Il panorama normativo europeo in materia di sicurezza informatica e sicurezza macchine sta diventando sempre più complesso, soprattutto per i produttori di macchine industriali. Le normative NIS2, il nuovo Regolamento Macchine (RM) e il Cyber Resilience Act (CRA) impongono requisiti stringenti e spesso sovrapposti, creando un vero e proprio "rebus normativo" per le aziende del settore. In questo contesto, Schmersal si propone come partner strategico per supportare le imprese nel percorso di adeguamento. In questi ultimi anni, l'Unione Europea ha cercato di colmare il vuoto di regolamentazione relativo alla cybersecurity mediante una sovraproduzione legislativa: direttiva NIS2, Regolamento Macchine e Cyber Resilience Act (CRA) mirano a rafforzare la sicurezza informatica ma pongono anche sfide significative per i fabbricanti di macchine.

Direttiva NIS2
La direttiva NIS2 (Network and Information Security) è stata introdotta per ottenere la resilienza del sistema produttivo europeo all'interno di un contesto di rischio crescente, legato alle attività di gruppi criminali e di organizzazioni con fini offensivi.
La novità di questa versione è l'inclusione di un maggior numero di settori economici, ora ritenuti critici. Tra questi, il settore della fabbricazione di macchine e di apparecchiature elettriche che sono quindi tenuti a dotarsi di una politica di sicurezza informatica basata su un approccio multirischio: dalla formazione al contenuto tecnologico, passando per una corretta valutazione della supply chain dei servizi digitali.
Proprio quest'ultimo punto amplia ulteriormente l'impatto della direttiva, imponendo a tutti i fornitori (anche piccole imprese) di adeguarsi agli stessi standard di sicurezza.

Regolamento Macchine
Il Regolamento Macchine, evoluzione della Direttiva Macchine 2006/42/CE, è applicabile dal 20 gennaio 2027 e introduce, per la prima volta, dei requisiti specifici di cybersecurity da ottemperare per la marcatura CE e la conseguente immissione nel mercato UE della macchina.
Il sistema cyber-fisico (CPS) assume la centralità come legame tra il mondo virtuale e il mondo fisico, dove Safety e Cybersecurity sono per alcuni versi sovrapponibili.
I fabbricanti devono ora considerare i rischi legati alle nuove tecnologie digitali e adottare misure per mitigare tali rischi, esclusivamente per le funzioni di sicurezza.

Cyber Resilience Act
Il Cyber Resilience Act è applicabile dall'11 dicembre 2027 e stabilisce requisiti orizzontali di cybersecurity per tutti i prodotti con elementi digitali, stabilendo che hardware e software debbano essere progettati in modo sicuro (protocolli di comunicazione, protezione di dati sensibili) e che i produttori mantengano aggiornati i loro prodotti per tutta la durata del loro ciclo di vita.

Il Rebus
Davanti a questo panorama come si devono comportare i fabbricanti di macchine e i system integrator? Quale quadro normativo o quali standard di certificazione possono aiutare a trovare una strada percorribile, sia dal punto di vista tecnico che economico?
Ricostruiamo il quadro normativo attuale e prossimo futuro per indicare una direzione, ben sapendo che prima di tutto è fondamentale un approccio proattivo alla sicurezza informatica per garantire la conformità e proteggere i dati dei clienti e dei loro prodotti.