Cybersecurity nelle macchine industriali: il nuovo requisito EU

Fino ad oggi la sicurezza delle macchine riguardava pericoli fisici: meccanici, elettrici, termici, ergonomici. Con il Regolamento (UE) 2023/1230, applicabile dal 20 gennaio 2027, la protezione contro la corruzione digitale diventa un Requisito Essenziale di Salute e Sicurezza (RESS).

Il nuovo RESS 1.1.9 stabilisce che le macchine e i prodotti correlati devono essere progettati e costruiti in modo che la connessione a un dispositivo remoto o a un dispositivo non integrato nella macchina non porti a una situazione pericolosa. I componenti hardware e software che trasmettono dati rilevanti per la sicurezza devono essere protetti contro la corruzione accidentale o intenzionale.

Questo cambiamento riflette una realtà industriale in cui le macchine sono sempre più connesse: IoT, cloud, accesso remoto, interconnessione con MES/ERP sono ormai standard. Ogni connessione è una potenziale superficie di attacco.

Il requisito è formulato in termini di obiettivi, non di soluzioni tecniche specifiche. Il costruttore deve garantire che:

Le funzioni di sicurezza della macchina non siano compromesse da attacchi informatici o manipolazioni non autorizzate attraverso le connessioni della macchina. Questo include: arresti di emergenza, interblocchi, limitazioni di velocità/forza, sistemi di monitoraggio area.

I dati rilevanti per la sicurezza (parametri di configurazione, firmware dei dispositivi di sicurezza, log di sicurezza) siano protetti contro modifiche non autorizzate.

La macchina mantenga un comportamento sicuro anche in caso di attacco riuscito su componenti non legati alla sicurezza. Il principio è la segregazione: un attacco al sistema di monitoraggio produttivo non deve poter compromettere il circuito di arresto di emergenza.

Il costruttore documenti nel fascicolo tecnico l'analisi dei rischi cyber e le misure adottate. Questa documentazione diventa parte integrante del fascicolo tecnico ai fini della marcatura CE.

Le minacce cyber alle macchine industriali non sono teoriche. Gli incidenti documentati e gli scenari realistici includono:

Manipolazione dei parametri di sicurezza: un attaccante che modifica le soglie di velocità o forza di un robot industriale può causare lesioni agli operatori. Se i parametri sono accessibili via rete, devono essere protetti.

Denial of Service su funzioni di sicurezza: un attacco DoS sulla rete industriale può impedire la comunicazione tra sensori di sicurezza e controllore, bloccando o ritardando gli arresti di sicurezza.

Firmware malevolo: l'aggiornamento remoto del firmware (richiesto dall'Industria 4.0) può essere un vettore di attacco se il processo di aggiornamento non è autenticato e crittografato.

Ransomware su sistemi OT: il ransomware che colpisce i sistemi di controllo può bloccare la macchina in uno stato pericoloso o impedire l'arresto sicuro.

Accesso remoto non autorizzato: le connessioni VPN per la teleassistenza, se mal configurate, possono essere sfruttate per accedere ai sistemi di comando della macchina.

L'analisi dei rischi cyber per le macchine si integra nella valutazione dei rischi secondo EN ISO 12100, aggiungendo le minacce informatiche all'elenco dei pericoli da considerare.

Step 1 — Inventario delle connessioni: mappare tutte le interfacce di comunicazione della macchina (Ethernet, Wi-Fi, Bluetooth, USB, bus di campo, connessioni cloud). Per ciascuna, identificare cosa è accessibile e da chi.

Step 2 — Identificazione degli asset critici: classificare i componenti della macchina in base alla loro criticità per la sicurezza. I sistemi di comando legati alla sicurezza (SRP/CS) hanno la massima priorità.

Step 3 — Analisi delle minacce: per ogni connessione e asset critico, identificare le minacce plausibili (accesso non autorizzato, manipolazione dati, denial of service, malware).

Step 4 — Valutazione del rischio: per ogni minaccia, stimare la probabilità (considerando le misure di protezione esistenti) e la gravità delle conseguenze sulla sicurezza della macchina.

Step 5 — Misure di mitigazione: definire le contromisure tecniche e organizzative per ridurre il rischio a un livello accettabile. Documentare nel fascicolo tecnico.

Le misure di cybersecurity per le macchine industriali devono essere proporzionate al rischio e compatibili con i requisiti operativi. Le principali categorie di contromisure sono:

Segregazione delle reti: separare fisicamente o logicamente la rete di sicurezza dalla rete di produzione e dalla rete IT aziendale. Utilizzare firewall industriali e VLAN per limitare il traffico tra le zone.

Autenticazione e controllo degli accessi: implementare autenticazione forte per l'accesso ai parametri di sicurezza e al firmware. Utilizzare il principio del minimo privilegio: ogni utente accede solo alle funzioni necessarie al suo ruolo.

Integrità dei dati e del firmware: utilizzare firme digitali per gli aggiornamenti firmware. Implementare checksum o hash crittografici per verificare l'integrità dei parametri di sicurezza. Mantenere log immutabili delle modifiche.

Monitoraggio e rilevamento: implementare sistemi di intrusion detection (IDS) sulla rete industriale. Monitorare i tentativi di accesso non autorizzato e le anomalie nel traffico di rete.

Aggiornamenti e patch management: definire un processo per l'aggiornamento sicuro del software della macchina. Verificare che ogni aggiornamento non comprometta la conformità della macchina ai RESS.

La cybersecurity è al crocevia di tre temi strettamente collegati.

Regolamento Macchine 2023/1230: la cybersecurity è un RESS. Le macchine non conformi non possono avere la marcatura CE dal 2027.

Transizione 5.0: i beni Allegato A devono essere interconnessi (requisito obbligatorio) e spesso hanno telediagnosi e monitoraggio continuo (requisiti aggiuntivi). Ogni connessione richiede protezione cyber. Inoltre, il quinto requisito obbligatorio (conformità agli standard di sicurezza) include implicitamente la cybersecurity dal 2027.

Cyber Resilience Act (CRA): il Regolamento (UE) 2024/2847 sulla cyber-resilienza impone requisiti di cybersecurity per tutti i prodotti con elementi digitali immessi nel mercato UE. Le macchine con componenti software rientrano nel suo ambito, con sovrapposizioni significative con il Regolamento Macchine.

Per i costruttori, affrontare la cybersecurity in modo integrato — soddisfacendo contemporaneamente Regolamento Macchine, CRA e requisiti Transizione 5.0 — è l'approccio più efficiente e coerente.