Nuovo regolamento macchine 2023/1230: l’impatto sulla cybersecurity

In questo articolo

Il Nuovo Regolamento Macchine (Regulation of the European Parliament and of the Council on machinery products), entrato in vigore il 14 giugno 2023, abroga la direttiva 2006/42/CE e si propone di garantire una sicurezza più elevata per le Smart Factory. Le aziende hanno tempo fino a gennaio 2027 per adeguarsi.

La cybersecurity è sempre più centrale nello scenario tecnologico mondiale degli ultimi anni e il rapporto CLUSIT 2023 evidenzia un marcato incremento degli attacchi cyber in Italia negli ultimi cinque anni (siamo passati da 1.554 attacchi nel 2018 a 2.489 del 2022 – attacchi andati a buon fine e di pubblico dominio), con particolare preoccupazione per il settore manifatturiero, dove le intrusioni sono raddoppiate.

Una crescita degli attacchi così repentina in questo comparto può essere imputata alla sempre maggiore complessità delle reti industriali in termini di architettura. L’aumento esponenziale dei dispositivi e l’interconnessione delle macchine, unitamente ad uno scambio massiccio dei dati, contribuiscono ad aggravare la situazione.

Il modello Industry 4.0 e tutte le tecnologie correlate, come la realtà aumentata, la manutenzione predittiva, l’Internet of Things, l’intelligenza artificiale e le macchine interconnesse sono in crescita esponenziale e trovano applicazione nei più disparati settori industriali e civili esponendo le aziende a nuove vulnerabilità.

Scarica il RAPPORTO CLUSIT 2023 – AGGIORNAMENTO 10-2023

Per far fronte ai nuovi scenari tecnologici, il 14 giugno 2023 è stato approvato il nuovo regolamento macchine europeo 2023/1230, che entrerà in vigore a partire da gennaio 2027. La normativa ha aggiornato la “direttiva macchine” del 2006 e l’ha trasformata in un regolamento.
Le motivazioni alla base del nuovo regolamento sono proprio i cambiamenti tecnologici degli ultimi anni, che hanno reso obsoleta la Direttiva 2006/42/CE, soprattutto nel contesto della cybersecurity riferita agli Operational Technology (OT).

Il nuovo regolamento macchine 2023/1230 è in linea con la lo standard ISA/IEC 62443, uno standard internazionale relativo alla sicurezza degli impianti industriali che pone particolare attenzione agli aspetti relativi alla cybersecurity.

Lo standard ISA/IEC 62443 non solo definisce i requisiti e i processi per l’implementazione e il mantenimento della sicurezza elettronica dei sistemi di automazione e controllo industriale (IACS – Industrial Automation and Control Systems), ma stabilisce inoltre le migliori pratiche in termini di sicurezza informatica industriale e fornisce una metodologia per valutare il livello di sicurezza e delle prestazioni.

Gli standard ISA/IEC stabiliscono, tramite un approccio olistico, parametri di riferimento per la sicurezza informatica in tutti i settori industriali che utilizzano IACS, tra cui building automation, generazione e distribuzione di energia elettrica, dispositivi medici, trasporti e industrie di lavorazione in settori chimici, petroliferi e gas.

La normativa delinea i requisiti essenziali in termini di sicurezza e di tutela della salute applicabili alle macchine nell’UE, promuove la libera circolazione delle macchine e assicura un livello elevato di sicurezza per lavoratori e cittadini.

“Le norme aggiornate consentiranno all’industria europea di operare nell’ambito di un quadro giuridico nuovo e migliorato. Garantiranno un elevato livello di protezione ai nostri lavoratori e ai nostri cittadini, migliorando nel contempo la competitività e la reputazione delle macchine nell’UE.” – ha dichiarato Paulina Brandberg, ministra svedese per la parità di genere e la vita lavorativa.

Sei interessato ad impostare una strategia di cybersecurity per la tua azienda?

La nuova norma mira a garantire un livello superiore di sicurezza nelle Smart Factory e in conformità con le nuove disposizioni legislative, si integra con altre direttive pertinenti.
Le principali novità sono relative all’estensione dell’applicazione del regolamento sia alle macchine di nuova produzione che a quelle che subiscono “modifiche sostanziali”, definite come “alterazioni che influenzano la sicurezza”, generando potenziali nuovi rischi o aumentando quelli già esistenti.

Un altro elemento rilevante è l’inclusione, per la prima volta, dei componenti digitali, tra cui il software. In un contesto di fabbrica 4.0 è richiesto che il software sia contrassegnato con il marchio CE e accompagnato da una dichiarazione di conformità UE, oltre che dalle istruzioni per l’uso.

La revisione delle procedure di valutazione della conformità delle macchine, finalizzata al conferimento della presunzione di conformità, è accompagnata inoltre dall’introduzione di nuovi RES (Requisiti Essenziali Sicurezza). Gli adattamenti rispondono alle nuove sfide emerse in seguito alla digitalizzazione delle macchine, incidendo significativamente su tutti i soggetti coinvolti. Impatti rilevanti verteranno sugli obblighi documentali per la legittima immissione sul mercato e la commercializzazione di macchine, quasi-macchine e prodotti correlati.

Per macchina si intende “un insieme equipaggiato o destinato ad essere equipaggiato di un sistema di azionamento diverso dalla forza umana o animale diretta, composto di parti o di componenti, di cui almeno uno mobile, collegati tra loro solidamente per un’applicazione ben determinata.”

Si definisce quasi-macchina “un insieme di parti e/o componenti che, da solo, non è in grado di svolgere alcuna funzione in particolare e che, per farlo, necessita obbligatoriamente di essere incorporato o assemblato ad altre macchine o ad altre semi-macchine.”

Il regolamento affronta poi specificamente la questione della cybersecurity, introducendo l’obbligo di progettare sistemi con caratteristiche di sicurezza per prevenire attacchi malevoli che possano compromettere o alterare i sistemi di protezione delle macchine industriali.

La cybersecurity Operational Technology (OT) emerge come un elemento di notevole rilevanza all’interno del nuovo regolamento. Le aziende produttrici dovranno condurre una valutazione accurata dei rischi al fine di garantire la sicurezza degli utenti finali e mitigare i problemi più comuni legati alla business continuity, al danno reputazionale e/o a questioni di salute e sicurezza.

L’inclusione della cybersecurity OT nel nuovo regolamento macchine 2023/1230 riflette la crescente consapevolezza dell’importanza di affrontare le minacce digitali per le tecnologie industriali e in particolare nella fabbrica 4.0, dove le aziende saranno chiamate a implementare misure specifiche per proteggere i loro sistemi operativi e prevenire attacchi malevoli alle reti installate in produzione.

Questo aspetto della norma riflette ancora una volta la crescente importanza di garantire la sicurezza non solo a livello fisico, ma anche in un contesto digitale come quello delle moderne Smart Factory.

Un passo significativo verso l’adeguamento normativo alle sfide emergenti nel contesto delle fabbriche intelligenti.
Grazie alla creazione di linee guida chiare e obblighi specifici si potrà garantire un ambiente di lavoro sicuro e protetto, anche dal punto di vista digitale.

Perché il numero degli attacchi cyber verso i poli di produzione 4.0 è in costante aumento?
Se alcuni fattori chiave sono comuni anche nei tentativi di violazione verso infrastrutture tradizionali, ci sono elementi specifici dell’industria 4.0, tra i quali troviamo:

• Crescita dell’Internet of Things (IoT): con l’aumento dei dispositivi connessi nelle fabbriche, la superficie di attacco aumenta notevolmente. Gli attaccanti possono sfruttare le vulnerabilità presenti in questi dispositivi per accedere alle reti in fabbrica.
• Scambio di grandi quantità di dati: l’aumento dello scambio di dati tra le macchine può rivelarsi un punto critico. Se le misure di sicurezza non sono adeguate, i dati possono essere compromessi durante il trasferimento, portando a perdite di informazioni sensibili.
• Complessità delle architetture di rete: con la crescita del numero di dispositivi e la complessità delle reti, è essenziale implementare misure di sicurezza elevate. La mancanza di una corretta configurazione e gestione della rete può rendere le infrastrutture vulnerabili.
• Mancanza di consapevolezza e formazione: la mancanza di consapevolezza sulla sicurezza informatica da parte del personale è un fattore critico. Gli attacchi spesso infatti sfruttano il fattore umano e quando vengono introdotte nuove tecnologie in reparti tradizionalmente a bassa informatizzazione, la percentuale di successo degli attaccanti aumenta.

BeeCyber è la nostra Business Unit specializzata in servizi di sicurezza informatica che supporta le aziende nell’identificare e classificare il livello di rischio. Le aiuta nel processo di mitigazione continuativa, identificando il giusto punto di equilibrio tra investimento tecnologico e approccio consulenziale rispondendo alle reali esigenze di business.

Vuoi restare aggiornato sulle ultime novità dal mondo della Cyber Security?

ISCRIVITI ALLA NEWSLETTER