La proposta di un nuovo Regolamento per la cyber security in ambito Operational Technology pone l’accento sugli gli impatti safety/cyber. Le nuove tecnologie come l’intelligenza artificiale vengono usate, infatti, in modo sempre più massiccio, e alcuni settori come IoT e robotica nell’ambito dell’automazione industriale sono in crescita esponenziale.
La nuova normativa – Regulation of the European Parliament and of the Council on machinery products – che sarà applicata a tutti gli stati membri dell’unione europea, è tuttora in fase di approvazione, e si prevede una versione finale entro la seconda metà del 2023, con la data di entrata in vigore che traguarderà presumibilmente fine 2026 – metà 2027.
Gli elementi che hanno guidato alla stesura della proposta sono essenzialmente i seguenti:
- I nuovi rischi derivanti da tecnologie emergenti: collaborazione sempre più spinta uomo-macchina o uomo-robot (ovvero CO-BOTS);
- L’aumento esponenziale della connettività delle macchine;
- La presenza sempre maggiore di software e necessità conseguente di aggiornamenti;
- La presenza.
L’avvento di questo mondo nuovo ha creato nella precedente direttiva dei GAP legislativi (obblighi per distributori, importatori o fabbricanti) e di concetti (Conformità UE) e definizioni (“modifica sostanziale” e “quasi-macchina”) che sono stati introdotti e/o rivisti nel Nuovo Regolamento per mantenere la conformità delle macchine ai requisiti essenziali di salute e Safety (cosiddetti EHSR, “Essential Health and Safety Requirements”).
I requisiti di cyber security introdotti nel nuovo regolamento sono essenzialmente legati alla richiesta di particolari protezioni riguardanti le componenti hardware e software degli ambienti industriali:
- La macchina deve essere progettata e costruita in modo tale che la connessione ad essa di un altro dispositivo non porti a una situazione pericolosa
- Conformità del prodotto macchina ai requisiti di salute e safety, con adeguata protezione e raccolta di eventi per registrare eventuali interventi legittimi o illegittimi nella componente hardware.
- Necessità di identificazione del software installato e garanzia di protezione cyber del software contro la corruzione accidentale o intenzionale.
- Protezione dei dati
- Possibilità di ricostruzione di eventi che hanno portato a interventi, modifiche, configurazioni, legittime o illegittime, del software installato.
- Necessità di resilienza alle influenze esterne previste e involontarie, compresi i tentativi dolosi di terzi di creare situazioni di pericolo
La nuova normativa pone l’accento su una problematica che i Managed Security Service Provider stanno già affrontando: la connessione spinta di macchine industriali e intere catene di produzione è un fattore che ha grande impatto sulla postura di sicurezza delle aziende, che vedono aumentare il proprio perimetro di attacco e, di conseguenza, il proprio rischio cyber. I servizi di protezione e monitoraggio di ambienti OT e tecnologie IoT e IIoT supportano le aziende a difendere asset critici di primaria importanza per garantire l’operatività e la produzione.