Data integrity, safety e security nell’industria (versione online) – Obblighi normativi, standard, linee guida e regolamenti

• 
• Tweet
• Pin It
• Condividi per email

Proseguiamo con le risposte della Tavola rotonda pubblicata sul numero di settembre 2025 di Fieldbus&Networks.

Obblighi normativi, standard, linee guida e regolamenti

Considerando gli obblighi normativi, come per esempio NIS2, ISO/IEC27001, IEC62443, regolamenti di settore ecc., quali strategie adottate per mantenere un impianto in esercizio continuo senza compromettere compliance e resilienza? È possibile coniugare efficacemente ‘uptime’ e ‘compliance’?

Mario Testino, managing director di ServiTecno:

“Le normative e gli standard indicati (che, a parte NIS, non sono ‘obblighi’, ma standard con adesione ‘volontaria’) sono stati realizzati per migliorare la business continuity (ovvero la continuità operativa) e la sicurezza del dato; il vero punto è fare in modo che la compliance risulti sostenibile per l’azienda, sia dal punto di vista operativo che economico. I controlli e i requisiti previsti dai vari standard devono essere scelti avendo definito un adeguato percorso di sviluppo, che permetta di coniugare crescenti livelli di sicurezza, proporzionati al rischio esistente sugli specifici asset.

In ultimo, come già accennato, gli standard non sono obbligatori; il Regolamento UE NIS2 lo è per i soggetti essenziali e importanti; tuttavia, anche questa normativa, orientata alla resilienza operativa delle organizzazioni, deve essere affrontata, nel rispetto dei requisiti, con un approccio sostenibile per l’azienda”.

Christoph Behler, Business Development manager di Clpa (CC-Link Partner Association) Europe:

“I requisiti normativi imposti da standard come NIS2, ISO/IEC27001 e IEC62443 pongono le aziende industriali di fronte alla sfida di garantire la conformità senza compromettere la disponibilità degli impianti. Nella pratica, è fondamentale trovare un equilibrio tra misure di sicurezza e continuità operativa, poiché interventi di sicurezza mal pianificati possono influire negativamente sulla produttività o, nel peggiore dei casi, causare fermi macchina.

La buona notizia è che disponibilità e compliance non sono in contrasto, se le aziende puntano per tempo su tecnologie di automazione moderne e conformi agli standard. Molti prodotti attuali per la comunicazione e il controllo industriale sono già progettati secondo il principio ‘Secure by Design’, in particolare secondo la IEC62443. Questi includono funzionalità integrate, come il controllo degli accessi basato su ruoli, comunicazione cifrata e gestione centralizzata di patch e aggiornamenti. Un approccio orientato al futuro è l’adozione di architetture di rete convergenti, in cui dati di produzione, segnali safety e flussi informatici vengano gestiti in modo sicuro su una piattaforma comune.

CC-Link IE TSN offre vantaggi decisivi in questo ambito: grazie alla base Ethernet aperta, al Time-Sensitive Networking e alla trasmissione dati deterministica ad alta precisione, è possibile operare macchine e impianti in modo efficiente, sicuro e conforme alle normative. L’architettura trasparente consente, inoltre, il collegamento diretto con sistemi superiori, per esempio per l’implementazione dei requisiti di audit e monitoraggio previsti da NIS2 o ISO/IEC27001. Naturalmente, questi investimenti comportano costi iniziali, ma nel lungo termine si traducono in maggiore resilienza, riduzione dei tempi di fermo, e capacità di rispondere rapidamente a nuove normative: un chiaro vantaggio competitivo in un contesto industriale sempre più regolamentato”.

Chiara Rovetta, Regional communication specialist di Omron:

“La transizione dell’Unione Europea dalla Direttiva macchine 2006/42/CE al nuovo Regolamento macchine (2023/1230/UE), che entrerà in vigore il 20 gennaio 2027, segna un cambiamento cruciale nel panorama normativo per macchinari e sistemi interconnessi. Non si tratta solo di un aggiornamento legislativo, ma di una vera svolta nell’approccio alla sicurezza, alla digitalizzazione e alla resilienza operativa. In questo nuovo contesto, diventa sempre più chiaro che compliance e uptime non sono obiettivi in conflitto, bensì elementi complementari di una strategia industriale evoluta.

Per garantire la continuità operativa, senza compromettere la conformità, è fondamentale adottare un approccio integrato, in cui i requisiti normativi siano parte della progettazione e non ostacoli da gestire. Le nuove disposizioni sul monitoraggio remoto, l’intelligenza artificiale e la cybersicurezza richiedono che ogni macchina sia costruita con capacità di autodiagnosi, tracciabilità e resistenza a interferenze malevole.

Nel settore manifatturiero, tecnologie come l’Automation Playback di Omron permettono di rispondere a queste esigenze, registrando e analizzando i dati di produzione in prossimità di eventi anomali, migliorando così la capacità di reazione e fornendo al contempo dati utili per audit e conformità.

In parallelo, certificazioni come la IEC62443-4-1, recentemente ottenuta da Omron, dimostrano che è possibile sviluppare soluzioni di automazione industriale resilienti fin dalla fase di progettazione, in linea con i requisiti del Cyber Resilience Act e della direttiva NIS2. Questo garantisce che ogni prodotto sia costruito per resistere a minacce presenti e future, senza sacrificare operatività o prestazioni.

Paolo Cecchi, sales director Mediterranean Region di SentinelOne:

“La serie di minacce, nuove e sofisticate, e l’inasprimento del controllo normativo hanno accentuato la velocità con cui le aziende devono sapersi difendere da violazioni che continuano a verificarsi con una rapidità mai sperimentata prima. Sicuramente questa accelerazione genera parecchie preoccupazioni nelle organizzazioni, che non sono affatto preparate a gestire tutte le superfici che vengono attenzionate dai malintenzionati. Alle aziende mancano gli strumenti che permettano loro di integrare le diverse tecnologie presenti, riducendo soluzioni troppo legacy che operano a silos.

Il suggerimento che diamo alle imprese è quello di affidarsi a una piattaforma innovativa e potenziata dagli strumenti di AI, capace di coprire ogni superficie di attacco, dall’end-point ai dispositivi mobili, fino alle molteplici applicazioni in cloud. In sintesi, le imprese dovrebbero affidarsi a strumenti avanzati dotati di AI, di funzionalità di hyper automation e di autonomous SOC, per consentire agli analisti di diventare più efficaci, veloci e meno stressati. Il concetto di autonomous SOC diventa, quindi, lo strumento innovativo per potenziare le risorse esistenti, di modo che l’azienda sia più efficiente e veloce nella difesa dagli attacchi e nell’interpretazione degli eventi di sicurezza rispetto a prima, senza dover investire in nuove risorse”.

Matteo Ripamonti, sales engineer di Trend Micro:

“Garantire la continuità operativa di un impianto industriale, senza compromettere la conformità normativa, è una delle sfide più complesse per il mondo OT. Normative come NIS2, IEC62443 o ISO/IEC27001 impongono requisiti sempre più stringenti in termini di visibilità, protezione, gestione delle vulnerabilità e risposta agli incidenti. Tuttavia, questi elementi si scontrano con i vincoli di ambienti che non tollerano interruzioni.

La chiave per affrontare questa complessità è adottare un approccio non invasivo, capace di proteggere anche infrastrutture legacy, dove aggiornamenti o sostituzioni non sono sempre possibili. Tecniche come il virtual patching, la segmentazione o micro-segmentazione, il controllo delle connessioni e l’analisi comportamentale consentono di ridurre il rischio senza alterare l’operatività dei sistemi. Le soluzioni Trend Micro e TXOne offrono tecnologie agentless o in-line pensate per ambienti industriali, in grado di garantire sicurezza e visibilità senza compromettere la continuità del plant.

Un altro elemento centrale in questo contesto è la gestione del rischio. Le piattaforme moderne permettono di calcolare un risk score in tempo reale, utile sia per definire le priorità di remediation ,sia per documentare la conformità in fase di audit. Non si tratta solo di protezione tecnica, ma anche documentale: è fondamentale poter dimostrare il miglioramento continuo e l’efficacia delle misure adottate, anche per coinvolgere gli stakeholder e giustificare il ritorno sull’investimento.

Infine, solo una strategia proattiva basata sull’analisi delle anomalie, sulle deviazioni dei comportamenti attesi, e sugli accessi non autorizzati consente di anticipare e neutralizzare i rischi prima che si trasformino in incidenti o violazioni. In un’epoca in cui gli ambienti industriali sono sempre più interconnessi, uptime e compliance devono coesistere all’interno di un modello di sicurezza adattivo, trasparente e centrato sugli asset”.

Filippo Petrolese, key account manager e referente Digital Transformation, e Fabio Sarti, sales engineer e referente Digital Transformation, di Axis Communications:

Filippo Petrolese

“L’equilibrio tra continuità operativa, resilienza e conformità normativa è oggi una delle sfide più sentite in ambito industriale. Axis risponde a questa esigenza adottando un approccio olistico, che combina robustezza tecnologica, trasparenza nella gestione del rischio e strumenti concreti per i responsabili IT/OT.

Axis segue tutti i requisiti emergenti della direttiva NIS2; agisce, inoltre, come CVE Numbering Authority, partecipando attivamente alla disclosure responsabile delle vulnerabilità di sicurezza, e pubblica regolarmente security advisory e bug fix (grazie anche al suo programma di bug bounty privato per hacker e ricercatori etici selezionati), per garantire un ciclo di vita sicuro dei dispositivi.

Per la gestione centralizzata di tutti i dispositivi, Axis mette a disposizione Axis Device Manager e la sua versione cloud Axis Device Manager Extend. Questi strumenti permettono di gestire tutte le principali attività di installazione, sicurezza e manutenzione, una alla volta o in batch, in modo altamente efficiente. Le operazioni sono tracciabili grazie al registro dei log di accesso, sia alla telecamera sia al sistema, che fornisce visibilità sulle modifiche apportate. Un ulteriore elemento chiave è la politica di Long-Term Support Firmware (LTS) adottata da Axis, che prevede il mantenimento di una versione stabile del software e aggiornamenti solo con patch che risolvono problemi di prestazioni e protezione per un periodo più lungo rispetto all’edizione standard.

Fabio Sarti

Non va comunque dimenticato che la compliance resta un processo e una responsabilità condivisa: fornitori, system integrator e utenti finali devono collaborare per garantire che le tecnologie siano utilizzate in modo sicuro ed efficace. Appoggiarsi a un partner tecnologico presente in mercati regolamentati, e non soggetto a ban internazionali (riportati nella Entity List), come Axis, significa affidarsi a una catena di valore seria e affidabile, il che è una scelta strategica per garantire la conformità a lungo termine. Axis porta avanti anche un discorso di formazione ed educazione rivolto a partner e clienti: la Axis Academy, grazie a trainer qualificati, metodi di apprendimento dinamici e una vasta offerta di corsi, consente ai professionisti della sicurezza di progettare, installare e configurare soluzioni di videosorveglianza intelligenti per qualsiasi cliente finale. A questo, Axis affianca la sua Hardening Guide, che aiuta a configurare correttamente reti, utenti, crittografia e accessi, fornendo consigli tecnici ai professionisti in modo da ridurre le possibili vulnerabilità”.

Andrea Faeti, sales director Enterprise Accounts di Vertiv Italia:

“Con l’ampliamento delle attività di AI e dei data center hyperscale, gli operatori si trovano ad affrontare sfide crescenti per mantenere l’efficienza delle infrastrutture elettriche e termiche. La piattaforma di gestione integrata Vertiv Unify offre monitoraggio, gestione e controllo dell’infrastruttura digitale critica in modo pratico, per migliorare le prestazioni dei sistemi. Questo sistema decentralizzato è disponibile per gli utenti autorizzati da praticamente qualsiasi dispositivo, offrendo ai responsabili delle strutture accesso a informazioni utili per migliorare il processo decisionale.

Inoltre, anche i temi di efficienza – di alimentazione e raffreddamento – sono strettamente correlati agli obblighi normativi in ambito sostenibilità, ai quali le aziende guardano con attenzione, anche in relazione al tema delle certificazioni. Se in passato ci si concentrava soprattutto sulla continuità del servizio e, in seconda battuta, sulla ridondanza, oggi la sostenibilità, in termini di efficienza energetica e riduzione della CO₂, è al centro di ogni progetto. Per questo il PUE (Power Usage Effectiveness) rimane un indicatore di riferimento. Misura quanto ‘vale’ il consumo dell’infrastruttura rispetto a quello IT vero e proprio.

Oggi si ragiona anche in termini di efficienza, per cui sempre più produttori di server e GPU ottimizzano i propri componenti per migliorare le prestazioni di elaborazione per Watt e sul recupero del calore, con attenzione alla possibilità di riutilizzare l’energia termica in processi o reti di teleriscaldamento, per incrementare la sostenibilità complessiva. Nonostante la complessità, esistono linee guida e standard settoriali come Leed, ISO, e diverse normative nazionali o internazionali, che certificano la bontà progettuale e operativa di un data center”.

Umberto Cattaneo, Eura Cybersecurity Business consultant lead di Schneider Electric:

“Le normative che sono entrate in vigore (NIS2) e che entreranno tra breve (CRA – Cybersecurity Resilience Act) sono focalizzate nel richiedere ai soggetti target l’implementazione di misure di cyber resilience, e governance. La compliance si riferisce alle strutture organizzative, ai processi, alle attribuzioni di responsabilità, alle procedure per gestire gli incidenti ecc.; il passo successivo è sviluppare una compliance che riguarda i sistemi. Qui si parla di cybersecurity, cioè di misure di protezione atte a prevenire gli incidenti. Queste misure possono inizialmente apparire scomode e di rallentamento operativo. È un po’ come quando dobbiamo inserire un secondo livello di autenticazione per usare il telefono o un’applicazione: inizialmente facciamo fatica, ma poi diventa naturale. C’è una curva di apprendimento iniziale: le persone devono adottare nuove modalità operative e abitudini, ma è uno sforzo che vale la pena fare, perché una sicurezza più elevata significa più solidità e resilienza.

Le soluzioni proposte dai vendor possono aiutare a semplificare questo cambiamento, ad aggiungere livelli di sicurezza anche in contesto industriale senza fare compromessi. Per il successo è fondamentale avvalersi di competenze specifiche di sicurezza OT, che sono essenziali per trovare il modo migliore di integrare la cybersecurity in ambienti industriali con specifiche esigenze. Solo in questo modo si potrà via via affinare la capacità di armonizzare sicurezza fisica e logica ed efficienza nei processi”.

Alberto Ascolti, product manager ctrlX Automation di Bosch Rexroth:

“Oltre a quelle citate, un’altra norma da considerare è la ISO13849-1:2023, relativa alla sicurezza funzionale delle macchine. In particolare, nel controllo del movimento la functional safety garantisce che i sistemi reagiscano in modo sicuro a guasti e condizioni anomale legate al movimento di assi, motori o macchine. Un esempio dei componenti principali di un sistema ‘safe motion’ è rappresentato dai dispositivi e dai sensori di sicurezza, per esempio il pulsante pigiato dall’operatore, poi interviene la logica di controllo. Gli altri componenti del sistema sono: il bus di campo, il drive con funzioni di sicurezza integrate e, infine, il motore con encoder certificato safety. Tale sistema consente di proteggere persone e macchine in maniera più intelligente ed efficace rispetto a interrompere semplicemente l’alimentazione.

Venendo al cuore della domanda: in passato era sufficiente disattivare un relè o togliere potenza, mentre oggi, con macchine complesse e cicli automatizzati, fermare ‘alla cieca’ può essere pericoloso o inefficiente. Le funzioni di motion safety, invece, consentono arresti controllati, limitazione e monitoraggio della velocità e della posizione, e ripartenze in sicurezza. Questa modalità di arresto (con macchina ancora alimentata) è anche uno dei RES (1.2.4.2.) contemplati dal nuovo Regolamento Macchine.

Pasquale Lambardi, presidente e CEO di Relatech:

“La crescente pressione normativa (NIS2, IEC62443, ISO/IEC27001) impone alle aziende una profonda revisione delle proprie strategie OT. In Relatech crediamo che l’unico modo per garantire la continuità operativa e la compliance sia abbracciare una visione evolutiva della sicurezza: non come vincolo, ma come leva abilitante per l’innovazione sostenibile. Per questo proponiamo soluzioni di continuous monitoring e risk assessment dinamico, capaci di valutare la sicurezza in tempo reale, senza impattare sulla produzione. Grazie al nostro SOC (Security Operation Center), proprietario, attivo 24/7, possiamo orchestrare interventi come aggiornamenti firmware o remediation, che mantengono l’impianto conforme senza fermarne l’operatività. Inoltre, i nostri piani di cyber-resilience includono audit periodici, gestione del ciclo di vita dei dispositivi e back-up immutabili, che garantiscono recovery immediato anche in scenari estremi. L’equilibrio tra produttività e conformità si ottiene con governance, tecnologie interoperabili e, soprattutto, una strategia chiara e condivisa a livello executive”.

Alberto Griffini, product manager Modular PLC di Mitsubishi Electric:

“L’introduzione delle normative NIS2, ISO/IEC27001 e IEC62443 negli ambienti industriali pone una sfida concreta nel bilanciare conformità normativa e continuità operativa. È indubbio che la compliance possa influire sulla qualità della produzione e sulla disponibilità dell’impianto. Per questo è necessario trovare il giusto equilibrio tra i due aspetti, adottando delle soluzioni che consentano la compliance con le nuove normative senza rinunciare alla disponibilità e, quindi, alla qualità del prodotto.

Le strategie utili da mettere in atto sono legate alle nuove tecnologie. Infatti, i prodotti di automazione industriale più moderni nascono già in ottemperanza alla normativa IEC62443 e integrano funzionalità native di cybersecurity, che permettono di far fronte a possibili minacce di tipo informatico. Anche se comporta dei costi iniziali, oggi investire in queste nuove tecnologie è necessario per le aziende, per poter mettere in sicurezza macchine e impianti evitando possibili danni, anche ingenti, alla linea produttiva”.

Denis Cassinerio, senior director & general manager South Emea di Acronis:

“La compliance non è più un esercizio formale, ma una leva di trasformazione. Per mantenere un impianto in esercizio continuo è necessario adottare soluzioni che uniscano semplicità operativa e conformità ai principali standard, tra cui NIS2, IEC62443 e ISO/IEC27001. Questo significa introdurre strategie di back-up e disaster recovery che garantiscano il ripristino rapido e verificabile dei sistemi, anche in ambienti privi di personale IT o con connettività limitata.

La piattaforma Acronis Cyber Protect, per esempio, consente il ripristino con un solo click anche da parte di operatori non specializzati, e offre una gestione centralizzata delle policy, con audit trail, analisi delle vulnerabilità, cifratura avanzata dei dati e gestione semplificata degli aggiornamenti. La segmentazione di rete, l’autenticazione multifattoriale e la protezione dei workload critici permettono, inoltre, di ridurre la superficie d’attacco e mantenere un elevato livello di disponibilità, riducendo al minimo downtime e sanzioni in caso di incidente. In sintesi, l’uptime può convivere con la compliance, se guidato da soluzioni integrate e da una governance consapevole”.

Leggi la risposta alle altre domande della tavola rotonda

• Percorsi sicuri per i dati

  In che modo l’integrità del dato può essere garantita in ambienti OT ibridi, dove coesistono sistemi legacy e nuove soluzioni digitali? Quali sono gli approcci più efficaci per mantenere la tracciabilità e la validazione del dato lungo tutta la catena operativa e decisionale?

• Integrazione fra safety e OT cybersecurity

  Safety e cybersecurity vengono ancora gestite troppo spesso come domini separati. Quali sono le esperienze o i framework più efficaci per un’integrazione sinergica tra funzioni di sicurezza funzionale e sicurezza informatica negli impianti industriali?

• Il ruolo dell’intelligenza artificiale per la sicurezza

  L’intelligenza artificiale può essere un game-changer nella protezione dei sistemi industriali, oppure rischia di introdurre nuove vulnerabilità? Quali sono gli ambiti in cui oggi l’AI offre reale valore aggiunto nella difesa digitale OT?

• Il fattore umano: competenza e formazione

  Quanto è importante il fattore umano nell’equilibrio tra automazione intelligente, sicurezza operativa e risposta agli incidenti? Quali competenze sono oggi più critiche per i team OT e quali cambiamenti formativi servono per preparare le figure chiave alla gestione integrata di safety, security e AI?

Micaela Caserza Magro, Ilaria De Poli

• 
• Tweet
• Pin It
• Condividi per email