Le rapide trasformazioni tecnologiche legate alla digitalizzazione e all’Industria 4.0 stanno ridefinendo il panorama industriale, portando nuove sfide e opportunità. In questo contesto, il Parlamento Europeo ha recentemente approvato il nuovo Regolamento Europeo sulla conformità delle macchine, aggiornando gli standard esistenti alle esigenze delle fabbriche del futuro.
Cos’è cambiato rispetto alla Direttiva del 2006?
La novità più rilevante di questo regolamento, focalizzato su salute e sicurezza, è l’attenzione al progresso tecnologico delle macchine, con particolare riguardo ai rischi connessi a tecnologie emergenti come l’Internet of Things (IoT) e l’intelligenza artificiale (IA). A differenza della Direttiva Macchine 2006/42/CE, il nuovo regolamento non richiede trasposizione nelle legislazioni nazionali. I produttori dovranno garantire che tutti i macchinari immessi sul mercato della UE, a partire dal 20 gennaio 2027, siano conformi al nuovo regolamento. Considerati i lunghi tempi di produzione, è fondamentale iniziare fin da subito la pianificazione della conformità e preparare per tempo le operazioni lungo la catena distributiva.
Il regolamento aggiorna definizioni, ruoli e responsabilità lungo tutta la filiera (inclusi importatori e distributori), assegnando a ciascun attore compiti specifici in materia di conformità. Viene così rafforzata l’attenzione alla catena di approvvigionamento e alla verifica dell’identificazione e documentazione corretta delle apparecchiature.
Un altro punto centrale è l’attenzione alla cybersecurity. I requisiti 1.1.9 e 1.2.1 stabiliscono regole precise sulla protezione da alterazioni, evidenziando la necessità di progettare macchine e prodotti correlati per ridurre al minimo i rischi di sicurezza derivanti da connessioni esterne.
La piattaforma di sicurezza OT di Fortinet affronta queste sfide grazie a una connessione di rete specifica per l’OT, all’approccio zero-trust e alle soluzioni SecOps.
Come prepararsi alla scadenza del 2027
Sebbene la piena attuazione del nuovo regolamento sia prevista per il 2027, è essenziale iniziare a prepararsi sin da ora alla conformità normativa.
Un elemento chiave è la chiara definizione di “modifica sostanziale”, che rende il regolamento applicabile anche ai prodotti che subiscono modifiche non pianificate. Questo comporta una maggiore responsabilità per coloro che apportano modifiche fisiche o digitali alle macchine, richiedendo una valutazione di conformità.
Il nuovo Regolamento Macchine si inserisce in un contesto più ampio di normative orizzontali in materia di cybersecurity, evidenziando la necessità di considerare la sicurezza informatica in tutte le fasi della produzione.
Per prepararsi a questo nuovo contesto normativo, è essenziale considerare i rischi per la sicurezza, tracciare i software utilizzati e scegliere attentamente i componenti. Un altro aspetto fondamentale è la gestione dell’allineamento con gli ecosistemi di terze parti, assicurandosi che rispettino le normative più recenti in materia di cybersecurity. Il Cyber Resilience Act (CRA), adottato il 23 ottobre 2024, si concentra esplicitamente sugli aspetti di sicurezza durante l’intero ciclo di vita dei prodotti con elementi digitali. I produttori di macchine devono monitorare l’adozione di standard e linee guida nell’ambito del CRA e del Regolamento Macchine, poiché potrebbero esserci sovrapposizioni. Questo monitoraggio è fondamentale per garantire la piena conformità, soprattutto perché i requisiti del CRA in materia di cybersecurity si applicheranno a partire da dicembre 2027, subito dopo quelli previsti dal Regolamento Macchine.
Il nuovo Regolamento Europeo sulla Conformità delle Macchine è importante per garantire un quadro normativo armonizzato in materia di sicurezza, protezione e innovazione per l’industria del futuro. Anche se presenta delle sfide nel processo di conformità, rappresenta un investimento necessario per costruire un futuro industriale sicuro e sostenibile.
Raccomandazioni per i costruttori di macchine
Ecco alcune raccomandazioni per i costruttori di macchine, al fine di orientarsi efficacemente nel nuovo contesto normativo:
- Progettare tenendo conto della sicurezza: integrare la cybersecurity fin dalla fase iniziale di progettazione, coprendo tutti gli aspetti fisici e digitali per garantire una protezione olistica.
- Adottare una prospettiva di sicurezza a livello di sistema: garantire la sicurezza dell’intero ecosistema, inclusi software, hardware e reti.
- Garantire una conformità continua: implementare un monitoraggio costante della conformità e gestire attivamente il livello di sicurezza, soprattutto in considerazione del nuovo focus sulla verifica della supply chain.
- Proteggere il ciclo di vita del software: mantenere uno sviluppo sicuro, aggiornamenti regolari e pratiche di codifica sicura per prevenire le vulnerabilità.
- Implementare controlli solidi di gestione delle identità e degli accessi: impedire accessi non autorizzati tramite una gestione robusta delle identità e degli accessi, cruciale per i componenti connessi esternamente.
- Rispondere agli incidenti: predisporre un piano dettagliato di risposta agli incidenti per gestire e mitigare rapidamente eventuali violazioni della sicurezza.
- Verificare gli ecosistemi di terze parti: assicurarsi che tutti i partner terzi rispettino gli standard di cybersecurity, promuovendo la trasparenza.
- Formare il proprio team: promuovere una cultura della consapevolezza sulla sicurezza attraverso una formazione regolare in materia di cybersecurity per tutto il personale coinvolto nel ciclo di vita delle macchine.
- Sfruttare il CRA: utilizzare il Cyber Resilience Act per allinearsi ai requisiti di sicurezza del nuovo regolamento, in particolare per gli elementi digitali.
- Documentare gli sforzi in materia di sicurezza: tracciare e mantenere registrazioni dettagliate di tutte le misure adottate in materia di conformità e sicurezza, inclusi eventuali incidenti, per supportare il miglioramento continuo e la conformità normativa.
Di Richard Springer, Emanuele Ermini e Heiko Adamczyk di Fortinet
