SSI467

sicurezza nei sistemi di automazione AUTOMAZIONE OGGI 467 SOLUZIONI SOFTWARE PER L’INDUSTRIA 93 La risposta Dopo la nuova registrazione, entro aprile 2026 ACN risponderà con la valutazione definitiva dell’azienda, tra essenziale, impor- tante oppure fuori ambito. I soggetti già registrati entro il 31 dicembre 2025, hanno potuto procedere alla designazione del referente Csirt per l’interlocuzione con il Csirt Italia secondo le modalità rintracciabili nel sito di ACN. Il referente, in possesso di competenze tecniche così come i suoi sostituti, sarà responsa- bile della notifica tempestiva degli incidenti rilevanti, quelli cioè che hanno provocato un grave danno economico per l’azienda o le persone, furto di informazioni oppure un blocco della filiera: questo obbligo scatta da gennaio 2026 e diventa la prima vera scadenza operativa per le aziende. La notifica, sempre ad ACN, va eseguita in tempi rapidi: 24 ore per la segnalazione e 72 ore per la notifica definitiva. Queste tempistiche rapide richiedono che l’azienda possieda già una politica di cybersecurity della cui at- tuazione si occupano in prima persona gli organi di gestione della società, come sottolinea il decreto all’articolo 23. Chi gestisce la società deve preoccuparsi, obbligatoriamente, di capire cosa sia la cybersecurity e come impatti sulla continuità aziendale e i relativi risultati economici; tale formazione di base va estesa a tutto il personale, soprattutto in virtù del fatto che il fattore umano è il primo elemento di rischio per la sicurezza. Misure tecniche La politica di sicurezza informatica comprende delle specifiche misure tecniche, che vengono richiamate esplicitamente dalla di- rettiva, per un sistema multi-rischio: non solo formazione, non solo misure tecniche, non solo gestione operativa ma l’insieme di tutto questo. Tecnicamente, Enisa - Agenzia per la Cybersecurity Europea, nella guida all’implementazione, richiama esplicitamen- te la ISO/IEC 27001, standard internazionale per la gestione del- la sicurezza delle informazioni. Considerato che la NIS2 impatta maggiormente i settori produttivi sarà d’obbligo includere la nor- ma di riferimento per la OT Cybersecurity, ISA/IEC 62443, serie internazionale di standard che affrontano la sicurezza informatica per la tecnologia operativa nei sistemi di automazione e control- lo. Il legislatore ha correttamente impostato i requisiti secondo i principi di proporzionalità e adeguatezza, al fine di richiedere uno sforzo economico per l’implementazione della politica di cyberse- curity compatibile con le dimensioni aziendali e la valutazione del rischio. Il decreto, infine, si conclude con il capitolo delle sanzioni, notevoli per chi non si adegua: non è questo, comunque, il senso di una direttiva che non mira a colpire le aziende ma, bensì, a ren- derle consapevoli dei pericoli a cui sono esposte, soprattutto su macchinari e impianti dove l’attenzione alla cybersecurity non è sempre stata così elevata. Un partner affidabile Schmersal Italia è al fianco delle aziende che vogliono affrontare questo percorso. La proposta è differenziata per system integra- tor, fabbricanti di macchine e aziende manifatturiere. Per i sy- stem integrator, molto spesso piccole o micro imprese, propone innanzitutto un assessment sulla postura dell’azienda, in partico- lare per la grande criticità che assume l’ufficio di produzione del software nei confronti dei clienti (collaudi, assistenze da remoto, ecc.). Di seguito, attività di formazione mirata e differenziata, in modo che la progettazione hardware e software soddisfi i requisiti richiesti dalle norme internazionali, soprattutto la ISA/IEC 62443. Per i fabbricanti di macchine, il percorso è simile, con la possibilità di assessment dedicati su macchine o modelli di macchine stan- dard, per validare la loro configurazione, anche in vista dei nuovi requisiti richiesti dal Regolamento Macchine. Infine, le aziende manifatturiere: l’esperienza di Schmersal nel- la Sicurezza Macchine e nei temi dell’automazione consente di migliorare il lato più critico di queste organizzazioni, vale a dire il reparto produttivo, dove spesso si mescolano attrezzature re- centi conmacchinari antiquati dove sistemi operativi obsoleti non possono essere aggiornati. Schmersal Italia - www.schmersal.it Fonte sito ACN I soggetti interessati, quali medie e grandi aziende, tranne casi particolari, si possono individuare correttamente nella tabella proposta da ACN