Cybersecurity: i regolamenti non bastano

Dalla rivista:
Fieldbus & Networks

 
Pubblicato il 2 settembre 2024

Uno degli argomenti maggiormente di attualità oggi, quando si parla di reti, è sicuramente quello della cybersecurity: l’interesse sulla tematica sta crescendo a ogni livello e sta diventando sempre più un tema ‘caldo’, sul quale si stanno concentrando gli sforzi di tutti. Questo fermento ha portato alla stesura e al rilascio di svariati Regolamenti e Direttive Europee inerenti agli aspetti di cybersecurity, tra i quali meritano una menzione speciale il nuovo Regolamento Macchine, la NIS2 e il Cyber Resiliance Act. Il fatto che siano stati definiti Regolamenti e Direttive Europee che si occupano di aspetti di cybersecurity, che hanno un impatto anche sulla parte di produzione, ci porta alla necessità di riflettere su quali debbano essere gli approcci da utilizzare lato produttivo, e su che cosa l’applicazione dei suddetti Regolamenti ci costringa a implementare e realizzare nell’industria. Il nuovo Regolamento Macchine, in particolare, impone che qualunque software o hardware abbia a che fare con la sicurezza funzionale debba essere valutato e reso sicuro anche contro le manomissioni, intenzionali o non intenzionali, legate alla manipolazione dei dati. La NIS2 si occupa di valutazione del rischio, continuità operativa e implementazione di contromisure per quelle che sono definite come ‘infrastrutture critiche’. Infine, il Cyber Resiliance Act stabilisce i requisiti di cybersicurezza per i prodotti hardware e software con elementi digitali immessi sul mercato dell’Unione Europea. Come tutte le Direttive e i Regolamenti, i documenti sopra citati introducono linee guida che dovranno essere seguite e realizzate per poter commercializzare i prodotti sul territorio europeo, compito che viene assolto conseguendo la certificazione di conformità CE. A valle della pubblicazione di un Regolamento e/o Direttiva vengono inoltre pubblicate le norme tecniche armonizzate che, se seguite, consentono di ottenere la presunzione di conformità. Se vengono seguite norme tecniche diverse da quelle armonizzate, l’onere di presunzione di conformità rimane in carico al costruttore. Attualmente, però, ci troviamo con Regolamenti/Direttive pubblicate e norme armonizzate di riferimento non ancora definite, il che rende la situazione estremamente delicata. Finora, poi, norme e gestione della security sono sempre state appannaggio del mondo IT o ICT, per il quale sono stati sviluppati diversi framework che difficilmente, però, sono applicabili al mondo automazione od OT (Operational Technology). Diventa fondamentale, dunque, che le soluzioni tecniche e tecnologiche definite negli standard applicati al mondo dell’automazione, come la norma IEC62443, vengano utilizzate per il soddisfacimento della presunzione di conformità. Questo è essenziale per garantire che la crescente attenzione, emergente a livello europeo e internazionale, sulla sicurezza si concretizzi anche in una reale implementazione tecnica nel mondo produttivo in modo effettivo, non soltanto di forma, limitato alla gestione e stesura di policy e procedure. È questo un rischio concreto, se le referenze e le norme tecniche che vengono selezionate non sono applicabili al mondo produttivo e dell’automazione. È pertanto importante ricordare che molteplici ambiti che spesso ricadono sotto la NIS2, come la sanità, la distribuzione di energia o acqua o l’alimentare, constano anche di una realtà produttiva, che rientra e ricade sotto la norma IEC62443. Finora il mondo dell’automazione/OT è stato spesso trainato, e ha per lo più seguito il mondo IT o consumer; in questo momento, però, diventa strategico e fondamentale far conoscere le esigenze specifiche del settore manifatturiero in ambito security, per poter sfruttare il know how tecnico e tecnologico sviluppato con le soluzioni già esistenti, messe a punto negli ultimi 10 anni dai gruppi di lavoro IEC di normazione.

Scarica il pdf



Contenuti correlati

Scopri le novità scelte per te x