reglement-machines-2023-1230-contraintes-opportunites

Règlement machines 2023/1230 : entre contraintes et opportunités

Le nouveau règlement machines de l’Union Européenne entrera en vigueur dans deux ans. Cela signifie que les constructeurs de machines, les intégrateurs et les utilisateurs finaux n’ont plus que 24 mois pour faire l’état des lieux de l’existant et se mettre en conformité.

80% des constructeurs français de machines d’emballage que nous avons interrogés sont actuellement en phase d’analyse des nouvelles exigences. Certaines, comme l’ergonomie, ont déjà été intégrées et sont un élément de différenciation. D’autres, comme l’interaction homme/machine et de la protection contre la corruption vont devoir faire l’objet d’ajustements. Comment utiliser cette phase pour créer des opportunités, notamment en matière de cybersécurité ? Nous sommes allés poser la question à Hervé Bodinier, Directeur Général de la société eXcelsior Safety et spécialiste de la sécurité industrielle.

Rappelons au préalable que le nouveau Règlement européen remplacera la Directive 2006/42/CE et qu’il concerne en premier lieu la sécurité des personnes. Les EESS (exigences essentielles de santé et de sécurité) y ont été revues à l’aune des évolutions technologiques et des lacunes observées.

L’une des grandes évolutions à souligner est l’obligation de soumettre les machines les plus dangereuses (listées dans l’annexe I du règlement) à la certification par un tiers, en lieu et place d’une autocertification. Qu’ils se pensent concernés ou non, c’est donc par la lecture de cette annexe que devrait commencer toute démarche de mise en conformité des constructeurs.

La cybersécurité, par contre, concerne tout le monde. Et elle fait (enfin diront certains) son entrée en force dans le règlement machines. « Le risque cyber est pris en compte par les Opérateurs d’Importance Vitale (OIV) depuis la loi LPM  2015 et pour les Opérateurs de Services Essentiels (OSE) depuis 2018 par l’ANSSI. Il va devenir un sujet majeur pour 25 000 sociétés en France, dont de nombreuses IAA et sous-traitants, avec l’arrivée de NIS 2 prévue pour octobre 2024  et estimée pour juin 2025. Les constructeurs n’auront pas d’autre choix que de démontrer et documenter  la prise en compte et maîtrise des risques cyber de leurs machines », précise Hervé Bodinier, qui ajoute : « cela concerne les machines neuves, mais pas que, les anciennes installations devront se mettre en conformité avec les exigences cyber NIS2, LPM, IEC62443 etc, et en cas de modification machine, elles devront aussi prendre en compte la nouvelle règlementation machine. Il est grand temps, pour les utilisateurs finaux, intégrateurs, de faire aussi un audit cybersécurité de toutes les machines en exploitation pour préparer leur mise à niveau car cela ne se fera pas en un claquement de doigt. »

Pour lui, le nouveau règlement européen est une opportunité plus qu’une contrainte : « La cybersécurité est toujours mieux assurée en  privilégiant le hardware  au software si possible. Le règlement machines et la Directive NIS2 peuvent être l’opportunité de sécuriser nos installations industrielles de manière intelligente, et de passer à l’Industrie du Futur (4.0) de manière sereine. Mais il va falloir que les différents intervenants et les différentes fonctions dans l’entreprise soient capables de s’ouvrir aux besoins les uns des autres. Ce point est selon moi d’autant plus crucial dans l’agroalimentaire, où l’on connecte beaucoup de machines très différentes. »

La sécurité des lignes de production est finalement, pour Hervé Bodinier, le résultat d’un juste équilibre entre ouverture (demande de données dans le cadre de la directive CSRD par exemple) et fermeture (sécurisation des réseaux dans le cadre de NIS2). « Je ne crois pas que l’on puisse imaginer se passer de machines communicantes ou d’IA : les industriels ont besoin de faire remonter des données, les constructeurs peuvent avoir besoin des  données voire de logiciels pour améliorer leurs machines. En même temps, les cybercriminels sont en avance car ils utilisent l’IA depuis longtemps ; il faut donc aussi des procédures de sécurité encore plus strictes dès lors que l’information descend vers les machines. Et surtout, il faut un plan de continuité et reprise d’activité pour redémarrer rapidement les machines lorsque l’attaque se produira. Car elle se produira », conclut-il.

 

Télécharger le livre blanc : Sécurité et cybersécurité règlement machine 2023/1230Télécharger le livre blanc : Sécurité et cybersécurité règlement machine 2023/1230

 

 

machine-regulation-2023-1230-constraints-opportunities

Regulation machines 2023/1230: between constraints and opportunities

The new EU machinery regulation will come into force in two years. This means that machine manufacturers, integrators and end users have only 24 months to take stock of the existing situation and bring it into compliance.

80% of the French manufacturers of packaging machines we interviewed are currently in the process of analysing the new requirements. Some, such as ergonomics, have already been integrated and are an element of differentiation. Others, such as the human/machine interaction and protection against corruption will need to be adjusted. How can we use this phase to create opportunities, especially in the field of cybersecurity? We asked Hervé Bodinier, CEO of eXcelsior Safety and specialist in industrial safety.
It should be noted that the new EU regulation will replace Directive 2006/42/EC and that it is primarily concerned with personal safety. The EESS (essential health and safety requirements) were reviewed in the light of technological developments and observed gaps.
One of the major developments to highlight is the requirement to submit the most dangerous machines (listed in Annex I of the regulation) to third-party certification, instead of self-certification. Whether they think they are concerned or not, it is therefore by reading this annex that should begin any process of compliance by manufacturers.

Cyber security, on the other hand, is everyone’s business. And it is (some will say) entering into force in the regulation of machines. Cyber risk has been taken into account by the Operators of Vital Importance (OIV) since the 2015 LPM law and for Essential Services Operators (OSE) since 2018 by the ANSSI. It will become a major topic for 25,000 companies in France, including many IAA and subcontractors, with the arrival of NIS 2 scheduled for October 2024 and estimated for June 2025. Manufacturers will have no choice but to demonstrate and document how their machines take into account and control cyber risks,” says Hervé Bodinier, who adds: This applies to new machines, but not that old installations will have to comply with the cyber requirements NIS2, LPM, IEC62443 etc., and in case of machine modification, they will also have to take into account the new machine regulation. It is high time for end users, integrators, to also do a cyber audit of all machines in operation to prepare for their upgrade as this will not be done in a snap.”

For him, the new European regulation is an opportunity rather than a constraint: Cybersecurity is always better ensured by privileging hardware over software if possible. The machinery regulation and the NIS2 Directive can be the opportunity to secure our industrial facilities in an intelligent way, and to move to the Industry of the Future (4.0) in a serene manner. But it will be necessary for the different actors and the different functions in the company to be able to open up to each other’s needs. This is especially crucial in the agri-food industry, where many very different machines are connected.”
For Hervé Bodinier, the security of production lines is ultimately the result of a fair balance between openness (data requests under the CSRD directive, for example) and closure (securing networks under NIS2). I do not think we can imagine without communicating machines or AI: manufacturers need to send data, manufacturers may need data or software to improve their machines. At the same time, cybercriminals are ahead of the game because they have been using AI for a long time; therefore, even more stringent security procedures are needed as information goes down to machines. Most importantly, you need a business continuity and recovery plan to quickly restart machines when the attack occurs. Because it will happen,” he concludes.

crédit photo : Wallace Fonseca sur Unsplash

crédit photo : Wallace Fonseca sur Unsplash