Duela urte batzuk, DBEO araudiaren etorrerak aldaketa handia ekarri zuen enpresentzat: bezeroen eta langileen datu pertsonalak nola gordetzen, erabiltzen eta babesten zituzten berrikusi behar izan zuten milaka konpainiek. Orain, Europako industriak beste arau-aldaketa handi bati egin behar dio aurre, nahiz eta oraingoan gakoa ez den pribatutasuna, ezpada konektatutako produktuen zibersegurtasuna. Cyber Resilience Act (CRA) araudi berriak fabrikatzaileak, software-garatzaileak eta industria-enpresak behartzen ditu bermatzera beren produktuak zibererasoen aurrean seguruak direla, lehen egunetik azkenera arte.
“Europan saltzen den edozein produktu konektatuk —Internetera edo beste sistema batzuetara konektatzen diren produktu digitalak— gainditu beharko ditu segurtasun-berme horiek, diseinuaren lehen fasetik hasi eta produktua hil arte, bizi-ziklo osoa, alegia”, laburbildu du María Penilla Ziur Gipuzkoako Zibersegurtasun Industrialeko Zentroko zuzendariak. Europako araudia, 2024an onartua, pixkanaka hasiko da aplikatzen: 2026ko irailetik aurrera, zenbait betebehar sartuko dira indarrean, hala nola, produktuen segurtasuna urteetan kontrolatzeko eta arazoak agertuz gero bezeroei jakinarazteko obligazioak. 2028ko urtarriletik aurrera, berriz, Europan merkaturatzen diren produktu konektatu berri guztiek CRA zigilua izan beharko dute.
Finean, produktu konektatuak fabrikatzen edo merkaturatzen dituen ia edozein enpresari eragingo dio CRAk: industria-makineriatik hasi eta IoT gailuetaraino edo software-aplikazioetaraino. “Enpresa guztiek araudi horretara egokitzeko lanean egon behar dute jada”, ohartarazi du Penillak. Epemuga urrun dagoela iruditu arren, “produktu industrial bat birdiseinatzea ez da ez bi egunetan ez bi hilabetetan egiten” azpimarratu du. Gipuzkoan, Ziur enpresa industrialekin ari da lanean 2022az geroztik, pixkanaka-pixkanaka egoera berrira egokitzen joateko.
Goitik beherako aldaketa
Biele Group da jada Ziurekin egokitzapen horretan lan egiten ari den enpresetako bat. Industria-taldeak instalazio automatizatuak eta bezero industrialentzako proiektuak garatzen ditu, makineria propioa, automatizazioa eta software-garapena konbinatuta.”Planta osoak garatzen eta fabrikatzen ditugu, baita fabriken prozesuak automatizatzen ere”, azaldu du Juan Mari Calleja IT arloko zuzendariak.
Bieleren kasuan, CRArekiko lehen harremana duela urte batzuk iritsi zen, Gipuzkoako industria-inguruneko eragileekin antolatutako saio eta prestakuntzen bidez. “Azaldu ziguten araudi horrek eragina izango zuela Europan merkaturatu nahi ziren produktu konektatu guztiengan”, gogoratu du. Azkar konturatu ziren ondorioaz: “Argi ikusi genuen honek bai ala bai eragingo zigula”.
Penilla (Ziur): “Enpresa guztiek araudi horretara egokitzeko lanean egon behar dute jada”
Enpresak aldez aurretik barne ikuspegitik zibersegurtasuna landu bazuen ere (ISO 27001 ziurtagiria lortuta, kasu), CRAren etorrerak ikuspegia aldatzera behartu zituen. “Araudi horiek oso bideratuta daude zibersegurtasunera, barne-prozesuen edo barnean ditugun azpiegituren mailan. Hala ere, CRAren kontu hori fabrikatzen dugun produktuaren zibersegurtasunera bideratuta dago, eta horrek fokua erabat aldatzen du”, azaldu du.
Aldaketa horrek ia erakunde osoa berrikustea eskatu dio taldeari. “Zibersegurtasunaz hitz egiten dugun guztietan badirudi informatika sailaz ari garela”, dio Callejak, “baina Europako araudira egokitzeak ingeniaritzari, erosketei, softwarearen garapenari, dokumentazio teknikoari eta saldu osteko lanei ere eragiten die”. “Azkenean, erakunde osoari eragingo dion aldaketa izango da”, berretsi du.
Zigilu bat lortzea baino gehiago
Zigilu bat lortzeaz edo izapide administratibo bat betetzeaz gain, Ziur eta Biele Group bat datoz esatean CRAk enpresa industrialak behartuko dituela urteetan beren produktuak kudeatzeko modua aldatzera. “Ez da zigilu bat lortzea eta kito”, laburbildu du Callejak. Izan ere, produktuaren balio-bizitza osoan zibersegurtasunari loturik izan daitezkeen ahultasunak zaintzea eskatzen du araudiak, eta, industrian, urte askoan iraun dezakete produktuek.
Hori gutxi balitz, makina batean integratutako osagai edo software batek arazo bat badu, fabrikatzaileak detektatu, jakinarazi eta irtenbide bat eskaini beharko die osagai hori erabiltzen ari diren horiei. Callejak adibide zehatz bat jarri du: “PLC (Kontrolatzaile logiko programagarriak) baten fabrikatzaile batek jakinarazten badigu bere produktuetako batek ahultasun bat duela, tresnak izan beharko ditugu adierazteko zer bezerori eragin diezaioketen”. Hortik aurrera, bezero horiei informazioa eman beharko diete, eta arazoa zuzentzeko edo produktua eguneratzeko neurriak eskaini beharko dituzte.
Calleja (Biele): “Azken batean, araudia betetzen ez baduzu, merkatutik kanpo geratuko zara”
Lan horrek denbora eta aurretiko prestakuntza eskatzen duela azpimarratu du Ziurekoak. Hain zuzen ere, horretara bideratutako doako azelerazio programa bat abiatu du zentroak Gipuzkoako Foru Aldundiarekin batera. Orain arte 50 enpresek egin dute eskaera programan parte hartzeko, eta 23 konpainiek jada abiatu dute proiektu bat; horietako bat da, hain justu, Biele Group. Programaren helburua da enpresei CRA araudira egokitzen laguntzea, 2027ko abendua iritsi aurretik, eta horretarako enpresa bakoitzaren produktua aztertzen dute, gaur egun zer egoeratan dagoen ikusi eta araudiak eskatzen duenarekin alderatzeko. Programak helburu du 60-80 konpainia laguntzea. Era berean, bi prestakuntza-jarduera ere antolatu dituzte, zeintzuetan 65 enpresa inguruk esku hartu duten.
Callejak azaldu duenez, bere konpainia oraindik azelerazio prozesuaren hasierako fasean dago, duela bi hilabete besterik ez baitziren hasi lanketarekin. Enpresak garatutako software konkretu bat hautatu dute, eta azelerazio programaren bitartez, harremana egin dute software hori aztertuko duen beste enpresa batekin. Bielerentzat “oso lagungarria” izaten ari da programa, softwarea gaian adituak direnekin ebaluatzeko aukera izaten ari direlako. “Azken batean, araudia betetzen ez baduzu, merkatutik kanpo geratuko zara”, baieztatu du Callejak.