Oggi le linee produttive sono sempre più composte da sistemi cyber-fisici connessi, che integrano software, firmware, sensori e piattaforme digitali.
In questo scenario, una vulnerabilità software oltre a rappresentare un rischio informatico, può compromettere la sicurezza operativa delle macchine, interrompere la produzione, e, nei casi più gravi, generare rischi per l’incolumità degli operatori.
Per affrontare queste nuove sfide, l’Unione Europea ha introdotto un quadro di tre normative che rappresentano i pilastri di un ecosistema volto alla resilienza industriale, affrontando il rischio cyber da prospettive complementari e interconnesse:
Direttiva NIS2 (UE 2022/2555), rafforza la resilienza operativa delle organizzazioni.
Cyber Resilience Act - CRA (UE 2024/2847), garantisce la sicurezza informatica dei prodotti digitali e del software.
Regolamento Macchine (UE 2023/1230), protegge la sicurezza fisica degli operatori.
ORGANIZZAZIONE
Responsabilità dell’OPERATORE
PRODOTTO DIGITALE
Responsabilità del PRODUTTORE DEL SOFTWARE/PLC
SAFETY
Responsabilità del COSTRUTTORE
Il software sta diventando uno degli elementi più critici nella gestione del rischio industriale. Infatti, è contemporaneamente parte della safety (Regolamento Macchine), parte del prodotto digitale (CRA) e parte dell'ambiente IT/OT aziendale (NIS2). Ne deriva un cambiamento significativo per il settore industriale: la cybersecurity non è più solo una questione IT ma diventa un requisito essenziale per la sicurezza delle macchine e l’accesso al mercato europeo.
Direttiva Europea NIS2
La Direttiva Europea NIS2 (UE 2022/2555), recepita in Italia dal D.Lgs. 138/2024, avvia una rivoluzione nel modo in cui la sicurezza informatica viene pensata, gestita e governata a livello di impresa. Si applica all'operatore/utilizzatore della macchina e l’oggetto è la sicurezza delle reti e dei sistemi informativi dell'organizzazione in cui opera.
Tra le principali novità di NIS2:
L’introduzione di una responsabilità legale, diretta e non delegabile per gli organi del management, con la previsione di sanzioni.
Una valutazione del rischio che si estende all’intera supply chain con particolare riguardo ai fornitori rilevanti.
Scadenze rigide e strettissime di segnalazione degli incidenti cyber (24h/72h/1 mese).
Le misure previste da NIS2 dovranno essere pienamente operative entro il 1°ottobre 2026.
I servizi di Euranet per l’adeguamento a NIS2
Con Euranet, il percorso di compliance NIS2 diventa un’attività guidata: partendo da una gap analysis rispetto ai requisiti NIS2 e al framework dell’ACN, definiamo una roadmap chiara e coerente all’azienda e infine supportiamo l’implementazione delle misure, tra cui: gestione del rischio cyber e di incidenti, definizione di ruoli e responsabilità del management e controlli verso i fornitori.
Analisi applicabilità e definizione servizi critici
Valutazione livello di maturità rispetto a requisiti NIS2 e framework ACN
Definizione roadmap chiara e coerente con profilo di rischio aziendale
Supporto all’implementazione delle misure necessarie
Scopri come Euranet può aiutarti ad avviare il percorso
Cyber Resilience Act - CRA
Il Cyber Resilience Act - CRA (Regolamento UE 2024/2847) si applica ai prodotti hardware e software con elementi digitali messi a disposizione sul mercato dell’Unione Europea, compresi componenti software o hardware commercializzati separatamente.
Il Regolamento introduce nuovi obblighi per i produttori di hardware e software e impone tra l’altro:
Sicurezza dei prodotti con elementi digitali lungo l’intero ciclo di vita.
Approccio security by design.
Obblighi di identificazione, monitoraggio e documentazione delle vulnerabilità e dei componenti contenuti nel prodotto, anche attraverso SBOM.
Obblighi di segnalazione delle vulnerabilità sfruttate attivamente e dei severe incidents agli enti ENISA e CSIRT con scadenze rigide (24h/72h/14gg/1mese).
Rilevamento e reporting obbligatorio di incidenti.
Marcatura CE obbligatoria.
Tutte le misure previste dal CRA dovranno essere operative entro dicembre 2027 con scadenze già dal 2026 e rischio di sanzioni.
I servizi di Euranet per l’adeguamento a CRA
L’assenza di un sistema strutturato può generare ritardi, costi imprevisti e sanzioni: per questo Euranet fornisce un supporto costante per mantenere la conformità nel tempo, anche in vista di eventuali audit. In particolare, Euranet supporta le imprese con un modello di consulenza continuativa: partendo da un workshop operativo di formazione, identifichiamo il perimetro di applicazione, analizziamo software e prodotto, valutiamo i rischi e forniamo un piano di remediation e di incident reporting, arrivando a un Cybersecurity Management System che permetta di supportare l’implementazione delle misure tra cui: requisiti di prodotto (allegato I) e obblighi aziendali.
Workshop operativo (3h+3h/online o on-site): formazione su CRA e macroanalisi preliminare di adeguamento
Perimetro CRA: identificazione prodotti, software e componenti digitali inclusi nel Regolamento
Analisi del software: identificazione e documentazione di vulnerabilità, SBOM, licenze, rischi cyber etc. con la possibilità di integrare le soluzioni di CAST Software Intelligence
Analisi del rischio cyber di prodotto: scenari di attacco, impatti, misure di sicurezza, rischio residuo etc.
Piano di remediation: adeguamento prodotto per ridurre i rischi, migliorare l’architettura di sicurezza, rafforzare configurazioni, aggiornamenti, controllo accessi, etc
Vulnerability handling e incident reporting: creazione di un processo per gestire vulnerabilità, segnalazioni, patch, comunicazioni ai clienti e incidenti gravi
Cybersecurity Management System: sistema stabile di ruoli, procedure, controlli, evidenze, riesami periodici e miglioramento continuo
Scopri come Euranet può aiutarti ad avviare il percorso
Prenota il Workshop per iniziare il percorso di adeguamento al CRA
Regolamento Macchine
Con l'adozione del Regolamento Macchine (UE) 2023/1230, la cybersecurity è diventata parte integrante dei requisiti di salute e sicurezza (safety) delle macchine nell'Unione Europea. Introduce infatti l’obbligo per i costruttori di proteggere i sistemi digitali delle macchine da alterazioni che possano comprometterne la sicurezza (Security by Design a tutela della safety). L’obiettivo è che nessuna compromissione digitale generi un rischio per la salute e la sicurezza delle persone.
Il regolamento diventerà obbligatorio il 20 gennaio 2027, data entro la quale i costruttori dovranno dimostrare di essere conformi, adottando un insieme di misure tecniche e organizzative, tra cui:
Controllo e autenticazione degli accessi ai sistemi di controllo.
Protezione dell’integrità del software e dei dati di sicurezza.
Tracciabilità delle modifiche attraverso sistemi di logging.
Procedure di aggiornamento sicuro del software.
Indicazioni chiare sui requisiti di sicurezza informatica nel manuale d’uso.
Identificazione e documentazione delle vulnerabilità di sicurezza software inerente la safety.
Valutazione dei rischi connessi e implementazione delle misure di mitigazione di tali rischi.
Questi elementi devono essere documentati nel Fascicolo Tecnico della macchina come evidenza di conformità alle autorità di certificazione, diventando parte integrante del processo di marcatura CE.
Dispositivi Medici
Anche i costruttori di dispositivi medici (Medical Device) sono soggetti a rigorosi obblighi per garantire la sicurezza informatica dei software integrati, essenziali per proteggere la disponibilità, l'integrità e la riservatezza dei dati. In particolare, ai sensi di:
Regolamenti UE per i Dispositivi Medici (MDR, Regolamento (UE) 2017/745)
Regolatorio FDA per i Medical Device e la Cyber-Risk Management.
EURANET & CAST
Le aziende che adotteranno un approccio integrato alla sicurezza del software saranno meglio preparate ad affrontare le nuove sfide normative e tecnologiche. Euranet, attraverso la partnership con CAST Italia, supporta le aziende produttrici di macchine con componenti digitali e dispositivi medici nella gestione della crescente complessità normativa in materia di cybersecurity tramite l'analisi strutturale del software industriale ed embedded. Combinando l’esperienza e le competenze di Euranet in materia di standard e normative sulla protezione degli asset e sulla cybersecurity con la tecnologia di CAST si possono prevenire rischi operativi e misurare la produttività e la sicurezza dei software.
La conformità non è un evento singolo, ma un processo continuo in cui Euranet può supportarti con un percorso chiaro e strutturato fino a raggiungere una cybersecurity progettata e verificabile e una resilienza duratura nel mercato globale.
Euranet S.r.l. Sede Legale: Via Boccaccio 20, 20123 Milano - Sede Operativa: Via Cavour 5, 27043 Broni (PV) - Capitale Sociale 64.100 euro i.v. - P.IVA 12270030153 - Iscritta al Registro Imprese di Milano – REA MI-1544390
Questo sito utilizza i cookie per offrirti una migliore esperienza di navigazione. Cliccando su "Accetto" acconsenti all'utilizzo di tutti i cookies. Se rifiuti o chiudi questo banner potrai ugualmente consultare il sito ma alcune funzionalità potrebbero non essere disponibili. Per maggiori informazioni consulta la Cookie Policy.
Puoi revocare il tuo consenso in qualsiasi momento utilizzando il pulsante Revoca il consenso.
