AS2_2025

Marzo 2025 Automazione e Strumentazione Tecnica 90 CONTROLLO rezza informatica per la tecnologia operativa nei sistemi di automazione e controllo. Tali riferi- menti si possono già trovare nei requisiti delle norme di riferimento all’interno del CRA (Cyber Resilience Act). 2.7 Sanzioni Fino a qui la parte propositiva: ma, come tutte le leggi, nei capitoli finali troviamo le disposizioni per chi non le rispetta. Prima di tutto il potere di verifica e ispezione, che l’ANC detiene e per il quale può sottoporre i sog- getti a verifiche della documentazione, ispezioni in loco e a distanza e richieste di accesso ai dati. Da sottolineare che, nei confronti dei soggetti importanti, i poteri di verifica e ispettivi si appli- cano unicamente qualora l’Autorità nazionale competente Nis acquisisca o riceva elementi di prova, indicazioni o informazioni che suggeri- scano possibili violazioni del decreto. Infine, per nulla trascurabili, le sanzioni: in caso di mancato rispetto degli obblighi previsti dalla direttiva è prevista per i soggetti essenziali una sanzione pecuniaria massima di 10 milioni o il 2% del fatturato annuo mondiale e per i soggetti importanti, 7 milioni di euro e 1,4% del fatturato. Da non trascurare la responsabilità della persona fisica di un soggetto essenziale: tali persone fisi- che possono essere ritenute responsabili dell’ina- dempimento in caso di violazione del decreto da parte del soggetto di cui hanno rappresentanza fino ad arrivare all’applicazione della sanzione amministrativa accessoria della incapacità a svol- gere funzioni dirigenziali all’interno del mede- simo soggetto. Non c’è quindi tempo da perdere, innanzitutto per la registrazione sul portale che scade il 28 febbraio ma, soprattutto, per mettere in piedi una politica di sicurezza informatica organica, che includa innanzitutto formazione e una completa valutazione della postura dell’azienda. 3. Conclusioni Il percorso illustrato dovrebbe aver convinto di quanto sia urgente iniziare una politica di sicu- rezza informatica, non solo per esigenze norma- tive, ma per una chiara esigenza di proteggere le nostre macchine e i nostri impianti da interfe- renze esterne, che possono provocare perdite eco- nomiche e sociali. Per i system integrator, molto spesso piccole o micro imprese, consigliamo innanzitutto un assesment sulla postura dell’azienda, in partico- lare per la grande criticità che assume l’ufficio di produzione del software nei confronti dei clienti (collaudi, assistenze da remoto, ecc.). Di seguito, attività di formazione mirata e diffe- renziata, in modo che la progettazione hardware e software soddisfi i requisiti richiesti dalle norme internazionali, soprattutto la Isa/IEC 62443. Per i fabbricanti di macchine, il percorso è simile, con la possibilità di assesment dedicati su mac- chine o modelli di macchine standard, per vali- dare la loro configurazione, anche in vista dei nuovi requisiti richiesti dal Regolamento Mac- chine. Infine, le aziende manifatturiere, in cui l’espe- rienza di Schmersal nella Sicurezza Macchine e nei temi dell’automazione, consente di adottare misure per migliorare il lato più critico delle pro- prie organizzazioni: il reparto produttivo, dove spesso si mescolano attrezzature recenti con mac- chinari antiquati dove sistemi operativi obsoleti non possono essere aggiornati. 4. Bibliografia [1] Unione Europea, Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di ciber- sicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva Nis 2), 84 (2002) 2440–2450, Gazzetta Ufficiale dell’Unione Europea. [2] Repubblica Italiana, Decreto Legislativo 4 settembre 2024, n. 138, Gazzetta Ufficiale della Repubblica Italiana. [3] ENisA, 2024 Report on the State of the Cybersecurity in the Union, Sito Web ENisA (www.enisa.europa.eu) . [4] ENisA, Cyber Resilience Act Requi- rements Standards Mapping, Sito Web ENisA (www.enisa.europa.eu ). [5] CIS-Sapienza, CINI Cybersecurity Natio- nal Lab, Framework Nazionale per la Cybersecurity e la Data Protection, (Meto- dologia per il cybersecurity assessment | Framework Nazionale per la Cyber Secu- rity e la Data Protection). [6] ACN Agenzia per la cybersicurezza nazio- nale, Domande frequenti, Sito Agenzia ACN.