In officina siamo abituati a pensare alla sicurezza come a qualcosa di solido e tangibile: un riparo in acciaio, una barriera a fotocellule, un robusto pulsante a fungo per l’emergenza. Per decenni, del resto, proteggere l’operatore ha significato soprattutto isolare fisicamente il pericolo.

Tuttavia, nell'era delle fabbriche connesse, questo approccio non basta più.

Da qualche tempo siamo entrati in una fase dove la Safety – la sicurezza funzionale, che evita l'infortunio – dipende anche dalla Cyber Security, ovvero la protezione dei sistemi informatici: se un malfunzionamento o un’alterazione del software ha il potere di disattivare un dispositivo di sicurezza, è evidente che il rischio va gestito valutando entrambi gli aspetti, poiché il riparo in acciaio, se preso singolarmente, risulta non sufficiente a garantire la sicurezza della macchina o impianto.

Cosa cambia con il nuovo Regolamento Macchine (UE) 2023/1230

In questo contesto, Il passaggio definitivo dalla Direttiva Macchine 2006/42/CE al Nuovo Regolamento (UE) 2023/1230 dal 20 gennaio 2027 non è solo un semplice cambio di nomi, ma una presa di coscienza sostanziale: le macchine di oggi sono sempre più "intelligenti" e “connesse”, e hanno quindi bisogno di regole nuove.

Il Nuovo Regolamento Macchine dice infatti chiaramente che una macchina non è sicura se il suo sistema di controllo è vulnerabile.

A tal proposito, vanno citati due Requisiti Essenziali di Sicurezza:

• Integrazione della sicurezza (RES 1.1.2): Non si tratta più solo di aggiungere protezioni a una macchina finita. La sicurezza deve essere "nativa", pensata fin dal primo schizzo del progetto per resistere a guasti tecnici e a manomissioni, siano esse accidentali o volontarie.

• Protezione contro la corruzione (RES 1.1.9): Si tratta di un requisito contro la corruzione accidentale o intenzionale tramite accessi fisici - come porte USB o tastiere di programmazione - e accessi da remoto per macchine collegate in rete locale o internet, che potrebbero alterare i parametri di sicurezza. Nello specifico, impone che le connessioni esterne, come la teleassistenza via VPN o sensori collegati al cloud, non possano creare una situazione pericolosa, mantenendo il software della macchina blindato e incorruttibile.

Il Cyber Resilience Act e la Trasparenza degli Incidenti

Ad affiancare il Regolamento Macchine interviene il Cyber Resilience Act (CRA), un atto comunitario che stabilisce i requisiti di cybersicurezza per tutti i prodotti con elementi digitali.

In particolare, tra gli elementi fondamentali del CRA troviamo l'introduzione della Single Reporting Platform (SRP), piattaforma per la segnalazione obbligatoria delle vulnerabilità sfruttate e degli incidenti di sicurezza. L'obiettivo è creare un database condiviso che permetta ai CSIRT (Computer Security Incident Response Teams) e ai fabbricanti di reagire tempestivamente alle minacce, aumentando la resilienza dell'intero mercato unico digitale.

L'introduzione della SRP impone ritmi serrati: i fabbricanti dovranno segnalare qualsiasi vulnerabilità sfruttata o incidente grave entro 24 ore dalla scoperta, rispettando quindi uno standard di reattività operativa da tenere in considerazione durante la fase di post-vendita.

Strumenti del mestiere: ISO 12100, IEC 62443 e AI Act

Per mettere in pratica tutte queste nuove regole, i progettisti hanno bisogno di linee guida precise.

• la nuova ISO 12100:2025 si avvia a diventare il riferimento armonizzato principale, accorpando indicazioni che prima erano frammentate in vari documenti tecnici (come i rapporti ISO/TR 22100-4 e -5) e trasformando quindi la valutazione del rischio cyber security da 'consiglio tecnico’ a passaggio obbligato per ottenere la presunzione di conformità ai nuovi RES del Regolamento.

• Sul piano operativo, lo standard di riferimento resta invece la serie IEC 62443, che segmenta le reti aziendali secondo il modello "Zone e Condotti", che mira a creare delle "stanze" isolate all'interno del sistema informatico della fabbrica. In questo modo, se un virus entra nella rete degli uffici, non deve avere modo di arrivare alla rete che controlla i motori e le emergenze della macchina.

Non possiamo inoltre dimenticare che il Regolamento Macchine 2023/1230 cammina di pari passo con l'AI Act: se una macchina utilizza sistemi di Intelligenza Artificiale per gestire funzioni di sicurezza (ad esempio, sistemi di visione avanzati per il rilevamento umano), la cybersicurezza diventa il prerequisito per evitare che il 'cervello' della macchina venga manipolato o fornisca risposte errate a causa di dati corrotti.

Sicurezza sul lavoro: valutare i cyber-rischi

Oggi, consegnare una macchina senza aver analizzato i suoi rischi informatici è come consegnarla senza la protezione della lama. Non si tratta solo di dati trascurabili, ma di un reale rischio da gestire e evitare per mantenere la conformità CE e garantire la sicurezza: basta una variazione software che modifica la velocità di rotazione di una lama o che inibisce un comando di stop per generare situazioni di pericolo e incidenti sul lavoro.

Fare questa analisi significa quindi mappare ogni porta USB, ogni modulo Wi-Fi e ogni accesso remoto, chiedersi quali conseguenze può generare un accesso indesiderato o un guasto a ciascuno di essi, per poter prevedere, valutare e gestire i rischi che ne derivano, ad esempio introducendo barriere digitali.

Proprio come nel caso di rischi e barriere fisiche, tutto questo deve essere scritto e documentato nel Fascicolo Tecnico: senza, la macchina non risulta più conforme ai requisiti di conformità CE.

Cybersicurezza e Conformità CE: date e scadenze da ricordare

Il percorso verso la conformità è ormai noto e tracciato. Ricordiamo infatti che:

• L’11 Settembre 2026 entra in vigore l'obbligo di segnalazione delle vulnerabilità e degli incidenti tramite la piattaforma SRP prevista dal Cyber Resilience Act, che sarà pienamente operativo a partire dall'11 dicembre 2027.

• Il 20 Gennaio 2027 il Regolamento Macchine (UE) 2023/1230 diventa pienamente obbligatorio. Da questa data, ogni macchina immessa sul mercato UE dovrà soddisfare i nuovi requisiti di protezione informatica, senza periodi di transizione.

Ottenere la conformità CE significa quindi progettare e produrre macchine che siano non solo produttive, ma realmente protette da ogni tipo di interferenza, ed è più che mai necessario dedicarsi a valutare attentamente la sicurezza delle macchine in ogni fase e sotto ogni aspetto – fisico o digitale che sia.

Prima volta da queste parti?

Iscriviti gratuitamente alla Newsletter di MTM NEWS per ricevere avvisi via mail ad ogni nuova pubblicazione e accedere ad approfondimenti esclusivi in anteprima (niente spam, promesso!).

Dopo l’iscrizione riceverai subito il nostro e-book esclusivo in omaggio!