Il Cyber Resilience Act OT introduce nuovi requisiti di cybersecurity per i sistemi industriali, imponendo ai produttori di garantire la sicurezza dei sistemi di controllo che collegano macchine e impianti alla rete.
In questo contesto è fondamentale chiarire un aspetto spesso frainteso: il CRA non si concentra direttamente sulla safety della macchina o della semi-macchina, ma sulla sicurezza dei sistemi di controllo che espongono la macchina verso l’esterno.
Cyber Resilience Act OT e sistemi di controllo
Il focus del CRA riguarda tutti i componenti digitali che permettono la comunicazione e l’integrazione della macchina con altri sistemi.
- PLC, RTU e sistemi DCS
- SCADA e sistemi di supervisione
- Gateway di comunicazione e interfacce di rete
- Connessioni verso sistemi IT, cloud e accessi remoti
Questi elementi rappresentano il punto di esposizione della macchina verso l’esterno e quindi il principale vettore di rischio cyber.
Cyber Resilience Act OT e safety vs cybersecurity
La distinzione tra safety e cybersecurity è chiarita anche dalla IEC TS 63074:2023, che evidenzia la relazione tra minacce, vulnerabilità e impatti sui sistemi di controllo.
Una vulnerabilità informatica non agisce direttamente sulla macchina, ma sul sistema di controllo (SCS), generando effetti che possono propagarsi fino alle funzioni di sicurezza.
- La cybersecurity agisce sulle vulnerabilità dei sistemi digitali
- La safety riguarda il comportamento sicuro della macchina
- Un attacco cyber può compromettere una funzione safety
Il CRA interviene quindi a monte, riducendo le vulnerabilità dei sistemi che controllano la macchina.
Macchine, semi-macchine e connessione in rete
Una macchina conforme al Regolamento Macchine può essere sicura dal punto di vista funzionale, ma non necessariamente dal punto di vista cyber quando viene connessa in rete.
Nel contesto del Cyber Resilience Act OT, questa distinzione è fondamentale per valutare i rischi legati alla connessione delle macchine in rete.
Lo stesso vale per le semi-macchine, che una volta integrate in un sistema possono introdurre superfici di attacco se non progettate secondo principi di cybersecurity.
Il CRA impone quindi che:
- I sistemi di controllo siano progettati in sicurezza (security by design)
- Le interfacce di comunicazione siano protette
- Le vulnerabilità siano gestite lungo tutto il ciclo di vita
Cyber Resilience Act OT e Purdue Model ISA-95
Il ruolo del CRA diventa ancora più chiaro se analizzato secondo modelli architetturali come il Purdue Model e lo standard ISA-95.
La macchina opera tipicamente ai livelli bassi (livelli 0-1), mentre i sistemi di controllo e supervisione si collocano ai livelli superiori, dove avviene l’integrazione con IT e cloud.
- Livelli Purdue 0-1: sensori, attuatori, macchina (safety)
- Livelli Purdue 2-3: PLC, SCADA, DCS (controllo e supervisione)
- Livelli Purdue 4-5: integrazione IT, ERP, cloud
Il CRA agisce principalmente sui livelli in cui la macchina viene esposta verso l’esterno, ovvero dove avvengono comunicazioni, accessi remoti e scambio dati.
Cyber Resilience Act OT e implicazioni per produttori e integratori
Per i produttori di macchine e sistemi industriali, il Cyber Resilience Act OT introduce un cambiamento significativo.
- La sicurezza deve essere integrata nella progettazione del sistema di controllo
- Le vulnerabilità devono essere gestite e documentate
- I prodotti devono essere mantenuti sicuri nel tempo (aggiornamenti, patch, SBOM)
Per gli integratori, diventa fondamentale garantire che l’insieme macchina + sistema di controllo sia sicuro anche nel contesto di rete in cui viene installato.
Conclusione
Il CRA non sostituisce il Regolamento Macchine, ma lo completa: mentre la safety garantisce che la macchina sia sicura nel suo funzionamento, il CRA assicura che i sistemi che la controllano non diventino un punto di ingresso per attacchi esterni.
La sicurezza reale degli impianti industriali nasce quindi dall’integrazione tra safety e cybersecurity, considerando la macchina non come elemento isolato, ma come parte di un sistema connesso.