Direttiva NIS 2 e nuovo Regolamento Macchine, Bosch Rexroth per la cyber security

La Direttiva NIS 2, recepita in Italia lo scorso 16 ottobre 2024, rappresenta un aggiornamento cruciale nella legislazione dell’Unione Europea per la sicurezza delle reti e delle informazioni. La piattaforma ctrlX Automation di Bosch Rexroth interviene a supporto delle aziende per ovviare a ogni rischio.

L’aggiornamento della legislazione

In un mondo sempre più interconnesso e digitale, le minacce informatiche sono in costante evoluzione e questo provvedimento si propone di aggiornare le norme esistenti per far fronte a queste sfide. L’obiettivo della norma è elevare il livello medio di cyber security in tutta la UE, migliorando la preparazione e la capacità di risposta agli “incidenti” nelle aziende e nelle istituzioni pubbliche.

La Direttiva NIS 2 ha ampliato l’ambito di applicazione rispetto alla precedente Direttiva NIS, includendo una vasta gamma di nuovi settori, suddivisi in due grandi tipologie: “soggetti essenziali” ossia a alta criticità e “altri settori critici”, includendo così anche le PMI.

L’intervento di Bosch Rexroth

Spiega Alberto Ascoli, Product Manager ctrlX Automation di Bosch Rexroth: «La differenza di fondo tra la precedente Direttiva NIS e quest’ultima, NIS 2, è che la seconda contempla le aziende del comparto industriale, definendo dimensioni e fatturato annuo delle aziende coinvolte». Poi chiarisce: «È vero che la norma investe maggiormente gli end users, ma è altrettanto vero che la direttiva prevede da parte di questi ultimi una valutazione riguardo le policy di sicurezza per l’intera supply chain. Questo incentiva gli OEM a fornire macchine già predisposte verso la cyber security per mantenere il vantaggio competitivo nell’Unione Europea».

Ascoli aggiunge: «Nel discorso si innesta anche il nuovo Regolamento Macchine approvato dalla UE già nel 2023 e che entrerà in vigore nel 2027. L’obiettivo è migliorare la sicurezza delle persone nel mondo industriale, prevedendo procedure volte alla protezione da attacchi informatici che possano compromettere i sistemi di controllo dell’incolumità degli operatori». Il Product Manager di Bosch Rexroth segnala un punto fondamentale: «Questo si applica anche in caso di retrofit: la macchina andrà ricertificata implementando sistemi di sicurezza informatica come se fosse stata realizzata ex novo».

Ragionando sempre di cyber security, Ascoli segnala l’importanza di dotarsi di “sistemi” già progettati per essere sicuri: «È il caso della piattaforma ctrlX Automation di Bosch Rexroth, progettata con un approccio moderno e che risponde nativamente alle esigenze dei costruttori di macchine in termini di sicurezza informatica, e non solo. Il sistema operativo ctrlX OS è basato su un’architettura modulare, che sfrutta le potenzialità della tecnologia SNAP rendendo sicuri e isolati tutti i servizi presenti sul sistema di controllo. L’utente ha inoltre la possibilità di gestire policy di sicurezza ad hoc per la propria applicazione, come definire ad esempio la complessità della password, utenti e permessi, e di poter tracciare tutte le modifiche effettuate nel sistema. Tutto questo viene poi garantito dalla certificazione IEC 62443 4-1 e 4-2, che stabilisce che il prodotto è stato progettato e prodotto seguendo le più recenti linee guida in termini di cyber security industriale».

Utilizzare un sistema secure by design può diventare quindi un vantaggio competitivo per l’utente, che può così concentrarsi a portare il proprio know-how nella progettazione della macchina: «Uno dei casi d’uso dove bisogna avere un’attenzione particolare per la cyber security è sicuramente l’accesso da remoto: durante la pandemia c’è stato un incremento importante nell’utilizzo di questo strumento, ma allo stesso tempo abbiamo aperto le porte delle macchine al mondo esterno, e con questo le abbiamo anche esposte a possibili minacce. Lo standard IEC 62443, che definisce le linee guida per garantire la sicurezza nelle macchine, si esprime in questo caso stabilendo che se un canale viene aperto per accedere da remoto, questo stesso canale deve essere monitorato e, dopo un tempo specifico stabilito dall’utente, chiuso per garantire la sicurezza. Grazie all’architettura modulare di ctrlX OS, siamo in grado di aprire la comunicazione da remoto tramite l’app VPN, monitorarla tracciando le operazioni dell’utente e dopo un tempo stabilito, chiudere il canale sfruttando le potenzialità del ctrlX Data Layer (anch’esso sicuro e protetto da certificati e password). Il tutto senza scrivere una riga di codice, solo configurando il sistema».

Il feedback dai clienti

Rispetto al tipo di atteggiamento riscontrato dai clienti di fronte alle novità normative alle quali doversi adeguare, Ascoli spiega: «C’è consapevolezza e ormai se ne parla da tanto tempo e anche in ambiti non industriali, ma percepiamo da parte loro la necessità di essere guidati anche dai fornitori per trovare la soluzione giusta per le loro applicazioni e per potersi orientarsi nel panorama legislativo».

Il Product Manager di Bosch Rexroth racconta poi che già sono numerosi i casi in cui la società del Gruppo ha contribuito a migliorare la sicurezza informatica di macchine di “vecchia generazione”, ma avverte: «C’è un punto da sottolineare: la cyber security richiede un approccio olistico: un prodotto singolo non è in grado di garantire la sicurezza, bisogna allargare la prospettiva ed includere una mentalità critica in tutto il processo di sviluppo e di produzione. È necessario inoltre ridurre  qualsiasi comportamento rischioso tenuto, seppure in buona fede, all’interno dell’azienda. Bisogna quindi investire molto nella formazione delle proprie persone per diventare più consapevoli dei pericoli legati alla sicurezza informatica».