1. Home

  2. Informazioni su Festo

  3. Blog

  4. Innovazione

  5. Sicurezza informatica

Come minimizzare i rischi nella sicurezza delle reti industriali e conformarsi alla legge sulla ciberresilienza (CRA) dell'Unione Europea

La sicurezza informatica nell'automazione industriale non è più un optional, è essenziale. Con l'avanzare dell'Industria 4.0, i sistemi connessi devono affrontare rischi crescenti derivanti da attacchi informatici e dall'evoluzione delle normative. Questo articolo analizza il modo in cui Festo garantisce la conformità e l'affidabilità in materia di cybersecurity e sicurezza dei prodotti e il motivo per cui la legge sulla ciberresilienza (CRA) dell'Unione Europea è significativa per la sicurezza delle reti industriali.

Cos'è la sicurezza OT e perché è importante per la sicurezza informatica?

La sicurezza della tecnologia operativa (OT) protegge i sistemi che controllano le operazioni industriali, che spaziano dalla produzione alla robotica, dalle reti energetiche alle infrastrutture critiche. Poiché l'OT gestisce direttamente i processi fisici, proteggerla è fondamentale per la sicurezza, l'affidabilità e la produzione continua.

Poiché i cyberattacchi diventano sempre più sofisticati, la sicurezza dei prodotti è ora fondamentale per garantire la sicurezza OT. Una violazione può bloccare il funzionamento, danneggiare l'impianto, causare gravi rischi finanziari e di sicurezza e comportare una potenziale perdita di dati. Ciò rende essenziali strategie personalizzate per i sistemi legacy, le esigenze in tempo reale e la convergenza delle reti IT e OT.

I principali regolamenti e standard che definiscono la sicurezza OT includono:

  • Legge sulla ciberresilienza (CRA): stabilisce requisiti di sicurezza più elevati a livello europeo per i prodotti con elementi digitali, in particolare dispositivi connessi.
  • Il Regolamento Macchine (UE) 2023/1230, in vigore da gennaio 20, 2027, richiede che i prodotti siano protetti da corruzione e manipolazione.
  • La Direttiva NIS2 dell'UE (UE) 2022/2555, in vigore da ottobre 18, 2024, stabilisce requisiti di sicurezza informatica più elevati per le entità essenziali e importanti.
  • NIST SP 800-82: guida statunitense con le migliori pratiche per le architetture OT, la mitigazione delle minacce e la risposta.
  • Una Software Bill of Materials (SBOM) che elenca tutte le librerie e le dipendenze di un prodotto software per migliorare la trasparenza e la sicurezza.
  • IEC 62443: standard internazionale per la sicurezza dei sistemi di comando industriale, dalla progettazione al monitoraggio.
  • ISA/IEC 61511: si occupa di sistemi in cui sicurezza e cybersicurezza si intersecano.

Cosa sono i sistemi di comando industriale (ICS) e perché sono fondamentali per la sicurezza informatica?

I sistemi di comando industriale (ICS) sono soluzioni hardware e software che monitorano, controllano e automatizzano i processi in settori quali la produzione, l'energia, il trattamento delle acque e il trasporto. I componenti chiave includono sistemi SCADA per la supervisione a distanza, i sistemi di comando distribuito (DCS) per il controllo centralizzato dell'impianto, i PLC per le attività specifiche dello stabilimento e le interfacce HMI che consentono agli operatori di visualizzare e gestire i processi. Oltre a garantire operazioni sicure ed efficienti, gli ICS sono fondamentali per difendersi dai cyberattacchi che possono interrompere le infrastrutture essenziali. La legge sulla ciberresilienza (CRA) sottolinea questa urgenza e Festo garantirà la sicurezza dei prodotti e supporterà i clienti con soluzioni di automazione conformi e affidabili.

Come il CRA dell'Unione Europea rafforza la sicurezza informatica

La legge sulla ciberresilienza dell'UE è un regolamento concepito per garantire che tutti i prodotti connessi con elementi digitali (hardware e software) siano sicuri fin dalla progettazione, sicuri di default e durante tutto il ciclo di vita. Si applica a produttori, importatori e distributori che immettono tali prodotti sul mercato dell'UE.

Gli obblighi principali comprendono:

  • Valutazioni del rischio e della cybersecurity prima di immettere i prodotti sul mercato
  • Aggiornamenti continui della sicurezza e gestione delle vulnerabilità
  • Marchio CE (Conformité Européenne) per dimostrare la conformità
  • Segnalazione delle vulnerabilità sfruttate all'ENISA a partire dall'11 settembre 2026

La piena conformità diventa obbligatoria a partire dall'11 dicembre 2027, con sanzioni fino a 15 milioni di euro o al 2,5 % del fatturato globale in caso di non conformità.

Maggiori informazioni sulla CRA dell'UE
Eberhard Klotz

"La nuova normativa richiede aggiornamenti continui della sicurezza. Inoltre, incoraggia la trasparenza sui rischi di cybersecurity. Ciò aiuta le organizzazioni a mantenere un'elevata protezione durante tutto il ciclo di vita di un prodotto".

Eberhard Klotz, Direttore Vendite Industria 4.0 e Digitalizzazione

In che modo Festo supporta i clienti nell'ambito della legge sulla ciberresilienza?

Hardware e software Festo con interfacce digitali, quali PLC, edge computer, unità di valvole, motion controller, strumenti di progettazione e app analitiche basate sull'IA, sono soggetti alla CRA. Allo scopo di supportare la conformità alla CRA, Festo offre uno strumento open-source per creare, modificare e convalidare le SBOM CycloneDX, aiutando gli utenti a tracciare i componenti software utilizzati e a rilevare le vulnerabilità. Aiutiamo i costruttori di macchine, i distributori e gli importatori a gestire la conformità CRA in termini di tempistiche, documentazione e sicurezza.

Sebbene nessun prodotto sia ancora conforme alla CRA, Festo possiede la certificazione IEC 62443-4-1 per lo sviluppo sicuro, verificata dal TÜV Süd, e applica i metodi Threat and Risk Analysis (TARA) per identificare i possibili rischi nell'utilizzo dei nostri prodotti e mitigarli. Garantiamo che entro dicembre 2027 i clienti possano utilizzare con sicurezza le soluzioni Festo in conformità alle normative UE.

Vedere Festo su GitHub

Ruoli secondo CRA e contatti per la sicurezza in Festo

La CRA ha un impatto su tutti i ruoli dell'automazione: i costruttori di macchine devono dimostrare la conformità degli impianti, gli integrators sono responsabili della sicurezza dei componenti, gli operatori devono garantire la continuità e i responsabili degli acquisti devono valutare la preparazione dei fornitori. La sfida più grande è l'incertezza sulla certificazione, sul ciclo di vita dei prodotti e sull'approvvigionamento, che noi affrontiamo con trasparenza e misure documentate. Festo è conforme alle norme ISO/IEC 29147 e ISO/IEC 30111.

Le vulnerabilità possono essere segnalate al nostro Product Security Incident Response Team (PSIRT) tramite modulo di contatto o e-mail all'indirizzo psirt@festo.com, e sul nostro sito web pubblichiamo in modo trasparente gli avvisi comunicati con le vulnerabilità note e risolte.

Vada al portale PSIRT

La checklist dettagliata sulla conformità alla sicurezza informatica per la CRA

☑ Comprende come la CRA influisce sulle macchine, sulle operazioni e sull'approvvigionamento.

☑ Conferma subito la preparazione dei suoi fornitori per la CRA, non aspetti sino al 2027.

☑ Per la pianificazione, utilizzi gli avvisi, le dichiarazioni e la documentazione di sicurezza di Festo.

☑ Rimanga allineato con i requisiti IEC 62443 e CRA per evitare rischi di conformità.

☑ Si affidi a Festo come partner di fiducia per la sicurezza dei prodotti.

La sicurezza informatica incontra l'apprendimento permanente

È interessato a conoscere la legge sulla ciberresilienza e il suo impatto sull'automazione? Guardi i nostri video "Legge sulla ciberresilienza: spiegata in 5 minuti" e "Tecnologie abilitanti: big data, cloud e sicurezza informatica" sul nostro portale di apprendimento online Festo LX per comprendere rapidamente gli aspetti essenziali della CRA e come prepararsi come produttore per la conformità.

Vada ai video di Festo LX