Logo 25 Jahre KAN

KANBrief 2/17

La sicurezza nel quadro del passaggio all’Industria 4.0

© elenabsl/fotolia.com

L’Industria 4.0 è sinonimo di completa interconnessione tra persone, macchine e impianti. Data l’interazione tra di essi, per tutelare le persone non basta tenere conto della sicurezza funzionale (“functional safety”, p. es. l’arresto dei macchinari laddove venga attraversata una barriera fotoelettrica). Altrettanto importante è la sicurezza dell'informazione (“security”, p. es. la protezione della programmazione di robot da manipolazioni poste in atto tramite la rete).

Il nesso esistente tra sicurezza funzionale e sicurezza dell’informazione è illustrato nella regola di applicazione VDE-AR-E 2802-10-1:2017-041. Praticare una distinzione tra questi due tipi di sicurezza è utile a riconoscere eventuali conflitti di obiettivi nel quadro della valutazione del rischio.

Secondo quanto emerso nel workshop del CEN intitolato “Functional safety & cybersecurity” è improbabile che persone e ambiente possano subire dei danni a seguito dell'accesso ai sistemi da parte di terzi2. Come dimostrano i più recenti avvenimenti, infatti, gli hacker criminali perseguono perlopiù obiettivi economici. Ciò non esclude tuttavia che finiscano per danneggiare, seppur accidentalmente, persone e ambiente. In un periodo segnato dal terrorismo, inoltre, non è escluso che questi ultimi possano entrare nel mirino di attacchi.

Questioni giuridiche
Il concretizzarsi dell’Industria 4.0 dipende in larga misura dal consenso degli utilizzatori, i quali si aspettano che i prodotti da loro impiegati e i processi interconnessi in cui sono integrati siano sicuri. Nell'eventualità di un accesso non autorizzato da parte di terzi, per l’utilizzatore la questione di chi sia chiamato a rispondere è rilevante. Allo stato attuale, tuttavia, gli accessi non autorizzati sollevano ancora questioni di principio in termini di diritto sia penale che della responsabilità.3,4 Dando luogo alla presunzione di conformità ed essendo intese a descrivere lo stato dell’arte, le norme tecniche possono a tal proposito assumere una grandissima importanza. Per la KAN, dunque, è anche interessante chiarire alcune questioni di diritto amministrativo:

  • Qual è la portata della responsabilità di chi mette in circolazione un prodotto nel quadro della legge tedesca sulla sicurezza dei prodotti e della legislazione europea relativa al mercato interno? Queste coprono solo l’uso per lo scopo previsto e l’uso scorretto (ragionevolmente) prevedibile da parte dell’utilizzatore, ma non l’abuso contestualmente a un atto criminale.
  • Servono allora delle regole supplementari? Oppure, generalizzando, si potrebbero inquadrare gli eventuali, singoli interventi criminali dall’esterno come una sorta di “rete inquinata” e considerarli come una “condizione ambientale” prevedibile, alla stregua d’influssi climatici o guasti alla rete elettrica? Questa sarebbe coperta dalle normative in materia di mercato interno.
  • Da ciò dipende a sua volta la risposta a quesiti come quelli seguenti: una norma armonizzata – p. es. elaborata sulla base della Direttiva macchine – andrebbe ancora considerata come completa laddove non tratti (o tratti in maniera insoddisfacente) gli attacchi dall’esterno posti in atto da terzi contro un prodotto interconnesso? Gli organi di sorveglianza del mercato potrebbero agire contro un prodotto che al momento della sua messa in circolazione non sia sufficientemente protetto da eventuali attacchi dall’esterno?

Già nel luglio del 2014 il CENELEC ha pubblicato la Guide 325. Il documento sollecita a tenere presenti, nelle norme elaborate in base alla Direttiva sulla bassa tensione, le questioni relative alla sicurezza dell’informazione. Nel febbraio del 2017 l‘ISO/TC 199 “Safety of machinery” ha approvato un nuovo progetto di normazione provvisorio dal titolo “Guidance and consideration of related security aspects”. Con la relazione tecnica ISO/TR 22100-4 s’intende creare una guida che illustri il nesso esistente tra la ISO 12100 “Sicurezza del macchinario” e gli aspetti della sicurezza dell'informazione rilevanti per le macchine.

Maggiore interconnessione tra tecnici e informatici
Per quanto riguarda la normazione nel campo della sicurezza funzionale e della sicurezza dell’informazione, CEN/CENELEC e ISO/IEC stanno portando avanti una serie di attività ricche di sfaccettature – finora, tuttavia, in mondi separati. In futuro la sicurezza dell’informazione dovrà essere considerata dagli esperti di sicurezza dei prodotti e, viceversa, i vari aspetti della sicurezza funzionale dovranno essere tenuti maggiormente in conto dagli esperti di tecnologie dell’informazione.

Gli organismi di normazione dovrebbero unire i loro sforzi per ottenere un più stretto collegamento tra “safety” e “security”, in modo da conciliare dei punti di vista tradizionalmente differenti. Solo così sarà possibile tenere conto – precocemente e con successo – degli aspetti rilevanti rispetto alla prevenzione sul lavoro. Occorrerà inoltre provvedere in modo tempestivo e trasparente a disciplinare gli aspetti giuridici, in maniera tale che possa compiersi il passaggio all’Industria 4.0.

Sebastian Korfmacher korfmacher@kan.de     Corrado Mattiuzzo mattiuzzo@kan.de

1 “Zusammenhang zwischen funktionaler Sicherheit und Informationssicherheit am Beispiel der Industrieautomation – Teil 1: Grundlagen” [Il nesso tra sicurezza funzionale e sicurezza dell’informazione illustrato sulla scorta dell’automazione industriale – Parte 1: fondamenti] [in lingua tedesca]
2 www.kan.de/service/wir-berichten-fuer-sie/detailansicht/workshop-functional-safety-cybersecurity-bei-cen-am-1632017 [in lingua tedesca]
3 Rockstroh/Kunkel, IT-Sicherheit in Produktionsumgebungen, MMR 2/2017 MMR [in lingua tedesca].
4 Bräutigam/Klindt: Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, 1137  [in lingua tedesca].
5 CENELEC Guide 32:2014-07 “Guidelines for Safety Related Risk Assessment and Risk Reduction for Low Voltage Equipment”, attualmente in fase di revisione ftp://ftp.cencenelec.eu/CENELEC/Guides/CLC/32_CENELECGuide32.pdf