Le macchine oggi sono sistemi digitali. Sono guidate da software, connesse, accessibili da remoto e generano continuamente dati operativi e di utilizzo. Con il Cyber Resilience Act e l’EU Data Act, l’Unione Europea risponde proprio a questa evoluzione. Entrambe le normative intervengono nello stesso contesto tecnico.
Il calendario normativo è già molto concreto. L’EU Data Act si applica dal 12 settembre 2025. I primi obblighi del Cyber Resilience Act, inclusa la segnalazione obbligatoria delle vulnerabilità attivamente sfruttate, entrano in vigore da settembre 2026, mentre la piena conformità al CRA diventa obbligatoria da dicembre 2027. Per i costruttori di macchine, questo significa che la fase di preparazione è già iniziata.
Per i costruttori di macchine, ciò implica che sicurezza, accesso ai dati e architettura dei servizi non possono più essere considerati separatamente, ma devono essere gestiti come una responsabilità condivisa.
Il Cyber Resilience Act è una regolamentazione di prodotto per dispositivi con elementi digitali. Si applica quindi anche alle macchine industriali, ai sistemi di controllo e al software utilizzato al loro interno. Al centro c’è una domanda fondamentale:
Una macchina connessa può essere utilizzata in modo sicuro in tutto il suo ciclo di vita?
Il CRA richiede, tra le altre cose:
Questo obbligo riguarda principalmente le vulnerabilità nei componenti digitali della macchina. Se però un OEM utilizza componenti certificati di terze parti (ad esempio per connettività o accesso remoto) gran parte della responsabilità per il monitoraggio e la segnalazione delle vulnerabilità ricade sul fornitore del componente. Questo riduce significativamente il carico amministrativo per i costruttori.
Per i costruttori di macchine, si tratta di un cambiamento di prospettiva. La cybersecurity non termina con la messa in servizio. I produttori restano responsabili per l’intera durata prevista del software e dei componenti digitali, spesso cinque anni o più. La cybersecurity diventa quindi parte integrante della conformità del prodotto e non si esaurisce con la consegna della macchina.
Al più tardi al momento della messa in servizio, l’accesso remoto diventa rilevante per la sicurezza. Dal punto di vista normativo, ogni connessione remota è considerata un punto di ingresso digitale nella macchina. Se questo accesso non è adeguatamente protetto, mette a rischio il funzionamento sicuro della macchina.
Per questo motivo, il CRA considera le soluzioni di accesso remoto componenti critici per la sicurezza. Se la connessione è debole o non certificata, la responsabilità ricade sul produttore.
In pratica, ciò significa che le macchine devono essere fornite con porte chiuse, credenziali ben definite e meccanismi di sicurezza integrati fin dall’inizio. Se questi requisiti non vengono rispettati, il prodotto è considerato non sicuro e non può essere immesso sul mercato.
With CRA enforcement milestones approaching from 2026 onward, the choice of secure and certified remote access technology becomes a strategic architectural decision.
L’EU Data Act segue un approccio diverso. Non è una normativa sulla sicurezza, ma una regolamentazione dei dati e del mercato. Si concentra sui dati generati dall’uso di prodotti connessi, anche in ambito industriale..
Il Data Act disciplina:
L’EU Data Act copre praticamente tutti i dati generati da una macchina durante il funzionamento, come dati di sensori, di stato e diagnostici. Se in passato i costruttori consideravano questi dati una propria risorsa, il Data Act ribalta questa logica: l’operatore della macchina ottiene un diritto di accesso legalmente garantito.
La sfida principale consiste nel distinguere tra dati grezzi di utilizzo e algoritmi proprietari o segreti industriali. Questa distinzione deve essere implementata chiaramente, sia dal punto di vista tecnico che contrattuale.
In pratica, Cyber Resilience Act ed EU Data Act si incontrano nello stesso punto: la connessione internet della macchina.
L’accesso remoto è, secondo il CRA, un punto critico per la sicurezza. Allo stesso tempo, secondo l’EU Data Act, è il canale tecnico per l’accesso e la condivisione dei dati.
Se l’accesso è troppo restrittivo, può impedire l’accesso ai dati richiesto per legge. Se è troppo aperto, genera vulnerabilità. I costruttori devono quindi imparare a progettare insieme sicurezza e accesso ai dati, anziché considerarli in contrapposizione.
Entrambe le normative modificano profondamente presupposti chiave dell’ingegneria meccanica. La cybersecurity diventa parte della strategia di prodotto, non solo dell’IT. L’accesso ai dati diventa parte della relazione con il cliente. I servizi remoti diventano visibili a livello normativo. Le decisioni su cloud e piattaforme assumono un’importanza strategica.
Un errore comune è sottovalutare gli obblighi a lungo termine. Gli aggiornamenti di sicurezza devono essere garantiti anche anni dopo la vendita. Allo stesso tempo, i modelli contrattuali esistenti vengono messi sotto pressione: rivendicare la proprietà totale dei dati delle macchine non è più sostenibile secondo l’EU Data Act.
In futuro, il vantaggio competitivo non dipenderà dal possesso dei dati, ma dalla capacità di generare valore sostenibile a partire da essi.
Il Cyber Resilience Act e l’EU Data Act definiscono nuove linee guida per l’industria meccanica digitale.
Sicurezza, accesso ai dati e servizi remoti diventano fattori strategici che determinano accesso al mercato, relazioni con i clienti e competitività.
I costruttori che integrano questi aspetti fin da subito riducono i rischi normativi e creano le basi per modelli di business scalabili e sostenibili.
In pratica, questo significa anche che non è necessario sviluppare internamente ogni architettura di sicurezza e dati. L’utilizzo di componenti industriali specializzati e certificati può ridurre significativamente il carico di conformità.
Un esempio sono i gateway industriali progettati per connessioni remote sicure e accesso controllato ai dati. Soluzioni come i SecureEdge gateway sono certificate IEC 62443-4-2, supportando i requisiti di sicurezza del Cyber Resilience Act e offrendo al contempo API aperte per la condivisione dei dati secondo l’EU Data Act.
Per molti costruttori, l’uso di componenti certificati rappresenta quindi il modo più efficiente per raggiungere la conformità senza dover sviluppare l’intera infrastruttura internamente.
Il Cyber Resilience Act (CRA) è una regolamentazione di prodotto. Garantisce che macchine connesse e software siano sicuri per l’intero ciclo di vita, dallo sviluppo all’esercizio. La sicurezza diventa quindi un requisito per l’immissione sul mercato.
L’EU Data Act è invece una regolamentazione dei dati e del mercato. Disciplina l’accesso ai dati delle macchine e rafforza i diritti degli utenti di utilizzare questi dati o condividerli con terze parti.
In breve: il CRA tiene fuori gli attaccanti, mentre il Data Act stabilisce chi può entrare.
Entrambe le normative agiscono sullo stesso punto tecnico: la connessione internet della macchina.
L’accesso remoto è allo stesso tempo critico per la sicurezza (CRA) e rilevante per i dati (EU Data Act).
Considerare separatamente le due normative può generare conflitti, ad esempio misure di sicurezza troppo restrittive che impediscono l’accesso ai dati, oppure interfacce troppo aperte che creano vulnerabilità. Solo un approccio integrato consente di far funzionare insieme sicurezza e accesso ai dati.
L’accesso remoto diventa l’interfaccia centrale di conformità. Secondo il CRA, deve essere sicuro, chiaramente autenticato e tracciabile. Secondo l’EU Data Act, lo stesso accesso consente un accesso controllato ai dati della macchina.
Di conseguenza, l'accesso remoto evolve da semplice strumento di assistenza a elemento architetturale rilevante dal punto di vista normativo.
Sono principalmente coinvolti i dati generati durante il funzionamento della macchina, tra cui:
dati operativi e di utilizzo
dati di stato e di performance
dati di manutenzione e diagnostica
In generale, non rientrano invece nel perimetro il codice sorgente, la documentazione progettuale o gli algoritmi proprietari. La sfida consiste nel separare chiaramente queste categorie sia a livello tecnico che contrattuale.
Il primo passo è una mappatura digitale:
quali componenti software sono presenti sulla macchina
quali dati vengono generati e dove
quali accessi e interfacce esistono
Su questa base, è necessario definire chiaramente diritti di accesso, flussi di dati e responsabilità. Solo con questo livello di trasparenza è possibile soddisfare in modo sostenibile i requisiti del Cyber Resilience Act e dell’EU Data Act nel lungo periodo.