Con l’Industria 4.0 e l’integrazione tra IT e OT, le best practices in cybersecurity sono cruciali per proteggere infrastrutture critiche,...
L’aumento dei dispositivi connessi espone le aziende a minacce informatiche crescenti. La Direttiva NIS2 e lo standard IEC 62443 inquadrano le normative nella teleassistenza atte a migliorare la cybersicurezza, richiedendo misure integrate e cooperative tra le organizzazioni.
Le tecnologie dell’informazione e della comunicazione costituiscono il fondamento dei sistemi complessi che supportano le attività quotidiane della società, dell’economia e dell’industria. Con l’emergere della digitalizzazione, della connettività, di Industria 4.0 e dell'Internet of Things (IoT), assistiamo a un aumento esponenziale di dispositivi digitali connessi. Tuttavia, nonostante il numero di dispositivi connessi, la sicurezza e la resilienza non sono sempre integrate nella progettazione, rendendo le politiche di cybersicurezza spesso inadeguate.
Il mercato del cybercrimine è infatti preoccupante, a causa degli attacchi mirati a crittografare dati o sabotare produzioni, come evidenziato da ricerche dell’ENISA. I sistemi IT e OT, quindi, non possono più essere considerati separati, poiché il 94% degli attacchi ai sistemi IT ha provocato interruzioni nei sistemi OT, evidenziando la vulnerabilità delle aziende a cause di una rete sempre più complessa.
Per proteggere i propri dati, le imprese devono implementare strumenti di analisi e controllo, come stabilito dalla norma IEC TS 63074, che introduce il concetto di Security Analisi Dei Rischi e fa riferimento alla famiglia IEC 62443.
La scadenza per il Regolamento Macchine (UE) 2023/1230, in vigore dal 1° gennaio 2027, richiede normative nelle teleassistenza specifiche per garantire la cybersicurezza. Gli Stati Uniti, con il NEC 2023, ad esempio hanno già introdotto requisiti simili in 12 stati, suggerendo un trend di anticipazione che potrebbe riflettersi anche in Europa con la NIS2.
La Direttiva (UE) 2022/255 (NIS2), in vigore da ottobre 2024, amplia il campo di applicazione per includere i fabbricanti di macchinari, introducendo un requisito di multirischio che coinvolge anche i fornitori di servizi associati. È cruciale definire le caratteristiche che impianti e macchine industriali devono rispettare per garantire un adeguato livello di cybersicurezza e chiarire il grado di obbligatorietà.
Si noti, inoltre, che sebbene la Direttiva Macchine 2006/42/CE non tratti esplicitamente la cybersicurezza, vi sono normative correlate, come le norme ISO 13849-1 e EN 415-10, che stabiliscono alcuni principi fondamentali. Come ad esempio, la connessione remota deve essere autorizzata localmente, e non si devono poter modificare parametri di safety senza validazione in loco. Ciò sottolinea ulteriormente l’importanza di adottare una strategia di sicurezza integrata che protegga le macchine da minacce esterne.
A seguire, vediamo nel dettaglio le principali normative nella teleassistenza cosa dicono e cosa comportano.
La Direttiva NIS2 (Network and Information Security 2) rappresenta l’evoluzione della prima Direttiva NIS, introdotta dall'Unione Europea nel 2016 per rafforzare la sicurezza informatica. Adottata a partire dal 2022, questa nuova direttiva aggiorna e potenzia il quadro normativo per affrontare le crescenti minacce e garantire maggiore resilienza delle reti e dei sistemi informativi, compresi quelli della teleassistenza industriale.
Uno degli obiettivi principali della Direttiva NIS2 è ampliare il campo di applicazione rispetto alla precedente direttiva. Essa include più settori e servizi critici per la sicurezza nazionale, tra cui infrastrutture digitali, fornitori di servizi cloud, data center e servizi di teleassistenza. Sono, quindi, le normative nella teleassistenza di riferimento per le organizzazioni che operano come fornitori di servizi e aziende che usano dispositivi e sistemi conness e che devono conformarsi a questa direttiva.
Entrando nello specifico, la Direttiva NIS2 introduce requisiti più severi per la gestione del rischio e la notifica di incidenti di sicurezza. Le organizzazioni devono adottare misure di sicurezza adeguate e proporzionate al rischio, tra cui gestione delle vulnerabilità, delle identità e degli accessi, monitoraggio della rete e implementazione di sistemi di rilevamento delle intrusioni. Ad esempio, in caso di incidente di sicurezza, le organizzazioni devono notificare tempestivamente l'incidente all'autorità competente, garantendo una rapida risposta e coordinazione a livello europeo.
In ambito europeo, la direttiva promuove cooperazione e condivisione di informazioni tra Stati membri e organizzazioni per migliorare la capacità collettiva di prevenire, rilevare e rispondere a attacchi informatici. Una cooperazione di questo genere è particolarmente rilevante per la teleassistenza industriale, dove reti e sistemi di controllo possono essere distribuiti su più sedi e gestiti da diversi fornitori.
Vediamo ora lo standard IEC 62443, ossia una delle principali normative internazionali sviluppate per garantire la sicurezza dei sistemi di automazione e controllo industriale (ICS, Industrial Control System).
Questo standard, creato dalla International Electrotechnical Commission (IEC), fornisce linee guida e requisiti per la protezione delle reti e dei sistemi di controllo da minacce informatiche. La sua adozione è, quindi, cruciale per monitorare e gestire dispositivi e processi industriali da remoto.
L’IEC 62443 è strutturato quattro sezioni che coprono vari aspetti della sicurezza industriale:
L’implementazione della IEC 62443 offre numerosi vantaggi:
Oltre alla Direttiva NIS2 e allo standard IEC 62443, esistono altre normative nella teleassistenza industriale che influenzano la sicurezza.
Tra queste, il GDPR (General Data Protection Regulation) è il regolamento generale sulla protezione dei dati dell'UE ed impone alle organizzazioni di proteggere i dati personali trattati, inclusi quelli raccolti e utilizzati nelle operazioni di teleassistenza. È essenziale che le aziende che operano in questo settore adottino misure adeguate per garantire la conformità al GDPR, soprattutto quando si tratta di proteggere i dati sensibili degli operatori o dei clienti.
Un altro standard rilevante è l’ISO/IEC 27001, che definisce i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS). Nella teleassistenza industriale, l'adozione dell'ISO/IEC 27001 aiuta a implementare controlli di sicurezza adeguati per proteggere le informazioni sensibili e garantire la continuità operativa.
Inoltre, il NIST Cybersecurity Framework (CSF) offre linee guida per gestire e ridurre i rischi di cybersecurity. Anche se sviluppato per le organizzazioni statunitensi, questo framework è ampiamente adottato a livello globale e può essere utilizzato come riferimento per migliorare la sicurezza nelle operazioni di teleassistenza industriale.
Infine, la Direttiva RED (Radio Equipment Directive) si applica ai dispositivi di comunicazione radio, imponendo requisiti di sicurezza e compatibilità per garantire che i dispositivi utilizzati nella teleassistenza industriale non causino interferenze dannose e siano sicuri contro attacchi e manipolazioni.
| COSO | Si basa sul “Managing Cyber Risk in a Digital Age” che indica linee guida su come reagire alle minacce informatiche aziendali. |
| Cybersecurity Act Reg. (UE) 881/2019 | Cybersecurity Act Reg. (UE) 881/2019 introduce un quadro per i certificati europei di cybersecurity. Inoltre, rafforza il mandato dell'Agenzia dell’UE per la cybersecurity (ENISA). |
| Cyber Resilience Act | Normative che mirano ad aumentare la sicurezza di tutti i prodotti con elementi digitali. |
| EN 415-1 | UNI EN 415-1:2001 fornisce una ripartizione delle macchine per imballare e confezionare |
| EN 415-11 | La norma europea EN 415-11, approvata a fine 2021, definisce uno standard per la valutazione di Efficiency & Availability, in sede di accettazione/collaudo, delle macchine per packaging. |
| GDPR | Il Regolamento generale sulla protezione dei dati (GDPR) disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. |
| HITRUST | L’HITRUST si focalizza sull’analisi e la gestione del rischio con 14 diverse categorie di controllo. Può essere applicato a quasi tutte le organizzazioni, comprese quelle sanitarie. |
| IEC 62443 | La norma IEC 62443 è lo standard internazionale per la sicurezza dei sistemi di controllo dell’automazione industriale e per Industria 4.0. Le basi furono poste circa 20 anni fa dal Comitato SP99, istituito dall’ISA (International Society Automation & Control). |
| IEC TS 63074 | Si introduce il concetto di "Security Risk Analysis" (analisi dei rischi di sicurezza) nei sistemi di automazione industriale., in riferimento alla famiglia di normative IEC 62443. |
| ISO 27000 | La serie ISO 27000 è applicabile a organizzazioni di ogni tipo e dimensione. I due standard principali, ISO 27001 e 27002, stabiliscono i requisiti e procedure per la creazione di un sistema di gestione della sicurezza delle informazioni. |
| NIS 2 | La Direttiva NIS 2 (2555/2022), in vigore da gennaio 2023, stabilisce le norme minime da rispettare per una maggiore armonizzazione a livello UE di legislazioni e procedure di cybersecurity |
| NEC 2023 | Codice di normative elettriche sviluppato dall'NFPA (National Fire Protection Association) che stabilisce gli standard di sicurezza per le installazioni elettriche |
| NIST CSF | Il NIST Framework for Improving Critical Infrastructure Cybersecurity, o NIST CSF è sviluppato per affrontare le infrastrutture critiche degli Stati Uniti. Tra le principali vediamo: la produzione di energia, le forniture idriche, le forniture alimentari, le comunicazioni, la fornitura di assistenza sanitaria e i trasporti. |
| NIST SP 1800 | La serie NIST SP 1800 regola l'implementazione e l'applicazione delle tecnologie di cybersecurity basate su standard in applicazioni reali. |
| NIST SP 800-171 | Il NIST SP 800-171 si rivolge ad appaltatori governativi, spesso obiettivi di attacchi informatici per la vicinanza ai sistemi informativi federali. |
| NIST SP 800-53 | La serie NIST SP 800 ha una crescente attenzione alla sicurezza del cloud. NIST SP 800-53 è il punto di riferimento per la sicurezza delle informazioni per le agenzie governative statunitensi. |
| RED | La Direttiva RED (Radio Equipment Directive) è una normativa UE che stabilisce requisiti per la commercializzazione e l'uso di apparecchiature radio. L'obiettivo è garantire la sicurezza e l'assenza di interferenze di questi dispositivi e servizi. |
| Regolamento (UE) 2023/1230 | Il Nuovo Regolamento (UE) 2023/1230 si propone di armonizzare i requisiti di sicurezza e tutela della salute per le macchine in tutti gli Stati membri. Sono inclusi i temi inerenti alle tecnologie digitali e alla sicurezza informatica applicata alle macchine. |
La sicurezza è un fattore critico per garantire la continuità e l'efficienza delle operazioni industriali moderne e in tal senso è fondamentale conoscere e applicare le normative nella teleassistenza. La Direttiva NIS2, lo standard IEC 62443 e altre normative chiave forniscono un quadro normativo solido e dettagliato per affrontare le sfide della cybersecurity in questo settore.
Conformarsi a queste normative non solo aiuta a mitigare i rischi di sicurezza, ma facilita anche la collaborazione e la fiducia tra le diverse parti coinvolte nell'ecosistema industriale. Adottare un approccio proattivo alla sicurezza, basato su queste direttive, rappresenta un passo fondamentale per garantire un futuro digitale sicuro e resiliente per le operazioni di teleassistenza industriale.
Articoli collegati:
La teleassistenza industriale: i 15 benefici principali
Come proteggere la tua infrastruttura di teleassistenza in 8 passi
Cybersecurity nell’Industria 4.0: le Best Practices da adottare
Per maggiori informazioni o per fissare un appuntamento di approfondimento, clicca qui.
Con l’Industria 4.0 e l’integrazione tra IT e OT, le best practices in cybersecurity sono cruciali per proteggere infrastrutture critiche,...
La teleassistenza industriale offre una vasta gamma di benefici, che vanno dalla riduzione dei costi, all’abbattimento dei tempi di inattività...
La teleassistenza industriale rappresenta uno degli strumenti più potenti per migliorare l'efficienza, ridurre i costi operativi e garantire la continuità...
