White logo

Macchine

Cybersecurity delle macchine: le regole che ogni costruttore deve conoscere

Cybersecurity delle Macchine: L’importanza della Sicurezza Informatica nell’Industria

Le nuove tecnologie hanno rivoluzionato il panorama industriale negli ultimi decenni, introducendo soluzioni sempre più avanzate e che si basano sul controllo dei dati e sull’interconnessione. Automazione, Intelligenza artificiale e lnternet of Things (IoT) hanno rivoluzionato e continueranno ad aggiornare i processi produttivi e l’intero panorama industriale attraverso il miglioramento dell’interazione macchina – macchina e macchina – operatore, impianti.

L’aumento delle opportunità derivanti dall’integrazione di queste tecnologie crea ua nuova serie di rischi: quando si parla di “cybersecurity” in ambito industriale si affronta un tema che coinvolge, non solo il singolo operatore, ma un intera comunità, da cui il termine “security“. In ambito europeo l’Unione ha messo in campo alcuni atti legislativi che tutelano questa comunità garantendo la sicurezza dell’utente finale e dell’intero settore industriale strategico.

In questo articolo inquadreremo il panorama legislativo e normativo vigente e capiremo quali sono i primi passi che i costruttori di macchine devono compiere come soggetti che mettono le basi per la tutela della sicurezza di rete nelle industrie del territorio europeo.

Il Quadro Normativo Europeo sulla Cybersecurity delle Macchine: Regole e Obblighi

Negli ultimi anni l’Unione Europea ha sviluppato un insieme di strumenti legislativi volti a disciplinare la cybersecurity delle macchine, introducendo requisiti specifici per la gestione del rischio, la mitigazione delle vulnerabilità e la certificazione dei prodotti connessi. Questi riferimenti forniscono un quadro di ampio respiro per la conformità di tutti gli operatori economici, produttori e utilizzatori, assicurando standard di sicurezza elevati all’interno del mercato europeo.

  • Direttiva (UE) 2022/2555 (NIS2): rafforza la resilienza delle infrastrutture critiche e dei settori industriali strategici, imponendo obblighi stringenti in materia di gestione del rischio e sicurezza informatica
  • Regolamento (UE) 2019/881 (Cybersecurity Act): definisce un sistema di certificazione europeo per garantire la sicurezza delle tecnologie digitali, comprese quelle industriali
  • Regolamento (UE) 2023/1230: sostituisce la Direttiva Macchine 2006/42/CE e introduce requisiti specifici per la sicurezza informatica dei prodotti industriali
  • Norma IEC 62443: fornisce un quadro dettagliato per la protezione dei sistemi di automazione e controllo industriale

Direttiva NIS2: Implicazioni per la Cybersecurity delle Macchine e dei Sistemi Industriali

Dal 18.10.2024 la Direttiva (UE) 2022/2555 (NIS2) sostituisce la precedente Direttiva (UE) 2016/1148 (NIS1) introducendo obblighi per le aziende, compresi i fabbricanti di macchine industriali. La cybersecurity diventa un requisito fondamentale da integrare nei processi di produzione, gestione della supply chain e governance aziendale. Implementare strategie di gestione del rischio, adottare certificazioni riconosciute e garantire un piano efficace di risposta agli incidenti sarà fondamentale per la conformità alle nuove disposizioni europee.

L’Articolo 21 di NIS2 stabilisce che le aziende, comprese quelle che producono macchine industriali, devono adottare misure di gestione del rischio in ambito di cybersecurity. Questo include:

  • Valutazione del rischio: identificazione e mitigazione delle vulnerabilità nei sistemi di rete e informatici utilizzati nella produzione e nel funzionamento delle macchine attraverso un processo dedicato di analisi dei rischi.
  • Sicurezza della supply chain: obbligo di assicurare che anche i fornitori e i sub-fornitori rispettino requisiti minimi di sicurezza informatica, specialmente se forniscono componenti critici con software integrato (esempio i fornitori di PLC di sicurezza per i fabbricanti di macchine).
  • Protezione dei dati e degli accessi: implementazione di controlli per garantire che solo personale autorizzato possa accedere ai sistemi digitali e alle informazioni di programmazione delle macchine.
  • Monitoraggio continuo: predisposizione di strumenti per il rilevamento e la risposta a minacce informatiche che possano compromettere la sicurezza operativa delle macchine.

I produttori di macchine industriali devono applicare una metodologia di analisi dei rischi in ambito cybersecurity, non solo per i loro prodotti, ma anche per la gestione dei rapporti con fornitori di hardware, software e servizi digitali.

Vi è poi l’Articolo 23 della direttiva che introduce i requisiti specifici per il controllo e la segnalazione degli incidenti di sicurezza informatica di seguito le principali caratteristiche:

  • Tempistiche rigorose: i soggetti devono segnalare un incidente significativo in ambito di cybersecurity entro 24 ore dalla sua scoperta alle autorità competenti o ai CSIRT (Computer Security Incident Response Team) nazionali
  • Relazione dettagliata: entro 72 ore dall’incidente, le aziende devono fornire una relazione tecnica completa con le informazioni su:
    • Natura e impatto dell’incidente
    • Misure adottate per contenerlo e risolverlo
    • Eventuali conseguenze per la continuità operativa
  • Notifica agli utenti: se un incidente ha un impatto diretto sugli utenti o clienti, l’azienda deve informarli tempestivamente sulle possibili conseguenze e sulle misure di mitigazione adottate

Per i fabbricanti di macchine industriali, questo significa strutturare la macchina in un piano di gestione degli incidenti e procedure di notifica per garantire che eventuali attacchi o vulnerabilità nei loro prodotti siano comunicati rapidamente alle autorità e ai clienti.

Cybersecurity Act dell’UE: L’importanza della Certificazione per la Sicurezza dei Sistemi Industriali

Il Cybersecurity Act europeo, adottato nel 2019, è una normativa fondamentale per migliorare la sicurezza informatica nell’Unione Europea. Il regolamento stabilisce un quadro giuridico per rafforzare la cybersecurity in Europa, con l’obiettivo di proteggere le infrastrutture critiche e le informazioni sensibili contro le minacce informatiche sempre più diffuse e sofisticate.

I fabbricanti di macchine sono coinvolti nel Cybersecurity Act europeo principalmente attraverso il rafforzamento delle misure di sicurezza informatica per i loro prodotti e la conformità a nuove normative che riguardano le infrastrutture critiche e i sistemi industriali. Sebbene l’atto si concentri principalmente sulla sicurezza informatica per l’intero ecosistema digitale europeo, ha implicazioni specifiche anche per i produttori di macchinari, in particolare quelli che forniscono sistemi industriali, macchine connesse o dispositivi operanti in ambienti critici. Ecco come i fabbricanti di macchine possono essere coinvolti:

  1. Obblighi di sicurezza per i dispositivi connessi: Se i macchinari prodotti o venduti sono connessi a reti o sistemi di controllo industriali, i produttori devono adottare misure di sicurezza per proteggere tali dispositivi da attacchi informatici. Questo significa che le macchine dovranno essere progettate e costruite con funzionalità di cybersecurity integrate, come la protezione dei dati, l’autenticazione sicura e la protezione contro gli accessi non autorizzati.

  2. Certificazione di sicurezza: Il Cybersecurity Act stabilisce un quadro di certificazione della cybersecurity per prodotti e servizi ICT. Per i fabbricanti di macchine, questo implica che le loro tecnologie, in particolare quelle connesse, potrebbero dover passare attraverso un processo di certificazione per garantire che rispettino gli standard di sicurezza previsti dalla normativa. I fabbricanti devono assicurarsi che i loro dispositivi siano conformi a tali certificazioni, che potrebbero diventare un requisito per la commercializzazione dei prodotti in Europa.

  3. Rischio per le infrastrutture critiche: I fabbricanti di macchine che forniscono infrastrutture critiche (come quelle nei settori dell’energia, dei trasporti, della sanità e delle telecomunicazioni) sono soggetti a normative più severe. Le macchine e i sistemi industriali impiegati in questi ambiti devono essere progettati per garantire che non vengano compromessi da attacchi informatici, poiché tali vulnerabilità potrebbero avere impatti significativi sulla sicurezza nazionale e sulla vita quotidiana. I produttori devono adottare misure preventive e garantire un livello adeguato di resilienza ai cyber attacchi.

  4. Responsabilità per la gestione degli incidenti: Se un attacco informatico compromette la sicurezza di una macchina o di un sistema industriale, i fabbricanti devono essere in grado di rispondere rapidamente. L’atto europeo incoraggia la creazione di piani di risposta agli incidenti e la cooperazione tra i produttori di macchine e le autorità nazionali. Inoltre, i fabbricanti potrebbero essere tenuti a notificare le violazioni della sicurezza alle autorità competenti, in linea con i principi di trasparenza e responsabilità.

  5. Cooperazione con l’ENISA: I fabbricanti di macchine possono collaborare con l’ENISA (Agenzia Europea per la Cybersecurity) e altre autorità competenti per sviluppare e migliorare le pratiche di sicurezza informatica. Ciò potrebbe includere la partecipazione a iniziative di ricerca, la condivisione di informazioni sulle minacce informatiche e l’adozione di linee guida comuni per il miglioramento della sicurezza nei settori industriali.

In sintesi, i fabbricanti di macchine devono integrare la cybersecurity nelle loro pratiche di progettazione e produzione, conformarsi agli standard di sicurezza previsti dal Cybersecurity Act europeo e cooperare con le autorità per garantire che i loro prodotti non siano vulnerabili agli attacchi informatici. Questo è particolarmente cruciale per i macchinari destinati a settori ad alta criticità, dove la sicurezza informatica è fondamentale per evitare rischi significativi (ad esempio: ambito medico e farmaceutico).

Il regolamento macchine (UE) 2023/1230: i nuovi requisiti di cybersecurity per le macchine industriali

Il nuovo Regolamento Macchine 2023/1230 (entrato in vigore il 1° gennaio 2023) include la cybersicurezza come un aspetto cruciale per la progettazione e la commercializzazione delle macchine, con un focus maggiore sulle macchine connesse a reti digitali o utilizzate in ambienti industriali automatizzati. Questo regolamento introduce nuovi obblighi per i fabbricanti di macchinari riguardo alla sicurezza informatica, in linea con i più ampi sviluppi della Legge Europea sulla Cybersicurezza e delle normative che regolano l’industria 4.0.

Il nuovo regolamento macchine parla di cybersecurity come di “uso scorretto prevedibile“, in questo testo innovativo dedicato ai costruttori di macchine viene trattato il tema della cybersecurity dal punto di vista della sicurezza dell’operatore.

In particolare, il regolamento 2023/1230 si occupa di cybersicurezza in due contesti principali:

  1. Sicurezza del Prodotto (Articolo 3 – Requisiti generali di sicurezza):
    • Il regolamento stabilisce che i fabbricanti di macchine devono garantire che le macchine siano progettate e costruite in modo da prevenire i rischi relativi alla cybersicurezza. Le macchine devono essere resistenti agli attacchi informatici e alle vulnerabilità che potrebbero compromettere la sicurezza operativa, in particolare per quelle connesse a reti digitali.
    • I produttori devono valutare i rischi legati alla cybersicurezza nel ciclo di vita della macchina, considerando non solo le minacce fisiche, ma anche quelle informatiche. Ciò implica che le macchine devono includere misure di protezione contro accessi non autorizzati, manipolazioni o modifiche del software.
  2. Gestione dei Rischi e Conformità (Articolo 4 – Valutazione dei rischi):
    • È richiesto che i fabbricanti realizzino una valutazione dei rischi che prenda in considerazione le minacce informatiche. La sicurezza dei sistemi e dei dati deve essere garantita per evitare che un attacco informatico possa compromettere la funzionalità della macchina o dei sistemi di controllo industriali.
    • La conformità a standard di cybersicurezza è obbligatoria per le macchine destinate ad ambienti industriali, in modo da proteggere i dati sensibili e i processi operativi.
Inoltre viene introdotto il nuovo Requisito 1.1.9: “protezione dall’alterazione che parla proprio delle caratteristiche di incorruttibilità che una macchina deve garantire nei confronti della sicurezza dell’utente finale.

In generale, la cybersicurezza nel regolamento delle macchine è vista come una parte integrante della sicurezza complessiva del prodotto. I fabbricanti sono obbligati a seguire le normative di sicurezza informatica durante la progettazione, produzione e vendita delle macchine, applicando misure appropriate per mitigare i rischi legati agli attacchi informatici. Questo implica che i dispositivi industriali connessi o interattivi devono essere sviluppati con tecnologie di protezione avanzate, come la cifratura dei dati e l’autenticazione sicura, per prevenire l’accesso non autorizzato.

In sintesi, il Regolamento Macchine 2023/1230 mette in evidenza la necessità per i fabbricanti di integrare la cybersecuity nella progettazione e nella costruzione delle macchine, in modo particolare quelle connesse a sistemi digitali o di automazione industriale.

Norma IEC 62443: Le Best Practice Internazionali per la Cybersecurity nei Sistemi di Controllo Industriale

La serie IEC 62443 è una serie di norme tecniche che riguardano la sicurezza informatica nei sistemi di automazione industriale e si applica ai fabbricanti di macchine che integrano dispositivi connessi a reti industriali. I principali punti di applicazione per i produttori sono:

  1. Sicurezza del design: I fabbricanti devono progettare le macchine con funzionalità di sicurezza integrate, come la protezione dei dati e la gestione degli accessi.
  2. Certificazione e conformità: Le macchine devono rispettare gli standard di sicurezza informatica per l’ambito industriale, integrando una apposita analisi della macchina nei processi di certificazione.
  3. Sicurezza dei componenti: Ogni parte della macchina (come sensori e attuatori) deve essere protetta da vulnerabilità informatiche.
  4. Gestione della sicurezza: I fabbricanti e gli utilizzatori delle macchine interconnesse, devono implementare politiche di gestione della sicurezza per monitorare vulnerabilità e rispondere a incidenti.
  5. Collaborazione con i clienti: I fabbricanti devono garantire che le macchine siano compatibili con le politiche di sicurezza dei clienti, in particolare per le infrastrutture critiche.

In sostanza, i fabbricanti devono integrare la cybersecurity nelle loro pratiche di progettazione, certificazione e gestione post-vendita, le linee guida tecniche della serie IEC 62443 possono essere applicate al fine di garantire la protezione contro le minacce informatiche.

Conclusioni: I Primi Passi da Seguire per Garantire la Cybersecurity delle nostre Macchine

Se sei un fabbricante di macchine avrai sicuramente capito quanto è importante, e quanto sarà fondamentale negli anni a venire il tema della cybersecurity dei tuoi prodotti. Il processo di valutazione della sicurezza informatica deve essere condotto seguendo un processo analogo e parallelo a quello di sicurezza meccanica ed elettrica della macchina: studiandone le vulnerabilità e analizzando i rischi che derivano dalle stesse e i modi per gestire al meglio questi rischi.

I mezzi di protezione e le procedure che possono essere adottate al fine di mitigare i rischi legati alla cybersecurity sono un tema in continuo sviluppo, come sono in continua evoluzione le minacce e  le dinamiche di rischio che coinvolgono le macchine interconnesse.

Lo scopo finale è sempre quello di portare al livello massimo la sicurezza dei singoli prodotti per garantire che, a livello globale, si assicurata una piena affidabilità dei sistemi e dei processi industriali. Nei prossimi anni, il tema della cybersecurity diventerà, assieme a quello dell’implementazione dell’intelligenza artificiale nell’industria uno dei protagonisti indiscussi nel panorama della sicurezza aziendale.

Oggi i requisiti per garantire la cybersecurity delle tue macchine sono già in parte obbligatori, noi di Waves Engineering possiamo accompagnarti verso la conformità dei tuoi prodotti attraverso analisi dei rischi mirate a verificarne la conformità. Contattaci per informazioni su questo e sugli altri servizi per te disponibili.

CONTATTACI
Taggato,
error: Content is protected !!