La Direttiva macchine (Direttiva 2006/42/EC), si pone come obiettivo principale quello di proteggere la sicurezza delle persone (safety).
L’arrivo di nuove tecnologie come intelligenza artificiale e la crescita di alcuni settori come IoT e robotica, ha posto l’urgenza di intervenire sulla direttiva con una proposta di un nuovo Regolamento macchine atto a valutare gli impatti safety/cyber security di queste tecnologie e contribuire ancora di più alla trasformazione digitale.
Essendo un regolamento, sarà direttamente applicabile nei paesi membri della UE, dopo l’entrata in vigore.
Gli elementi che hanno guidato alla stesura della proposta sono:
- nuovi rischi derivanti da tecnologie emergenti: collaborazione sempre più spinta uomo-macchina o uomo-robot (ovvero CO-BOTS);
- aumento esponenziale della connettività delle macchine;
- presenza sempre maggiore di Software e necessità conseguente di aggiornamenti;
- presenza sempre maggiore di movimenti e/o macchine in movimento autonomo.
L’avvento di questo mondo nuovo ha reso la precedente direttiva inadeguata a valutare questi aspetti, che sono stati invece disciplinati nel Nuovo Regolamento per mantenere la conformità delle macchine ai requisiti essenziali di salute e Safety (cosiddetti EHSR, “Essential Health and Safety Requirements”).
Inoltre, con la proposta è stata anche prevista un’attenzione particolare alla documentazione. All’origine della Direttiva macchine c’è l’obbligo di fornire istruzioni e manuali d’uso in forma cartacea, ma di nuovo alla luce delle nuove tecnologie digitali e per ridurre l’impatto ambientale e ridurre anche i costi di questa documentazione, ora si richiederà una documentazione quasi esclusivamente digitale.
La cyber security entra di diritto nel nuovo Regolamento, con un’importanza essenzialmente legata agli impatti sulla safety. Al fine di affrontare i rischi derivanti da azioni dolose di terzi e che hanno un impatto sulla safety delle macchine.
Nella proposta di Regolamento si legge che: “Si presume che i prodotti macchina certificati o per i quali sia stata rilasciata una dichiarazione di conformità nell’ambito di un sistema di sicurezza informatica adottato ai sensi del regolamento (UE) 2019/881, per quanto riguarda la protezione contro la corruzione e la Safety e l’affidabilità dei sistemi di controllo, nella misura in cui tali requisiti sono coperti dal certificato di Cybersecurity o dichiarazione di conformità o parti di essa”.
PROTEZIONE CONTRO LA CORRUZIONE E LA SAFETY
“La macchina deve essere progettata e costruita in modo tale che la connessione ad essa di un altro dispositivo, tramite qualsiasi caratteristica del dispositivo collegato o tramite qualsiasi dispositivo remoto che comunichi con la macchina, non porti a una situazione pericolosa.
Un componente hardware che è fondamentale per la conformità del prodotto macchina ai requisiti di salute e safety pertinenti deve essere progettato in modo tale da essere adeguatamente protetto contro la corruzione accidentale o intenzionale. Il prodotto macchina deve raccogliere prove di un intervento legittimo o illegittimo nel componente hardware.
Il software e i dati critici per la conformità del prodotto macchina ai pertinenti requisiti di salute e safety devono essere identificati come tali e devono essere adeguatamente protetti contro la corruzione accidentale o intenzionale.
La macchina deve identificare il software installato su di essa necessario per il suo funzionamento in sicurezza e deve essere in grado di fornire tali informazioni in qualsiasi momento in una forma facilmente accessibile.
Il prodotto macchina deve raccogliere le prove di un intervento legittimo o illegittimo nel software o di una modifica del software installato sul prodotto macchina o sulla sua configurazione”.
È quindi evidente la copertura di tutti gli aspetti principali della macchina, in quanto prodotto finale ma anche per i suoi componenti hardware e software.
I sistemi di controllo devono essere progettati e costruiti in modo tale che siano in grado di resistere, ove appropriato alle circostanze e ai rischi, alle sollecitazioni operative previste e alle influenze esterne previste e involontarie, compresi i tentativi dolosi di terzi di creare una situazione pericolosa;
da cui la necessità di protezione da cyber attacchi che possano avere impatti sulla safety.
Il nuovo Regolamento si applica anche a “modifiche sostanziali” ovvero “una modifica di una macchina, con mezzi fisici o digitali, dopo che tale macchina è stata immessa sul mercato o messa in servizio, che non è prevista dal fabbricante e a seguito della quale la conformità della macchina ai requisiti essenziali di salute e safety possa essere impattata”.
In ambito Operation Technology, lo standard di riferimento (IEC 62443) è già in grado di guidare la Cybersecurity per i sistemi di controllo e automazione industriali e si applica anche a diversi settori come IoT, Medical Devices e via dicendo. È uno standard che riguarda vari livelli di compliance come “componenti”, “sistemi”, “cicli di vita”.
Il nuovo Regolamento macchine è tuttora in fase di approvazione, si prevede una versione finale entro la seconda metà del 2023, poi seguirà la data di entrata in vigore che si collocherà presumibilmente a fine 2026 – metà 2027.
Il termine sembra ancora lontano, ma gli impatti come visto sono numerosi e le macchine del 2026 sono in fase di progettazione oggi, di conseguenza gli aspetti di cybersecurity del Regolamento devo essere considerati da subito.
La cyber security Operation Technology entra nel testo del nuovo Regolamento macchine assumendo un peso importante e rendendola un requisito obbligatorio per tutto il settore, così come i vulnerabilty assesment rivestiranno un ruolo fondamentale nella verifica dell’efficacia delle misure di sicurezza.
