Il Cyber Resilience Act dell'Unione Europea entra nel perimetro della comunicazione industriale e chiama in causa direttamente Profinet, che secondo un’analisi tecnica di Profibus & Profinet International è già in grado di supportare la conformità ai requisiti europei. L’applicazione del regolamento, prevista da dicembre 2027, richiederà infatti misure strutturate di cybersecurity per tutti i prodotti con elementi digitali, inclusi dispositivi e sistemi di automazione.
Dopo una valutazione approfondita delle proprie specifiche, PI conclude che le attuali installazioni Profinet possono essere mantenute e ampliate in modo progressivo. La chiave è l’approccio basato sul rischio, richiesto dal Cra. I costruttori devono analizzare gli scenari di attacco e definire le contromisure necessarie. In questo quadro, Profinet mette già a disposizione un’architettura modulare, adattabile a diversi livelli di esposizione.
Cyber Resilience Act e architettura di sicurezza Profinet
Il Cyber Resilience Act non impone soluzioni uniche. Al contrario, richiede misure proporzionate. Profinet risponde con building block di sicurezza integrabili in funzione delle esigenze applicative. Il primo livello è Secure Cell. Qui la segmentazione della rete e il controllo degli accessi permettono di isolare celle e zone. Queste funzioni sono già disponibili e saranno ulteriormente rafforzate con la specifica Profinet V2.5, che introduce misure aggiuntive di hardening.
Segue Secure Access. Questo blocco consente l’accesso sicuro ai dispositivi da reti di livello superiore. È un aspetto sempre più rilevante, soprattutto per applicazioni di asset management e analisi dei dati. L’obiettivo è garantire l’accessibilità senza compromettere la sicurezza.
Infine, Secure Realtime. In questo caso, l’attenzione si sposta sulla protezione della comunicazione real-time. Integrità, autenticazione e, quando richiesto, riservatezza dei dati vengono garantite tramite meccanismi crittografici. Un requisito centrale per le infrastrutture critiche e per gli impianti distribuiti.
Dalla valutazione del rischio alla conformità normativa
I building block Secure Access e Secure Realtime sono descritti nella specifica Profinet V2.5, la cui pubblicazione è prevista per la metà del 2026. Il loro sviluppo avviene in collaborazione con Tüv Süd e si basa sullo standard Iec 62443, riferimento per la sicurezza dei sistemi di automazione industriale.
L’approccio di Profinet consente quindi di affrontare il Cyber Resilience Act in modo graduale. Le aziende possono partire dalle installazioni esistenti. Poi, possono rafforzarle in base alla propria analisi del rischio. Senza interventi radicali. Senza perdita di prestazioni. In questo modo, la conformità al Cra diventa un percorso tecnico strutturato, coerente con l’evoluzione dei sistemi di automazione industriale.