Il nuovo Regolamento Macchine e la cybersecurity: una sfida per l’OT

Il panorama industriale è in continua evoluzione, trainato dall’avvento delle tecnologie digitali e dell’Internet delle Cose (IoT). Le macchine industriali, un tempo entità isolate, sono oggi sempre più connesse tra loro e a sistemi informatici più ampi. Questa crescente interconnessione, se da un lato offre numerosi vantaggi in termini di efficienza e produttività, dall’altro espone le aziende manifatturiere & non a nuovi rischi, in particolare quelli legati alla cybersecurity.

Per rispondere a queste nuove sfide, l’Unione Europea ha introdotto il nuovo Regolamento Macchine (UE) 2023/1230, che sostituisce la precedente Direttiva Macchine 2006/42/CE. Questo nuovo regolamento, entrato in vigore nel luglio 2023 e applicabile dal 20 gennaio 2027, introduce importanti novità, tra cui un focus specifico sulla cybersecurity.

Regolamento Macchine e cybersecurity: responsabilità condivisa

Con il nuovo Regolamento Macchine, si introduce il concetto che la sicurezza informatica debba essere una responsabilità condivisa tra

• produttori di macchine,
• importatori,
• distributori,
• utenti finali.

Perché la cybersecurity è così importante nel nuovo regolamento?

La ragione è semplice: le macchine industriali moderne sono sempre più sofisticate e contengono componenti informatiche che le rendono vulnerabili ad attacchi cyber.

Un attacco informatico a una macchina industriale può avere conseguenze disastrose, non solo in termini economici, ma anche in termini di sicurezza e salute dei lavoratori (safety).

Il nuovo Regolamento Macchine riconosce questa nuova realtà e introduce nuovi requisiti essenziali di sicurezza (1.1.9, 1.2.1.) che impongono ai produttori di macchine di:

• proteggere i sistemi informatici delle macchine dall’alterazione: questo significa adottare misure tecniche e organizzative per prevenire accessi non autorizzati, modifiche non intenzionali e la diffusione di malware;
• garantire che il collegamento di un dispositivo esterno non comporti rischi: è necessario valutare attentamente le conseguenze della connessione di nuovi dispositivi alla macchina e adottare le misure necessarie per mitigare i rischi;
• proteggere i componenti hardware che permettono l’accesso al software di sicurezza: questi componenti devono essere protetti fisicamente e logicamente per prevenire manomissioni.

Quali sono gli adempimenti per le aziende?

Il nuovo Regolamento Macchine impone alle aziende (soprattutto le manifatturiere) una serie di adempimenti.

È necessario quantificare il rischio cibernetico e valutare l’efficacia delle misure di sicurezza informatica adottate per mitigare gli effetti di potenziali attacchi informatici nei sistemi di controllo industriale (ICS).

In tale contesto, la norma tecnica IEC 62443 rappresenta un punto di riferimento fondamentale nel panorama della cybersecurity applicata all’Operational Technology (OT). Tale standard, articolato in diverse parti, fornisce una cornice completa per la gestione della sicurezza informatica degli ICS, promuovendo un approccio di difesa a strati (defense in depth) volto a garantire la massima protezione dei sistemi industriali.

In termini di adempimenti, quindi, possiamo definire quanto segue:

• valutazione dei rischi: le aziende devono condurre una valutazione approfondita dei rischi informatici associati alle loro macchine, identificando le vulnerabilità e le minacce potenziali;
• scelta di componenti sicuri: i produttori di macchine devono scegliere componenti hardware e software che offrano un livello adeguato di sicurezza;
• implementazione di misure di sicurezza: è necessario implementare una serie di misure di sicurezza, come firewall, sistemi di rilevamento delle intrusioni, crittografia e gestione delle patch;
• formazione del personale: il personale coinvolto nella progettazione, produzione e manutenzione delle macchine deve essere adeguatamente formato sui temi della cybersecurity;
• gestione degli incidenti: è fondamentale avere un piano di risposta agli incidenti informatici, in modo da poter reagire tempestivamente in caso di attacco;
• documentazione: tutte le attività relative alla cybersecurity devono essere documentate, per dimostrare la conformità al Regolamento.

Rapporti con le altre normative EU

Il Regolamento Macchine è destinato a integrarsi con altre normative EU in materia di cybersecurity:

• Direttiva NIS 2 (2555/2022) che mira a garantire elevati livelli di cybersecurity dei servizi forniti da enti importanti ed essenziali;
• Cybersecurity Act Reg. (UE) 881/2019 per gli aspetti di certificazione della cybersecurity delle tecnologie dell’informazione e della comunicazione e che abroga il Regolamento (UE) n. 526/2013;
• Cyber Resilience Act, la cui presunzione di conformità sarà valida anche ai fini dei requisiti essenziali di sicurezza del Regolamento Macchine.

I benefici di una cybersecurity robusta

Investire nella cybersecurity non è solo un obbligo di legge, ma anche un’opportunità per migliorare la competitività dell’azienda. Una cybersecurity robusta può portare a:

• riduzione dei rischi: proteggendo le macchine da attacchi informatici, si riducono i rischi di interruzioni operative, perdite di dati e danni alla reputazione;
• maggiore efficienza: automatizzando le attività di sicurezza, si possono liberare risorse che possono essere utilizzate per attività a maggior valore aggiunto;
• conformità normativa: il rispetto del Regolamento Macchine evita sanzioni e consente di accedere a nuovi mercati;
• migliore gestione dei rischi: una valutazione approfondita dei rischi permette di prendere decisioni informate e di allocare le risorse in modo più efficace.

Il supporto di un Managed Security Service Provider

Un MSSP può assistere un’azienda soggetta al Regolamento Macchine in diversi modi:

• valutazione dei rischi: effettua una valutazione approfondita dei rischi cibernetici specifici legati ai macchinari, identificando le vulnerabilità e le minacce più probabili;
• implementazione di misure di sicurezza: progetta e implementa misure di sicurezza personalizzate, in linea con i requisiti del Regolamento Macchine e le specifiche esigenze dell’azienda;
• monitoraggio continuo: monitora costantemente i sistemi e le reti alla ricerca di attività sospette, garantendo una risposta rapida in caso di incidenti;
• gestione delle vulnerabilità: identifica e gestisce le vulnerabilità dei sistemi, applicando patch e aggiornamenti in modo tempestivo;
• conformità normativa: assiste l’azienda nel garantire la conformità ai requisiti di sicurezza informatica del Regolamento Macchine, fornendo la documentazione necessaria.

Un MSSP, quindi, offre tutte le competenze e le risorse necessarie per proteggere i macchinari industriali dalle minacce cibernetiche, garantendo la continuità operativa e la conformità normativa.