F&N 116

Fieldbus & Networks SETTEMBRE 2023 FIELDBUS & NETWORKS 11 firmware. Il regolamento fa riferimento a prodotti consumer, ma anche a quelli per applicazioni industriali, come i sistemi di controllo delle macchine. Secondo quanto stabilito dal Cyber Resilience Act dovranno essere com- mercializzati solo i prodotti in grado di assicurare un livello di sicurezza informatica adeguato. I fabbricanti saranno inoltre tenuti a informare il più tempestivamente possibile i clienti di eventuali gap di sicurezza e quindi a colmarli. Il regolamento si occupa anche dell’intero ciclo di vita di un pro- dotto. Ciò implica che i produttori dovranno offrire gli update di un software oltre il periodo di garanzia solitamente previsto, anche per evitare rischi e attacchi in futuro. Ci si aspetta che il regolamento venga varato entro la fine del 2024. Nuovo Regolamento Macchine: la sicurezza informatica come dovere La terza, nuova prescrizione di legge sulla security è il Regolamento Mac- chine della UE, la cui pubblicazione è imminente. Inoltre, trattandosi di un regolamento, non è necessaria la conversione preliminare in legge nazio- nale: i costruttori di macchine avranno 42 mesi di tempo per ottemperare ai nuovi requisiti. Il Regolamento Macchine sostituisce la Direttiva Macchine in vigore ren- dendo obbligatoria la cybersecurity, a differenza di quanto stabiliva la normativa precedente. Inoltre, se la Direttiva Macchine era una semplice riflessione sulla safety, nel Regolamento l’obiettivo di protezione Security è stato recepito alla voce ‘Protection against corruption’ all’interno della sezione ‘Essential health and safety requirements Ehsr’: le funzioni di si- curezza della macchina non devono essere pregiudicate da un’alterazione involontaria o intenzionale. Allo stato attuale, ottemperando alle prescri- zioni del Cyber Resilience Act, si consegue la presunzione di conformità al Regolamento Macchine. Cosa accadrà ora? Per analizzare quali siano le conseguenze e il senso delle nuove prescri- zioni di legge prendiamo ad esempio il settore della produzione di energia elettrica. Finora, solo il fornitore di energia elettrica era tenuto a rispettare la Direttiva NIS; con l’avvento della NIS 2 anche i costruttori di macchine, come del resto quelli degli impianti per la produzione di energia elettrica, per esempio gli impianti eolici, dovranno soddisfare i requisiti della nor- mativa. Il fabbricante di impianti eolici necessita a sua volta di soluzioni di automazione, sistemi di controllo o sensori. A partire da una determinata dimensione, anche i fabbricanti di componenti elettrici sono soggetti alla NIS 2, la quale prescrive anche di avere la massima attenzione per i for- nitori. Ne consegue che un’azienda come Pilz, ovvero un fornitore di com- ponenti, dovrà occuparsi anche dell’implementazione di una supply chain sicura e stabilire requisiti specifici per i propri fornitori. La NIS 2 copre tutti gli aspetti della supply chain. Per potere introdurre macchine sul mercato europeo, inoltre, i costruttori di macchine sono da sempre tenuti a seguire una procedura di valutazione della conformità, al termine della quale ottengono la Marcatura CE. Ora, con il nuovo Regolamento Macchine, i costruttori di macchine devono di- mostrare che le loro macchine sono protette anche da manipolazioni e ma- nomissioni. Il produttore di componenti elettrici è poi soggetto alla future prescrizioni del previsto Cyber Resilience Act. In breve, occuparsi di security e a quale livello non è più lasciato alla discre- zionalità dell’azienda ma è un requisito di legge. Le aziende farebbero meglio a prendere quanto prima in considerazione la NIS 2 e a svolgere un’analisi olistica della propria security. In questa analisi rientra, per esempio, la realizzazione di un sistema di gestione della sicurezza delle informazioni (Isms - Information Security Management Sy- stem) con certificazione secondo la norma per la sicurezza delle informa- zioni ISO27001. Nella costruzione delle macchine, la security intesa come industrial security non è demandata unicamente all’IT ma anche parte in- tegrante del concept e della costruzione. L’implementazione a posteriori della security è sempre onerosa in termini di tempi e costi, e implica spesso la necessità di sacrificare la semplicità d’uso per l’utente, la funzionalità e la produttività. Inoltre, in fase di valutazione del rischio, oltre alla safety entra ora in gioco anche la security: non si potrà ottenere la Marcatura CE senza security. I costruttori di prodotti con elementi digitali possono orientarsi al meglio sotto l’aspetto giuridico facendo riferimento alla serie di norme IEC62443. In particolare, la norma IEC62443-4-1 subordinata illustra i requisiti del cosiddetto processo di ‘Security Development Lifecycle’ (SDL - Ciclo di vita di sviluppo della sicurezza). L’Europa arriva prima L’Unione Europea ha giocato d’anticipo per quanto riguarda la legislazione sulla security e in Europa entreranno in vigore le prescrizioni più stringenti e severe al mondo. Sono comunque in corso armonizzazioni con altri Paesi e anche lì arriveranno leggi simili. Allo stato attuale, per esempio, l’Australia sta interagendo con l’UE e si ispirerà probabilmente alle normative euro- pee. Si può quindi prospettare un’armonizzazione di portata mondiale per quanto concerne l’industrial security. Pilz - www.pilz.com Le soluzioni di industrial security aiutano a impedire manipolazioni e manomissioni ed evitare malfunzionamenti nelle macchine Fonte: foto Pilz GmbH &Co. KG