AS2_2025

Marzo 2025 Automazione e Strumentazione Tecnica 86 CONTROLLO I professionisti dell’automazione indu- striale affrontano il tema della sicurezza informatica già dalla comparsa delle prime reti di comunicazione, anche se la piena consapevolezza di tutti gli attori (proget- tisti, programmatori, sistemisti) è maturata solo in tempi molto recenti; la prima edizione della norma Isa/IEC 62443 è stata pubblicata nel 2009 ma solo 15 anni dopo si può dire che sia diventata un riferimento conosciuto e comune per i system integrator. 1. Introduzione Chi ha vissuto l’evoluzione del settore, ha visto la connettività impadronirsi di sempre nuovi spazi giungendo al culmine con il paradigma dell’industria 4.0: l’integrazione delle tecnologie digitali intelligenti nei processi manifatturieri e industriali ha fatto aumentare in maniera pro- porzionale l’esposizione e i conseguenti rischi di alterazione. Se ne è accorto anche il legislatore europeo che con la prima Direttiva Nis ha introdotto dei requisiti di base di cybersecurity per tutti i settori produt- tivi più critici, con lo scopo di ottenere un sistema economico e sociale resiliente alle perturbazioni esterne. Direttiva che ha avuto una sua recente evolu- zione, con la pubblicazione della Nis2. Dal punto di vista di un system integrator o di un fabbricante di macchine, quali sono le conse- guenze operative della sua implementazione? Chi sono i soggetti interessati, quali sono i requisiti, le scadenze, le responsabilità e le san- zioni per chi non si adegua? 2. Il decreto di recepimento 138/2024 Iniziamo col dire che la direttiva è già stata rece- pita in Italia da settembre del 2024, quando il Governo ha approvato il decreto legislativo n° 138 del 2024: quindi, a tutti gli effetti, è legge dello Stato Italiano. 2.1 Destinatari Ma chi sono i destinatari? Per rassicurare una buona parte dei lettori, possiamo affermare che, tranne casi particolari che vedremo in seguito, le piccole e micro imprese non sono toccate diret- tamente. Si ricorda che la piccola impresa, secondo la Raccomandazione della Commissione Euro- pea 361 del 2003, è un’azienda con meno di 50 dipendenti e un fatturato minore di 10 milioni di euro. L’altra distinzione va fatta tra soggetti essen- ziali e importanti . In breve: tranne qualche eccezione, essenziali sono le grandi imprese di settori altamente critici mentre importanti sono NOTA AUTORI F. Astolfo, Schmersal Italia, “Referente per OT Cybersecurity” A FIL DI RETE www.schmersal.it www.acn.gov.it https://portale.acn.gov.it www.enisa.europa.eu NIS2: SYSTEM INTEGRATOR E COSTRUTTORI DI MACCHINE VERSO LA PRIMA SCADENZA PREVISTA La direttiva Nis2, recepita in Italia con il DLGS 138/2024, impone a tutti i soggetti critici di elevare gli standard di sicurezza informatica per una maggiore resilienza del sistema economico europeo. Importanti novità riguardano il settore dell’automazione industriale e della fabbricazione. Nei prossimi paragrafi andremo a identificare i destinatari del decreto e quali requisiti sono richiesti, a fronte dei quali una politica organica di sicurezza informatica guidata dagli organi direttivi aziendali diventa assolutamente necessaria. Nuovi requisiti di cybersecurity per il settore dell’automazione industriale Francesco Astolfo