Il nuovo Regolamento Macchine (UE) 2023/1230 e la gestione del rischio cyber in relazione alla sicurezza fisica: le nuove sfide per CIO e CISO legate all’integrazione e l’intelligenza artificiale
Il 29 giugno 2023 è stato pubblicato sulla Gazzetta ufficiale dell’Unione europea il nuovo regolamento (UE) 2023/1230 relativo alle macchine, che ha abrogato l’obsoleta direttiva macchine 2006/42/CE. La trasformazione da direttiva a regolamento consente un’attuazione più uniforme, eliminando i ritardi, le difformità di recepimento e di interpretazione.
Le motivazioni che hanno portato al nuovo regolamento sono in prima istanza di carattere tecnologico dal momento che la vecchia direttiva, risalente al 2006, non copriva adeguatamente i nuovi rischi derivanti dalle tecnologie emergenti. In ogni caso, l’obiettivo del regolamento resta la definizione dei requisiti di sicurezza e di tutela della salute delle persone per la progettazione e la costruzione delle macchine. Macchine declinate anche come “quasi-macchine”, ossia insiemi non in grado di garantire un’applicazione ben determinata e prodotti correlati.
Inoltre, la nuova normativa offre una maggiore chiarezza sulla distribuzione della responsabilità riguardo ai rischi, stabilendo in modo preciso il ruolo dei fabbricanti di macchine, degli importatori, dei distributori e, infine, degli acquirenti. È evidente che gli aspetti di cybersicurezza assumono un ruolo fondamentale visto che le macchine attuali hanno sistemi di automazione e di controllo avanzati, basati su tecnologie informatiche di ultima generazione, fortemente integrate con i sistemi gestionali di fabbrica. Tali macchine sono sempre accessibili da remoto per le attività di diagnostica, manutenzione e aggiornamenti del software. In uno scenario del genere il nuovo Regolamento Macchine impone di verificare e affrontare il rischio connesso ai possibili incidenti di natura informatica che possono avere ripercussioni sulla sicurezza degli operatori e non di meno anche dell’ambiente.
In dettaglio si richiede che i componenti hardware, che trasmettono segnali o dati che possono alterare la capacità della macchina di rispettare i requisiti essenziali di sicurezza e di tutela della salute, debbano essere progettati in modo tale da essere adeguatamente protetti da alterazioni accidentali o intenzionali.
Inoltre, citando direttamente la normativa, “i sistemi di controllo delle macchine dotati di un comportamento o una logica integralmente o parzialmente auto-evolutivi e che sono progettati per funzionare con livelli variabili di autonomia devono essere progettati e costruiti in maniera tale da non essere la causa di azioni che vanno oltre il compito della macchina e il suo spazio di movimento definiti e di consentire in qualsiasi momento la correzione della macchina o del prodotto correlato”.
Considerando tali requisiti la valutazione del rischio di cybersicurezza deve fare riferimento a normative specifiche che permettono di prendere in esame il funzionamento degli IACS (Industrial Automation Control System) sia dal punto di vista del componente che dal punto di vista sistemistico.
La normativa più specifica attualmente disponibile è certamente la IEC 62443, che copre tutti gli aspetti legati alla cybersicurezza OT. Tale normativa richiede che gli attori coinvolti nella cybersecurity e nella gestione della sicurezza delle macchine implementino adeguate valutazioni sul rischio informatico avendo come riferimento paradigmi di cybersicurezza OT (quindi focalizzati sul funzionamento dei sistemi e dei processi e non solo i dati e le informazioni).
Inoltre, si può fare riferimento al Report Tecnico ISO/TR 22100-4, Safety of Machinery – Relationship with ISO 12100 che definisce una sorta di un nuovo standard di sicurezza, che riguarda sia la Safety che la Security, per macchinari, impianti e IIoT. Insomma, questo nuovo quadro normativo, per quanto complesso e invasivo, permetterà di innalzare il livello di sicurezza di quei sistemi e processi che sono rimasti sotto il “livello dei radar” di CIO e CISO, rendendo le aziende produttive maggiormente resilienti.
Mario Testino comitato scientifico CLUSIT
 2023/1230 e la gestione del rischio cyber in relazione alla sicurezza fisica: le nuove sfide per CIO e CISO legate all’integrazione e l’intelligenza artificiale){kind=link}