1 86 Table of Contents 88 100

AS2_2025

Automazione e Strumentazione Marzo 2025 Tecnica 85 CONTROLLO rity, con chiare responsabilità a livello di Senior Management. Procedere regolarmente a sessioni di valutazione dei rischi, inclusi quelli derivanti dalla suppy- chain (fornitori, partners): identificare gli asset, le vulnerabilità, valutare gli impatti. Assicurare, aggiornare e verificare la compe- tenza del personale. Introdurre e mantenere aggiornate policies, pro- cedure e audit periodici. Assicurare con cura il controllo e l’identifica- zione degli accessi. Assicurare il monitoraggio e la prevenzione con continuità utilizzando le più recenti tecnologie. Introdurre piani di ripristino (disaster recovery) e modalità di pronta notifica alle autorità com- petenti. Gli obblighi di base dovranno essere adottati entro settembre 2026 ma già entro aprile 2025 dovranno essere definiti. Con particolare riguardo alle notifiche, vengono richieste: Pre-notifica entro 24 ore dall’incidente che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero. Notifica entro 72 ore dall’incidente che, ove possibile, aggiorni le informazioni e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto. Relazione intermedia su eventuale richiesta del Csirt Italia (Computer Security Incident Response Team). Relazione finale entro un mese dalla notifica dell’incidente, comprensiva di descrizione detta- gliata dell’attacco, del suo impatto e dell’effica- cia delle contromisure. Per gli inadempienti sono infine previste san- zioni amministrative che, per i soggetti essen- ziali, possono ammontare fino a un massimo del 2% del fatturato (mondiale) o a 10 milioni di euro; per i soggetti importanti si scende invece a 1.4% e 7 milioni di euro. Naturalmente, come evidenziato anche dalla IEC62443, la questione non si risolve con l’im- plementazione ma prosegue con l’opportuno mantenimento e rafforzamento delle misure e della cultura della sicurezza. Conclusioni La sicurezza informatica è diventato un requisito imprescindibile non solo per le reti aziendali ma anche per i sistemi di controllo. Chi si occupa di automazione lo ha capito e affronta il problema con opportuno rigore ingegneristico, guidato dagli Standard che regolano queste discipline, in modo da progettare e realizzare un sistema di con- trollo sufficientemente robusto contro gli attacchi che possono arrivare in ogni momento per ogni sistema in qualche modo connesso in rete. Oltre all’implementazione della IEC62443, la norma stessa prevede l’opportunità di proseguire con il mantenimento e il rafforzamento della cultura e delle misure di sicurezza

RkJQdWJsaXNoZXIy Mzg4NjYz