Guida rapida per costruttori di macchine: come riconoscere un certificato di cybersecurity valido

Nel panorama industriale attuale, la cybersecurity non è più un valore aggiunto, ma un requisito di mercato e normativo. Tuttavia, non tutti i documenti che sembrano certificazioni lo sono realmente. Comprendere la differenza aiuta a scegliere fornitori affidabili ed evitare rischi tecnici, legali e reputazionali.

Certificazioni generali come ISO 27001 certificano l’organizzazione aziendale, ma non attestano che un prodotto specifico sia sicuro contro gli attacchi informatici. Per questo serve una certificazione di prodotto specifica (IEC 62443-4-2).
Non bisogna quindi presumere che il prodotto sia sicuro solo perché il fornitore possiede la certificazione ISO 27001. Verifica sempre la certificazione IEC 62443 specifica del componente.

In questo blog vedremo:

• Che cos’è una vera certificazione
• I segnali di allarme delle “autodichiarazioni” 
• Come verificare rapidamente un fornitore  
• Un aiuto per i costruttori di macchine

Che cos’è una vera certificazione

Osservando ad esempio il certificato IEC 62443-4-2 ottenuto dai SecureEdge gateway di IXON, è possibile riconoscere le caratteristiche di una certificazione autentica di cybersecurity industriale:

• è rilasciata da un organismo di certificazione indipendente accreditato (ad esempio Bureau Veritas, TÜV o UL)
• Segue uno schema internazionale ufficiale, come quello gestito da IECEE (IEC system of conformity assessment schemes for electrotechnical equipment and components):
  
• Può essere verificata pubblicamente attraverso database globali:
  
  
   Esempio di ricerca con il certificato IEC 62443-4-2 di IXON 
  
  
• Indica chiaramente:

lo standard certificato (ad esempio una parte specifica della norma) e il Security Level o Maturity Level raggiunto, in base al tipo di certificazione

• il prodotto o componente coperto dalla certificazione
  

Pensiamo a una patente di guida.
Una "Dichiarazione" è semplicemente un amico che dice che guidi bene.
Una "Certificazione" è il documento ufficiale rilasciato dall’autorità competente dopo aver superato l’esame.

Scopri di più sulla nostra certificazione IEC 62443-4-2.

I segnali di allarme delle "autodichiarazioni"

Una dichiarazione di conformità o una dichiarazione non accreditata:

• Può essere emessa da società di consulenza o terze parti non autorizzate
• Non prevede audit indipendenti riconosciuti
• Spesso elenca numerosi standard (ad esempio NIST, BSI, OWASP) senza certificare realmente nessuno di essi
• Non può essere verificata in registri ufficiali.

 In breve: è una dichiarazione, non una prova. 

Come verificare rapidamente un fornitore

Quando un fornitore afferma di essere certificato, chiedi sempre i seguenti elementi, riscontrabili ad esempio nel nostro certificato IEC 62443-4-1 sullo sviluppo sicuro del software:

• Numero ufficiale del certificato

• organismo che ha rilasciato la certificazione
• standard e Security Level o Maturity Level raggiunto (a seconda della certificazione)
• È possibile fare una verifica pubblicamente attraverso database globali: certificates.iecee.org

Esempio di ricerca con il certificato IEC 62443-4-1 di IXON. Scopri di più.

Se non sono in grado di fornire queste informazioni, o un link diretto al certificato nel registro, probabilmente non si tratta di una vera certificazione.

Un aiuto per i costruttori di macchine

Una certificazione reale dimostra la conformità verificata da terze parti indipendenti. I SecureEdge gateway di IXON sono tra i primi edge gateway al mondo certificati IEC 62443-4-2. Utilizzare componenti industriali certificati facilita il processo di certificazione IEC 62443-3-3 relativa alla macchina, sempre più richiesta dai clienti finali del settore industriale.

Infatti, le nuove normative europee fanno sempre più riferimento ai requisiti IEC. Utilizzando componenti già certificati IEC, è possibile dimostrare più rapidamente la conformità agli obblighi previsti dalla NIS2, dal Cyber Resilience Act (CRA) e dal nuovo Regolamento Macchine (UE) 2023/1230.