in collaborazione con SAVE News

In questi ultimi anni, l'Unione Europea ha cercato di colmare il vuoto di regolamentazione relativo alla cybersecurity mediante una sovraproduzione legislativa: direttiva NIS2, Regolamento Macchine e Cyber Resilience Act (CRA) mirano a rafforzare la sicurezza informatica ma pongono anche sfide significative per i fabbricanti di macchine.

Francesco Astolfo
Schmersal Italia - 25010 Borgosatollo (BS) - fastolfo@schmersal.com


Direttiva NIS2
La direttiva NIS2 (Network and Information Security) è stata introdotta per ottenere la resilienza del sistema produttivo europeo all'interno di un contesto di rischio crescente, legato alle attività di gruppi criminali e di organizzazioni con fini offensivi.
La novità di questa versione è l'inclusione di un maggior numero di settori economici, ora ritenuti critici. Tra questi, il settore della fabbricazione di macchine e di apparecchiature elettriche che sono quindi tenuti a dotarsi di una politica di sicurezza informatica basata su un approccio multirischio: dalla formazione al contenuto tecnologico, passando per una corretta valutazione della supply chain dei servizi digitali.
Proprio quest'ultimo punto amplia ulteriormente l'impatto della direttiva, imponendo a tutti i fornitori (anche piccole imprese) di adeguarsi agli stessi standard di sicurezza.

Regolamento Macchine
Il Regolamento Macchine, evoluzione della Direttiva Macchine 2006/42/CE, è applicabile dal 20 gennaio 2027 e introduce, per la prima volta, dei requisiti specifici di cybersecurity da ottemperare per la marcatura CE e la conseguente immissione nel mercato UE della macchina.
Il sistema cyber-fisico (CPS) assume la centralità come legame tra il mondo virtuale e il mondo fisico, dove Safety e Cybersecurity sono per alcuni versi sovrapponibili.
I fabbricanti devono ora considerare i rischi legati alle nuove tecnologie digitali e adottare misure per mitigare tali rischi, esclusivamente per le funzioni di sicurezza.

Cyber Resilience Act
Il Cyber Resilience Act è applicabile dall'11 dicembre 2027 e stabilisce requisiti orizzontali di cybersecurity per tutti i prodotti con elementi digitali, stabilendo che hardware e software debbano essere progettati in modo sicuro (protocolli di comunicazione, protezione di dati sensibili) e che i produttori mantengano aggiornati i loro prodotti per tutta la durata del loro ciclo di vita.

Il Rebus
Davanti a questo panorama come si devono comportare i fabbricanti di macchine e i system integrator? Quale quadro normativo o quali standard di certificazione possono aiutare a trovare una strada percorribile, sia dal punto di vista tecnico che economico?
Ricostruiamo il quadro normativo attuale e prossimo futuro per indicare una direzione, ben sapendo che prima di tutto è fondamentale un approccio proattivo alla sicurezza informatica per garantire la conformità e proteggere i dati dei clienti e dei loro prodotti.