la guida

Come conformarsi al nuovo Regolamento Macchine per un uso sicuro di macchinari, robot e software



Indirizzo copiato

La proposta del Nuovo Regolamento si concentra su molteplici aspetti dell’innovazione tecnologica, quali: gli sviluppi tecnologici dei macchinari e i rischi associati all’IoT, l’IA, lo scambio di dati tra sistemi IT e OT e l’esposizione ad attacchi informatici. Una sfida da gestire in modo strutturato

Pubblicato il 31 mag 2023

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA



macchine intelligenti

La Direttiva Macchine 2006/42/CE, dopo 15 anni, è stata aggiornata per adeguarsi ad una società sempre più digitalizzata e che fa uso di tecnologie avanzate, quali l’intelligenza artificiale, in modo da garantire un uso sicuro dei macchinari destinati ai consumatori e dei macchinari industriali, dei robot collaborativi e dei software.

Nuovo Regolamento Macchine: le sfide del processo di digitalizzazione e innovazione

Lo scorso aprile è stata pubblicata la proposta ufficiale di revisione della Direttiva Macchine 2006/42/CE ora chiamata “Nuovo Regolamento Macchine”. (i.e. Regulation of the European Parliament and of the Council on machinery products) che mira a valutare gli impatti di safety e cybersecurity di queste tecnologie oltre a contribuire alla trasformazione digitale ed all’innovazione.

La proposta del Nuovo Regolamento si concentra su molteplici aspetti dell’innovazione tecnologica, quali: gli sviluppi tecnologici dei macchinari e i rischi associati all’IoT, l’IA, lo scambio di dati tra sistemi IT e OT e l’esposizione ad attacchi informatici capaci di compromettere il corretto funzionamento dei sistemi e, quindi, di minacciare la sicurezza delle persone.

Di fatto, il Nuovo Regolamento Macchine fa riferimento non solo a componenti fisici, ma anche a componenti digitali, o software. Da qui la necessità che anche un componente che svolge funzioni di sicurezza debba essere marcato CE se verrà immesso sul mercato europeo. Inoltre, ai prodotti ad alto rischio elencati nell’Allegato I del Nuovo Regolamento – ex Allegato IV della Direttiva Macchine 2006/42/CE)- è stato aggiunto il software. Ancora, il Nuovo Regolamento Macchine può essere applicato anche a: sistemi che utilizzano tecnologie di intelligenza artificiale e machine learning; veicoli senza conducente, ecc.

OT Cybersecurity è ora un requisito sempre più necessario

La proposta del Nuovo Regolamento Macchine sottolinea la necessità di porre una particolare attenzione alla tecnologia per prevenire eventuali effetti negativi sulla sicurezza del prodotto. Di fatto, la cybersecurity OT assume una notevole importanza nel Nuovo Regolamento Macchine e si ritiene che – in un prossimo futuro – diventerà un requisito obbligatorio, comportando – da parte delle aziende produttrici – una puntuale valutazione dei rischi al fine di garantire la sicurezza degli utenti finali ed evitare i problemi più comuni legati alla continuità del business, al danno reputazionale e/o problemi di salute e alla sicurezza.

È doveroso sottolineare che, a differenza della Direttiva Macchine 2006/42/CE, il Nuovo Regolamento si applicherà anche alle macchine che hanno subito modifiche sostanziali che potrebbero comprometterne la conformità originaria.

Da notare che, nella definizione di modifiche sostanziali ai sensi del Nuovo Regolamento, rientrano sia gli aggiornamenti software sia altre modifiche che riguardano la classificazione delle quasi-macchine, per le quali il fabbricante potrebbe essere tenuto a fornire all’utilizzatore finale un riepilogo dei Requisiti Essenziali di Sicurezza (ERS) e un rapporto di valutazione dei rischi.

Contesti sempre più automatizzati e robotizzati: AAA sicurezza cercasi

Il Nuovo Regolamento Macchine enfatizza la necessaria sicurezza nel contesto industriale – che adotta sempre più soluzioni tecnologiche automatizzate e robot collaborativi (i.e. cobot) – in termini di:

  • Protezione contro la manomissione – La macchina – collegata ad altri dispositivi o tramite un dispositivo remoto che comunica con la macchina – deve essere progettata in modo da essere adeguatamente protetti contro la manomissione accidentale o intenzionale. Inoltre, il software e i dati devono essere altresì protetti laddove possano pregiudicare la conformità del macchinario ai requisiti del regolamento sui prodotti per macchinari. Pertanto, il macchinario deve essere in grado di identificare il software installato e di registrare che gli interventi nel software siano essi legittimi o illegittimi.
  • Sicurezza e affidabilità di un sistema di controllo – Il regolamento ribadisceche un sistema di controllo deve essere progettato e realizzato in modo tale che non si verifichino situazioni pericolose; siano, cioè in grado di resistere alle azioni intenzionali e ad eventuali tentativi deliberati di creare situazioni pericolose.

Best practice per la sicurezza dei robot collaborativi (cobot)

La progressiva diffusione di cobot negli ambienti industriali e commerciali può comportare problemi di sicurezza. Ovvero, urge garantire la sicurezza dei cobot per salvaguardare i dati, i processi e l’infrastruttura delle aziende manifatturiere dal momento che – a differenza dei robot industriali tradizionali – sono connessi a Internet e possono essere hackerati e “sfruttati” dai cyber criminali per ottenere l’accesso alle reti interne di un’organizzazione, rubarne dati sensibili o disabilitarne i sistemi chiave. Inoltre, i cobot possono essere utilizzati anche per lanciare attacchi su altri dispositivi connessi, come computer e smartphone.

Cobot: come garantire la conformità ai protocolli di sicurezza

I cobot, se da un lato si convertono in leve strategiche, dall’altro lato devono essere conformi agli attuali protocolli di sicurezza in modo tale che le organizzazioni siano in grado di proteggere i propri dati e sistemi da potenziali minacce informatiche. Pertanto, si consiglia alle organizzazioni di adottare le seguenti best practice secondo un approccio security by design, risk-based e resilience-based conforme alle vigenti regolamentazioni:

  • Stabilire una connessione sicura tra il cobot e la rete aziendale – La connessione dovrebbe essere protetta con crittografia e un firewall in modo da impedire l’accesso non autorizzato ai dati memorizzati sul cobot, oltre a proteggere da eventuali software dannosi che potrebbero essere introdotti nel sistema.
  • Assicurarsi che il software del cobot sia sempre aggiornato – I cobot sono spesso connessi alla rete aziendale e possono essere vulnerabili agli attacchi informatici, per cui è importante assicurarsi che il software sia aggiornato con le patch e gli aggiornamenti di sicurezza più recenti.
  • Implementare le migliori pratiche del settore – Si tratta di identificare le minacce, effettuare le valutazioni dei rischi oltre a rimanere aggiornati in termini di ultime tendenze e tecnologie di cybersecurity.
  • Garantire l’archiviazione sicura dei dati – L’archiviazione dei dati deve essere resa sicura attraverso diverse misure, quali: l’archiviazione sul cloud; modalità di accesso remoto sicuro utilizzando un sistema di autenticazione; crittografia dei dati.
  • Svolgere un monitoraggio continuo – I sistemi dei cobot devono essere continuamente monitorati per rilevare attività sospette o non autorizzate.
  • Garantire la sicurezza fisica dei cobot – Si tratta di custodire i cobot in un luogo o struttura sicuri, il cui accesso sia limitato al solo personale autorizzato e proteggerli con un sistema di sorveglianza o con altre valide misure di sicurezza.
  • Formare il personale – Il personale che lavora con i cobot deve conoscere i protocolli di sicurezza e di configurazione per evitare rischi in termini di furto di dati e di accesso non autorizzato.

Conclusioni

Il contingente scenario presuppone, da parte delle organizzazioni, una necessaria strutturata gestione delle sfide che di volta in volta si troveranno ad affrontare in modo da essere conformi alle regolamentazioni sempre più in evoluzione.

Oggi una delle aree più importanti della governance della sicurezza delle nuove tecnologie è in relazione all’intelligenza artificiale. Ciò è particolarmente vero per i cobot che operano vicino agli operatori umani e dove i programmi software ne controllano i movimenti con una “capacità evolutiva”.

È in quest’ottica che stanno per essere emanate regolamentazioni europee atte ad introdurre misure di sicurezza per affrontare i rischi di interazione fisica, siano essi accidentali o intenzionali. Secondo le nuove regolamentazioni, i fornitori sarebbero anche responsabili per gli infortuni causati se tali rischi non fossero stati affrontati durante lo sviluppo dell’intelligenza artificiale.

Di fatto, l’Artificial Intelligence Act (AIA) è destinato ad operare in parallelo con il Nuovo Regolamento Macchine attraverso un ulteriore livello di governance in modo da garantire misure di sicurezza specifiche per i sistemi d’intelligenza artificiale “ad alto rischio”. L’AIA prevede che, in tali casi, sarebbe necessaria sia una valutazione di conformità indipendente sia una valutazione in termine di requisiti generali di sicurezza dell’intelligenza artificiale.

Ritengo che – a fronte dei nuovi regolamenti di prossima emanazione – tutti gli stakeholder debbano sempre più adoperarsi per implementare i sistemi di gestione del risk management, della business continuity, della cybersecurity e dell’innovazione per garantire un’adeguata governance e compliance, propedeutiche al raggiungimento della resilienza organizzativa ed operativa e della sicurezza dei macchinari e delle tecnologie impiegate.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4