jtsec. Actualmente es el encargado de potenciar la expansión comercial de la empresa desde la sede en Madrid como Jefe de Desarrollo de Negocio (CBDO). Además, representa a jtsec en diversos foros nacionales e internacionales y es el responsable de calidad.