1 11 Table of Contents 13 52

F&N 116

SETTEMBRE 2023 FIELDBUS & NETWORKS 10 Fieldbus & Networks N el campo delle norme e leggi relative alla sicurezza in campo indu- striale è in atto una ‘rivolu- zione’ determinata e trainata dalle tecnologie di cyberse- curity e dall’intelligenza ar- tificiale. Da un punto di vista giuridico, invece, hanno particolare importanza per la security industriale tre nuove e/o imminenti dispo- sizioni di legge: la Direttiva EU NIS 2, il nuovo Regola- mento Macchine e il Cyber Resilience Act; gli effetti e le conseguenze di questi tre documenti saranno vasti e rilevanti per l’intero settore industriale. Direttiva NIS 2: più obblighi e sanzioni per un numero maggiore di soggetti La Network and Information Security (NIS) è una Direttiva dell’Unione Euro- pea tesa a rafforzare la sicurezza informatica in vigore già dal 2016, destinata ai player attivi nel campo delle infrastrutture critiche, ovvero i settori energia, trasporti, banche e finanza, sanitario, approvvigionamento e distribuzione di acqua potabile e infrastrutture digitali. In base alla Direttiva, i fornitori di que- sti settori erano tenuti, con particolare riferimento alla security, ad adottare ‘idonee disposizioni e misure di sicurezza’ e a notificare incidenti ed eventi gravi in materia di sicurezza informatica. All’inizio del 2023, in sostituzione della NIS, è entrata in vigore la Direttiva NIS 2, che deve essere recepita e convertita in normativa nazionale dai singoli Stati membri dell’UE entro l’autunno del 2024. La normativa è stata estesa anche ad altri settori, come quelli della costruzione di macchine e automotive, coinvolgendo, nello spe- cifico, le imprese con oltre 50 dipendenti o con un fatturato annuo superiore ai 10 milioni di euro. Secondo stime del Vdma (Verband Deutscher Maschi- nen- und Anlagenbau e.V.), il provvedimento dovrebbe in- teressare circa 9.000 aziende in tutta Europa. In futuro, le imprese dovranno dimostrare di essere in grado di adottare misure di carattere tecnico, operativo e organizzativo per proteggersi da incidenti di sicurezza. In queste misure rientra, in prima istanza, l’a- nalisi del rischio di sistemi esistenti anche negli am- bienti di produzione, quindi OT (Operations Technology). Successivamente, sono da prendere in considerazione la definizione e l’implemen- tazione di misure e processi specifici, quali la protezione delle password o la codifica, ma anche la formazione continua e il training del personale. Gli incidenti alla sicurezza informatica devono essere comunicati alle autorità compe- tenti entro 24 ore dal loro verificarsi. Una novità è anche l’inclusione espli- cita delle supply chain. Riassumendo, la NIS 2 interessa ora un numero maggiore di imprese, ne sono stati ampliati gli obblighi e sono previste sanzioni più severe. Alle aziende che non adotteranno le misure contenute nella Direttiva, saranno comminate sanzioni importanti. Cyber Resilience Act: security per l’intero ciclo di vita del prodotto Nel settembre 2022 la Commissione Europea ha presentato la bozza di un regolamento il cui obiettivo era l’innalzamento del livello di sicurezza infor- matica dei prodotti. Il Cyber Resilience Act si rivolge ai fabbricanti di prodotti con elementi di- gitali. Sono contemplati sia hardware che software, come per esempio i IN Primo piano SAFETY E SECURITY PER L’AUTOMAZIONE DIGITALE DIRETTIVA EU NIS 2, NUOVO REGOLAMENTO MACCHINE, CYBER RESILIENCE ACT: LA SICUREZZA DIVENTA UNA SFIDA ‘GIURIDICA’ PER IL SETTORE INDUSTRIALE E DELLA COSTRUZIONE DELLE MACCHINE Thomas Pilz Per l’industria il giallo è il colore della sicurezza: i sistemi di controllo sicuri garantiscono la protezione di persone, macchine e ambiente Fonte: foto Pilz GmbH &Co. KG

RkJQdWJsaXNoZXIy Mzg4NjYz