Le nuove leggi UE per la sicurezza e la cybersicurezza dell’industria manifatturiera

Il Parlamento Europeo approva ad aprile 2023 il Nuovo Regolamento Macchine. Ciò significa che, in sostituzione della Direttiva Macchine 2006/42/CE, produttori e utilizzatori di attrezzature industriali sono chiamati ad adeguarsi alle nuove regole di conformità all’interno dell’UE.

Il Nuovo Regolamento Macchine parla per la prima volta a chiare lettere di protezione dell’ambiente e introduce modifiche migliorative da molti punti di vista.

La questione principale è che la nuova versione del Regolamento Europeo sulla conformità delle macchine pone particolare attenzione alla fabbrica del futuro, ai pericoli che si insidiano nelle tecnologie digitali, e al potenziale impatto che questi possono avere sulla sicurezza delle persone.

Infatti, mentre resta invariato il campo di applicazione rispetto a quanto già previsto dalla Direttiva 2006/42/CE, il Nuovo Regolamento estende il concetto di macchina anche al prodotto non ancora dotato di software, soggetto ai principi di integrazione della sicurezza nella progettazione, con tutto ciò che questo comporta, compresa la redazione del fascicolo tecnico.

Attenzione ai componenti di sicurezza

Il passaggio alla nuova legge chiarisce in definitiva la relazione fra la sicurezza fisica e la cybersicurezza per il mondo industriale, ampliando il campo ai componenti digitali, ai componenti che si basano sull’intelligenza artificiale, e alle applicazioni dotate di robot collaborativi.

Componenti di questo tipo vengono ora classificati come “prodotto macchina potenzialmente ad alto rischio“. Di conseguenza, la valutazione della loro conformità deve coinvolgere un Organismo Notificato.

E alle responsabilità.

Per quanto riguarda le responsabilità del costruttore o dell’utilizzatore, in caso di qualsiasi modifica fisica o digitale (come ad esempio il cambio di un software) di una macchina, che possa pregiudicare i requisiti di sicurezza originari, ricade sul soggetto che l’ha effettuata.

Ma non solo. A prova di una crescente attenzione verso i rischi dell’industria digitale, e a garanzia di un maggior controllo per ciò che riguarda la sicurezza delle attrezzature produttive, rispondono per la nuova conformità CE anche importatori e distributori di tali prodotti.

Cosa stabiliscono i requisiti di Cyber Security per l’industria

Sono stati approvati integralmente dal Parlamento Europeo i requisiti di sicurezza per la safety e per la cybersecurity delle attrezzature industriali. Parliamo dei requisiti 1.1.9 e 1.2.1, che mettono un punto fermo sull’essenzialità di progettare e costruire prodotti macchina in cui il collegamento con altri dispositivi, per esempio un dispositivo remoto, non porti a una situazione pericolosa. In definitiva:

Nessuna logica di sicurezza deve più essere esposta a intrusioni malevole.

Altre normative si integrano con questo concetto:

• Direttiva NIS 2 (2555/2022) per garantire elevati livelli di cybersecurity dei servizi forniti da enti importanti ed essenziali
• Cybersecurity Act Reg. (UE) 881/2019 per gli aspetti di certificazione della cybersecurity per le tecnologie dell’informazione e della comunicazione, e che abroga il Regolamento (UE) n. 526/2013
• Cyber Resilience Act, per il momento oggetto solamente di proposta della Commissione Europea, ma la cui trattazione ha senza dubbio carattere di urgenza ”on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020”. In questo caso, la presunzione di conformità al Cyber Resilience Act sarà valida anche ai fini dei requisiti essenziali di sicurezza del Regolamento Macchine

Cosa fare per prepararsi alle nuove leggi

L’effettiva applicazione del Nuovo Regolamento Macchine è prevista nel 2027, ossia a conclusione dei 42 mesi di transizione e l’abrogazione della Direttiva 2006/42/CE; mentre, ad esempio, per quanto riguarda il Cyber Resilience Act, questo sarà prossimamente discusso dal Parlamento e dal Consiglio Europeo. A seguito della futura approvazione, i costruttori avranno 12 mesi per segnalare eventuali vulnerabilità, ed ulteriori 12 mesi per adattarsi alle nuove regole.

Ma nel frattempo, il nuovo scenario digitale è già in atto, ed è fondamentale per l’industria essere proattiva per garantire la cybersicurezza del sistema produttivo. Quindi, come adeguarsi?

• Importante aggiornare la valutazione dei rischi per identificare i pericoli di natura informatica
• Cominciare a tracciare il software e implementare i nuovi requisiti in vista dell’obbligatorietà
• Infine, scegliere prodotti adeguati, facendo attenzione al Cyber Security Resilience Act, che imporrà presto una selezione precisa dei componenti

Non è mai troppo presto per approfondire, leggi l’articolo completo oppure richiedi una consulenza