Il nuovo Regolamento Macchine: la Cybersecurity Industrial elemento essenziale dal Design della Macchina e durante tutto il suo ciclo di vita
Il 18 aprile 2023, durante la sessione plenaria del Parlamento Europeo a Strasburgo, è stato approvato il nuovo Regolamento Macchine. Questo, a differenza della Direttiva Macchine 2006/42/CE, ha un impatto diverso sulle normative nazionali. Mentre infatti una Direttiva stabilisce un obiettivo da raggiungere per i paesi membri dell’Unione Europea, lasciando loro la scelta su come procedere, un Regolamento è un atto legislativo vincolante che deve essere applicato, in tutti i suoi aspetti, in tutta l’Unione Europea.
Dopo l’approvazione al Parlamento Europeo, la normativa è stata pubblicata il 29 giugno 2023 nella Gazzetta Ufficiale dell’Unione Europea (GUUE) con il titolo: “Regolamento (UE) 2023/1230 del Parlamento e del Consiglio del 14 giugno 2023 relativo alle macchine e che abroga la direttiva 2006/42/CE del Parlamento europeo e del Consiglio e la direttiva 73/361/CEE del Consiglio”.
L’obiettivo di questo articolo è fornire una sintesi degli impatti del Regolamento nel campo della Cybersecurity Industrial/OT.
Il nuovo Regolamento è composto da 52 articoli e 11 allegati e dimostra una particolare attenzione per le nuove tecnologie, come indicato nel “considerando 12”, il quale riconosce le sfide poste dalla sicurezza dei prodotti a causa dell’emergere di sempre nuove tecnologie digitali, tra cui l’intelligenza artificiale, l’Internet of Things (IoT), la robotica e la sempre maggiore diffusione di Cyber-Physical System e interazione uomo macchina.
Il “considerando 19” sottolinea ancora che l’evoluzione del settore ha portato all’uso crescente di mezzi digitali e software nella progettazione delle macchine. Di conseguenza, la definizione di macchina deve essere adattata per includere “le macchine alle quali manca solamente il caricamento di software destinati all’applicazione specifica prevista dal fabbricante e che sono oggetto della procedura di valutazione della conformità” Inoltre, “la definizione di componenti di sicurezza dovrebbe riguardare non soltanto i dispositivi fisici ma anche quelli digitali. Al fine di tenere conto del crescente ricorso ad esso come componente di sicurezza, il software che svolge una funzione di sicurezza ed è immesso in maniera indipendente sul mercato dovrebbe essere considerato un componente di sicurezza”.
Infine, il “considerando 25” evidenzia che ci sono rischi legati alle nuove tecnologie digitali, inclusi quelli provocati da terzi malintenzionati che possono incidere sulla sicurezza dei prodotti rientranti nell’ambito del Regolamento. Pertanto, i fabbricanti devono adottare misure proporzionate per proteggere la sicurezza dei prodotti, e ciò non esclude l’applicazione di altri atti giuridici dell’Unione che trattano specificamente aspetti di Cybersecurity.
È nell’Allegato III del Regolamento, agli articoli 1.1.9 e 1.2.1, che il legislatore europeo descrive puntualmente i requisiti di Cybersecurity.
L’articolo 1.1.9 recita:
“Si richiede che la progettazione e la costruzione della macchina garantisca che la connessione di altri dispositivi tramite qualsiasi caratteristica del dispositivo collegato o dispositivi remoti in comunicazione con la macchina non conduca a situazioni pericolose.
Un componente hardware essenziale per soddisfare i requisiti di salute e sicurezza deve essere progettato per resistere sia a corruzioni accidentali che intenzionali. La macchina deve essere in grado di rilevare intrusioni legittime o illegittime in questo componente hardware.
Il software e i dati cruciali per conformità ai requisiti pertinenti di salute e sicurezza devono essere chiaramente identificati e protetti adeguatamente da corruzioni accidentali o intenzionali.
La macchina deve essere in grado di identificare il software installato necessario per il suo funzionamento sicuro e fornire queste informazioni facilmente accessibili in qualsiasi momento.
È necessario raccogliere prove di interventi legittimi o non autorizzati nel software, nonché di modifiche al software installato sulla macchina o alla sua configurazione.
Questa copertura coinvolge tutti gli aspetti chiave della macchina, compresi sia il prodotto finale che i suoi componenti hardware e software.
I sistemi di controllo devono essere progettati e costruiti in modo da poter resistere, se necessario, alle sollecitazioni operative previste, agli influssi esterni previsti e involontari, comprese le manovre intenzionali da parte di terze parti per creare situazioni pericolose. Questo richiede una protezione adeguata contro attacchi informatici che potrebbero influenzare la sicurezza.”
L’articolo 1.2.1 invece richiede che “i sistemi di controllo devono essere progettati e costruiti in modo tale che: a) siano in grado di resistere, ove appropriato alle circostanze e ai rischi, alle sollecitazioni operative previste e alle influenze esterne previste e involontarie, compresi i tentativi dolosi di terzi di creare una situazione pericolosa”.
Infine, occorre notare che il Regolamento include nel suo ambito di applicazione anche gli aggiornamenti software citando le c.d. “modifiche sostanziali” cioè quelle modifiche apportate a una macchina, fisicamente o digitalmente, dopo che questa è stata messa in commercio o in uso.
Quindi, a titolo esemplificativo, secondo quanto descritto fin ora, uno SCADA o un PLC devono essere dotati di un elevato grado di sicurezza informatica, in modo da non essere facilmente soggetti a corruzione/modifiche non previste nella logica di funzionamento determinate da un attacco informatico e rischiare di compromettere la sicurezza degli operatori.
Anche l’allegato IV del Regolamento, che descrive tutti gli obblighi in merito alla documentazione tecnica, richiama la Cybersecurity e richiede di fornire la “valutazione dei rischi rispetto ai quali la macchina è progettata e costruita”, “un elenco dei requisiti essenziali di salute e sicurezza applicabili al prodotto-macchina”, report specifici contenenti i risultati dei test effettuati per verificare la conformità della macchina ai requisiti dell’Allegato III e “il codice sorgente o la logica programmata del software relativo alla sicurezza per dimostrare la conformità della macchina” al Regolamento a seguito della richiesta di un’autorità nazionale competente, preposta a verificare la conformità ai requisiti essenziali di salute e sicurezza dello stesso Allegato III.
Da questa breve analisi è quindi chiara l’intenzione del legislatore europeo di voler considerare ancora una volta e a tutti gli effetti la Cybersecurity un elemento ormai essenziale anche nell’ambito industriale e nei processi di sviluppo produttivo perché capace di determinare effetti rilevanti sulla Safety.
Si tratta, in effetti, di un intervento che si pone in continuità con numerosi altri interventi, sia europei, citiamo ad titolo esemplificativo la nuova normativa relativa al Network and Information Security, la cosiddetta NIS 2, (Direttiva UE 2022/2555) in sostituzione della precedente NIS (Direttiva UE 2016/1148), il Digital Operational Resilience Act (DORA) – Regolamento UE 2022/2554, applicabile al momento al settore finanziario, il Cyber Resilience Act, sia nazionali, pensiamo alla legge 133/2019, il Perimetro di Sicurezza Nazionale Cibernetica e relativi atti attuativi.
È fondamentale quindi che sin da ora prepararsi a rispondere a quanto richiesto dal Regolamento Macchine, sebbene la sua effettiva applicazione sia programmata per il 2027, effettuando una dettagliata valutazione dei rischi informatici e ottenendo finalmente piena visibilità sull’ecosistema industriale/produttivo e su tutte le sue interconnessioni e interdipendenze che spesso, soprattutto in alcuni ambiti, sono lasciate in totale gestione a OEMs e terze parti.
Questo è essenziale per prevenire e/o gestire in maniera più veloce ed efficace i problemi legati alla continuità operativa, alla reputazione e alla salute e sicurezza, derivanti da incidenti causati da azioni volontarie di attaccanti motivati.
Infatti, gli incidenti che colpiscono il comparto Industriale/Produttivo sono in aumento e mettono alla prova tutti i settori.
È perciò urgente sin da ora attivarsi e creare un sistema virtuoso in cui i produttori, gli utilizzatori, i manutentori, gli esperti IT e di Cybersecurity insieme a tutti gli altri attori rilevanti possano lavorare insieme per garantire la conformità al Regolamento avendo come obiettivo finale Operation efficienti e soprattutto sicure.
Articolo a cura di Mariacristina Bringheli
Mariacristina è una Cyber Security Manager con oltre 5 anni di esperienza in ambito IT ed OT. Ha lavorato in diversi contesti internazionali, inclusi Stati Uniti e Medio Oriente, interagendo con una vasta gamma di clienti e fornendo supporto nella definizione e implementazione di strategie integrate di sicurezza informatica.
Negli ultimi anni, nell’area Emerging Technology di Deloitte Risk Advisory, si concentra sulle tematiche cyber legate alle tecnologie emergenti, con focus sulla sicurezza OT e IIoT, e ha acquisito una conoscenza strutturata e approfondita diversi processi produttivi e delle minacce informatiche che li prendono di mira, in particolare in ambienti complessi e fortemente interconnessi. La sua esperienza e competenza si estendono anche alla valutazione dei rischi informatici e alla protezione delle infrastrutture critiche.
Inoltre, grazie al suo coinvolgimento in diversi progetti focalizzati sulla gestione delle crisi informatiche e l'esecuzione di simulazioni ed esercitazioni con CEO e Top Management, ha sviluppato competenze nella gestione di crisi cyber a livello strategico, tattico e operativo.
