Wpływ Aktu w sprawie cyberodporności na branżę HVAC/R

Wraz z rosnącą cyfryzacją systemów HVAC/R, cyberbezpieczeństwo staje się coraz ważniejszym zagadnieniem. Unia Europejska odpowiada na to wyzwanie poprzez szereg inicjatyw, w tym Cyber Resilience Act (CRA), który wprowadza obowiązkowe wymogi w zakresie cyberbezpieczeństwa dla produktów zawierających elementy cyfrowe wprowadzanych na rynek UE.

Ma to szczególne znaczenie dla sektora HVAC/R, w którym wiele produktów znajduje się w zakresie regulacji CRA,  od lodówek i pomp ciepła po systemy zarządzania budynkiem. Oznacza to, że producenci będą musieli na nowo przemyśleć sposób projektowania, rozwoju i utrzymania swoich rozwiązań, zapewniając, że cyberbezpieczeństwo jest uwzględniane od samego początku i utrzymywane przez cały cykl życia produktu.

Od grudnia 2027 roku zgodność z CRA będzie warunkiem uzyskania oznakowania CE, a tym samym wprowadzenia produktów zawierających elementy cyfrowe na rynek UE. Produkty już obecne na rynku nie są całkowicie zwolnione z tych wymogów. Jeśli po 11 grudnia 2027 roku zostaną poddane istotnym modyfikacjom, również mogą zostać objęte nowymi regulacjami. Dodatkowo już od września 2026 roku zaczną obowiązywać wymogi raportowania, zobowiązujące firmy do szybkiego reagowania na wykryte podatności lub incydenty.

W tym kontekście CRA można postrzegać jako coś więcej niż tylko regulację prawną dla branży HVAC/R. To szansa na zmianę, która skłania sektor do tworzenia bardziej bezpiecznych, odpornych i przyszłościowych rozwiązań w coraz bardziej połączonym świecie.

Jak CRA klasyfikuje cyfrowe produkty HVAC/R

CRA klasyfikuje produkty zawierające elementy cyfrowe do różnych kategorii w zależności od poziomu ryzyka i wrażliwości, określając tym samym wymagany poziom oceny cyberbezpieczeństwa.

Kategoria podstawowa obejmuje większość produktów i opiera się na samoocenie. Około 90% produktów należy do tej grupy, są to m.in. standardowe termostaty, podstawowe inteligentne sterowniki HVAC oraz czujniki niekrytyczne. Umożliwia to producentom samodzielną ocenę zgodności bez obowiązku zewnętrznej weryfikacji.

Produkty klasy I wymagają stosowania norm zharmonizowanych lub oceny przez stronę trzecią. W sektorze HVAC/R przykłady obejmują systemy zarządzania tożsamością dla platform BMS, bezpieczne narzędzia dostępu zdalnego czy moduły uwierzytelniania użytkowników kontrolujące dostęp i konfigurację systemów HVAC/R.

Produkty klasy II obejmują technologie wrażliwe, takie jak zapory sieciowe (firewalle) czy mikroprocesory. Systemy te zarządzają krytycznymi operacjami i są uznawane za obarczone wyższym ryzykiem, dlatego wymagają bardziej rygorystycznej weryfikacji bezpieczeństwa.

Wreszcie produkty krytyczne wymagają najwyższego poziomu kontroli. W HVAC/R należą do nich m.in. bramki liczników inteligentnych (smart meter gateways) w systemach smart metering, urządzenia sprzętowe z modułami bezpieczeństwa czy smartkarty i podobne rozwiązania. Ze względu na wpływ na bezpieczeństwo, dystrybucję energii i ciągłość działania wymagają one europejskiej certyfikacji cyberbezpieczeństwa.

Taki system klasyfikacji zapewnia, że wymagania w zakresie cyberbezpieczeństwa są proporcjonalne do ryzyka związanego z danym produktem HVAC/R, pomagając producentom właściwie priorytetyzować działania związane ze zgodnością i jednocześnie chronić użytkowników oraz infrastrukturę.

Kluczowe kroki dla producentów

Zgodność z CRA wymaga od producentów HVAC/R stosowania uporządkowanego podejścia obejmującego cały cykl życia produktów połączonych. Poniższe kroki stanowią mapę drogową do osiągnięcia zgodności:

Ocena ryzyka:

Producenci muszą ocenić specyficzne ryzyka cyberbezpieczeństwa związane z ich produktami. Na przykład witryna chłodnicza i lodówka do przechowywania szczepionek mają zupełnie różny poziom wrażliwości i wpływu operacyjnego, co wymaga dostosowanych środków kontroli.

Podstawowe wymagania dotyczące produktu:

Produkty muszą spełniać kluczowe wymagania bezpieczeństwa, w tym stosować silne mechanizmy uwierzytelniania. Urządzenia wykorzystujące domyślne hasła lub słabe kody PIN, takie jak „123” czy „444”, muszą zostać zaktualizowane.

Zarządzanie podatnościami:

Producenci są zobowiązani do wdrożenia procesów obsługi podatności, w tym publikowania ostrzeżeń w ciągu 24 godzin od wykrycia problemu bezpieczeństwa.

Dokumentacja techniczna:

Należy prowadzić kompletną dokumentację techniczną opisującą wpływ zmian w produkcie na bezpieczeństwo danych. Dokumentacja ta stanowi dowód zgodności.

Oznakowanie CE i deklaracja zgodności UE:

Wszystkie produkty muszą posiadać oznaczenie CE oraz deklarację zgodności UE potwierdzającą spełnienie wymagań CRA.

Ciągła zgodność i zarządzanie cyklem życia:

Producenci muszą zapewnić zgodność przez cały przewidywany cykl życia produktu lub przez co najmniej 5 lat, w tym regularne testy bezpieczeństwa.

Obowiązki raportowania:

Wszelkie wykorzystane podatności oraz incydenty wpływające na bezpieczeństwo produktów muszą być niezwłocznie zgłaszane odpowiednim organom.

Zharmonizowane normy wspierające zgodność z CRA

Aby wesprzeć wdrożenie CRA, Komisja Europejska zleciła organizacjom normalizacyjnym (CEN, CENELEC, ETSI) opracowanie zestawu 41 norm zharmonizowanych, które dostarczą producentom wytycznych w zakresie zgodności.

Normy te dzielą się na dwie grupy:

Normy horyzontalne:
Mają zastosowanie ogólne dla różnych typów produktów, jeśli brak normy dedykowanej. Seria EN 40000-1 obejmie wymagania produktowe i procesowe. Projekty norm procesowych (EN 40000-1-1, -1-2, -1-3) są już dostępne, a ich publikacja planowana jest na sierpień 2026. Normę produktową EN 40000-1-4 planuje się opublikować w październiku 2027.

Normy wertykalne:

Dotyczą konkretnych typów produktów. Przykładem jest EN 304 617 dla przeglądarek internetowych. Mają one zapewnić odpowiednie uwzględnienie specyficznych ryzyk. Publikacja tych norm planowana jest na październik 2026.

Do czasu finalizacji norm CRA można korzystać z innych standardów, takich jak IEC 62443 - szeroko stosowany w branży. Obecnie jego odpowiednie części są aktualizowane na poziomie europejskim w celu lepszego dopasowania do wymagań CRA, a wersje zharmonizowane planowane są na 2026 rok.

Warto podkreślić, że norma IEC 62443-3-3 definiuje cztery poziomy bezpieczeństwa (SL1–SL4), które określają stopień ochrony przed atakami o rosnącym poziomie zaawansowania. Dzięki temu producenci mogą projektować i oceniać produkty adekwatnie do poziomu ryzyka.

CAREL w odpowiedzi na Cyber Resilience Act

Carel już dziś prowadzi intensywne prace nad dostosowaniem swojego środowiska programistycznego STone do wymagań wynikających z Cyber Resilience Act (CRA), koncentrując się na zapewnieniu wysokiego poziomu bezpieczeństwa, integralności oraz zarządzania cyklem życia oprogramowania. Wprowadzane zmiany obejmują m.in. rozwój mechanizmów bezpiecznego projektowania aplikacji, kontrolę dostępu, aktualizacje oprogramowania oraz lepsze zarządzanie podatnościami, co ma na celu przygotowanie zarówno samej platformy, jak i tworzonych na niej rozwiązań na nadchodzące regulacje obowiązujące od 2027 roku. Dzięki temu użytkownicy systemów Carel, w tym producenci urządzeń HVAC/R, będą mogli spełniać nowe wymogi prawne w sposób bardziej efektywny, jednocześnie podnosząc poziom cyberbezpieczeństwa swoich produktów.

Podsumowanie

CRA stanowi istotny krok w kierunku bardziej bezpiecznych i odpornych systemów cyfrowych, wywierając znaczący wpływ na sektor HVAC/R. Od oceny ryzyka i spełnienia podstawowych wymagań, przez stosowanie norm zharmonizowanych, aż po ciągłe zarządzanie podatnościami, producenci mają jasno określone obowiązki w zakresie ochrony swoich produktów.

Proces ten nie jest prosty i będzie wymagał istotnych zmian w produktach oraz podejściu do ich projektowania, jednak w dłuższej perspektywie przyniesie wymierne korzyści