Per molti anni ci siamo concentrati sulla cybersecurity dei sistemi IT, un aspetto che è diventato sempre più importante con l’IT che si integra sempre di più nella società. Attualmente si assiste all’integrazione dell’IT con sistemi che storicamente sono stati separati dai sistemi IT, in particolare i sistemi industriali.

Introduzione

Negli ultimi anni, la cybersecurity si è concentrata principalmente sui sistemi IT, riflettendo la crescente digitalizzazione della società. Oggi, però, stiamo assistendo a una profonda trasformazione: l’integrazione tra sistemi IT e sistemi OT industriali (ICS/SCADA), storicamente separati (air gapped) pone nuove sfide e apre scenari inediti, imponendo un ripensamento delle strategie di sicurezza.

Che cos’è lo standard IEC 62443

La IEC 62443 è una norma costituita da una serie di standard (parti) che mirano all’implementazione di un preciso framework incentrato sulla sicurezza dei Sistemi di Automazione e Controllo Industriale (Industrial Automation and Control Systems – IACS). Tali standard sono stati sviluppati dalla Commissione Elettrotecnica Internazionale (International Electrotechnical Commission – IEC) e mirano a fornire un quadro strutturato per gestire e mitigare i rischi associati alla cybersicurezza/cyber resilienza industriale.

Aspetti chiave della IEC 62443

Di seguito gli aspetti chiave dello standard.

Ambito e Modelli – L’IEC 62443 si applica a tutti i tipi di Sistemi di Controllo Industriale (ICS), inclusi i sistemi di Controllo Supervisore e Acquisizione Dati (Supervisory control and data acquisition –SCADA), i Sistemi di Controllo Distribuiti (Distributed Control Systems – DCS) e altri tipi di sistemi di controllo utilizzati in settori industriali come manifatturiero, energia, chimica e altri.

Lo standard presenta modelli e concetti che definiscono come i sistemi industriali dovrebbero essere organizzati e protetti.

Livelli di Sicurezza – Lo standard IEC62443 definisce quattro Livelli di Sicurezza (Security Level – SL) – da SL 1 a SL 4 – ciascuno corrispondente a un insieme di minacce e capacità di sicurezza

• SL 1: Protegge da violazioni casuali o casuali. Questo livello protegge da errori umani involontari e non malevoli.
• SL 2: Protegge contro violazioni intenzionali tramite mezzi semplici. Questo livello difende dalle minacce poste da individui con bassa motivazione, risorse, strumenti e tecniche di base.
• SL 3: Protegge contro violazioni intenzionali tramite mezzi sofisticati. Questo livello salvezza da attacchi da individui con risorse moderate e avversari motivati che utilizzano strumenti avanzati.
• SL 4: Protegge contro violazioni intenzionali utilizzando mezzi avanzati con risorse estese. Questo livello protegge da minacce avanzate che potrebbero avere un impatto distruttivo.

Questi livelli di sicurezza, una volta individuati lungo tutta l’architettura di sistema/industria, aiutano le organizzazioni a valutare la loro attuale postura di sicurezza e a implementare misure per raggiungere il livello migliore possibile in termini di protezione/resilienza cyber.

Requisiti fondamentali della conformità IEC 62443

Ogni livello di sicurezza IEC 62443 può essere associato a sette requisiti fondamentali per garantire una sicurezza significativa e, precisamente:

1. Controllo di identificazione ed autenticazione dell’user – Ogni utente, inclusi esseri umani, processi software, dispositivi e altre entità, deve essere identificato e autenticato prima di accedere al sistema ICS.
2. Controllo dei privilegi – A ogni utente autenticato dovrebbero essere concessi i privilegi assegnati per eseguire le azioni richieste sul sistema (sotto processo per sotto processo industriale).
3. Integrità del sistema – L’integrità del sistema viene mantenuta proteggendola da utenti non autorizzati e da modifiche.
4. Riservatezza dei dati – Le informazioni sensibili e riservate sono protette da accessi non autorizzati.
5. Flusso di dati limitato – Il sistema di controllo è impedito dal flusso o dalla perdita di dati in varie zone tramite la segmentazione.
6. Risposta tempestiva agli eventi – Vengono garantite risposte tempestive agli incidenti di sicurezza, adottando le azioni appropriate.
7. Disponibilità delle risorse – Le risorse essenziali sono garantite e rimangono disponibili durante un attacco per evitare il degrado dei servizi.

Valutazione del rischio e progettazione del sistema – Uno degli aspetti fondamentali della IEC 62443 è l’enfasi sulla valutazione del rischio e sulla progettazione sistematica delle misure di sicurezza. Ciò incoraggia le organizzazioni a: identificare potenziali vulnerabilità nei loro sistemi; valutare i rischi associati a tali vulnerabilità; implementare misure di sicurezza appropriate per mitigarli.

Politiche e Procedure – L’IEC 62443, oltre alle misure tecniche, copre anche la necessità di politiche, procedure e formazione organizzative a supporto della cybersecurity industriale. Ciò include:

• la pianificazione della risposta agli incidenti;
• la gestione delle patch di sicurezza;
• programmi di formazione e sensibilizzazione degli utenti.

Certificazione e conformità – Esistono vari schemi di certificazione per verificare la conformità agli standard IEC 62443. Tali certificazioni aiutano le organizzazioni a dimostrare il loro impegno verso le migliori pratiche di cybersecurity e possono essere un prerequisito in determinati settori o per determinati clienti.

È doveroso evidenziare che la serie IEC 62443 è considerata cruciale per la sicurezza informatica degli ambienti industriali, soprattutto considerando la crescente connettività di questi sistemi e le potenziali conseguenze degli attacchi informatici alle infrastrutture critiche. Essa fornisce un quadro completo che aiuta le organizzazioni di vari settori industriali a: identificare, mitigare e gestire efficacemente i rischi di cybersecurity.

Sezioni della IEC 62443

Esaminiamo alcuni dettagli delle singole sezioni della IEC 62443, ovvero:

IEC 62443-1 – Lo standard IEC 62443-1 si concentra sulla cybersecurity dei Sistemi di Automazione e Controllo Industriale (IACS) e fornisce un insieme strutturato di linee guida e specifiche tecniche per proteggere i sistemi di automazione industriale durante tutto il loro ciclo di vita. Esso affronta vari aspetti, dalla terminologia e concetti ai requisiti tecnici e ai livelli di sicurezza. Inoltre, tratta gli aspetti generali dello standard, inclusi terminologia, concetti e modelli che sono fondamentali per il resto della serie.

IEC 62443-2 – La parte IEC 62443-2 dello standard, in particolare, IEC 62443-2-1 e IEC 62443-2-4 si concentrano sugli aspetti di gestione della sicurezza e fornitori di servizi all’interno dei Sistemi di Automazione e Controllo Industriale (IACS). Ovvero:

• IEC 62443-2-1 – Essa è rivolta agli operatori di soluzioni di automazione e delinea i requisiti per mantenere la sicurezza durante il funzionamento degli impianti industriali. Questa parte è allineata ai principi presenti in ISO/IEC 27001, che enfatizza la gestione dei processi di sicurezza e l’istituzione di un programma di sicurezza su misura per le esigenze dei proprietari di asset.
• La IEC 62443-2-4, invece, dettaglia i requisiti del programma di sicurezza per i fornitori di servizi IACS, specificando le capacità che i fornitori di servizi dovrebbero offrire ai proprietari di asset durante l’integrazione e la manutenzione di una soluzione di automazione. Questa parte dello standard si concentra su aspetti quali: assicurazione, architettura, sistemi di ingegneria della sicurezza, gestione della configurazione, accesso remoto e gestione delle patch.

Entrambe le parti sono fondamentali per garantire che sia i proprietari di asset sia i fornitori di servizi all’interno dell’ecosistema IACS rispettino un insieme coerente di pratiche di sicurezza, migliorando così la postura complessiva di sicurezza degli ambienti industriali.

IEC 62443-3 – Si concentra su vari aspetti della sicurezza per i Sistemi di Automazione e Controllo Industriale (IACS) ed include:

• IEC 62443-3-1 – Si occupa delle tecnologie di sicurezza per IAC e fornisce una valutazione aggiornata degli strumenti di cybersecurity, delle contromisure di mitigazione e delle tecnologie che potrebbero essere applicate efficacemente agli IACS elettronici moderni in vari settori e ambienti infrastrutturali critici. Inoltre, essa comprende diverse categorie di tecnologie di cybersecurity centrate sul sistema di controllo, illustrando i tipi di prodotti disponibili, i loro vantaggi e svantaggi, e raccomandazioni preliminari per il loro utilizzo.
• IEC 62443-3-2 – Stabilisce i requisiti per definire un sistema in considerazione (System Under Consideration -SUC) per un IACS e le sue reti associate. Consiste nel suddividere il SUC in zone e condotti, valutare il rischio per ciascuno e stabilire obiettivi di livello di sicurezza per ogni zona e condotto. Questa parte si occupa anche di documentare i requisiti di sicurezza necessari per progettare, implementare, operare e mantenere adeguate misure tecniche di sicurezza, sottolineando l’importanza della gestione del rischio nella sicurezza IACS (Industrial Cyber).
• IEC 62443-3-3 – Definisce i requisiti dettagliati del sistema di controllo tecnico associati a sette requisiti fondamentali descritti nel più ampio quadro IEC 62443. Essa delinea i requisiti per i livelli di sicurezza delle capacità dei sistemi di controllo, fornendo indicazioni per vari stakeholder della comunità IACS, inclusi utenti finali e fornitori di servizi.

È doveroso evidenziare che questi componenti della parte IEC 62443-3 lavorano insieme per garantire un approccio completo alla valutazione, all’implementazione e al mantenimento delle misure di cybersecurity all’interno dei sistemi di automazione e di controllo industriale, affrontando gli aspetti sia tecnologici sia procedurali della sicurezza.

IEC 62443-4 – Questa parte dello standard è dedicata al ciclo di vita sicuro dello sviluppo prodotto e ai requisiti di sicurezza tecnica per i componenti dei Sistemi di Automazione e Controllo Industriale (IACS). Essa si compone di 2 parti:

IEC 62443-4-1 – Si concentra sull’istituzione di un quadro per lo sviluppo sicuro dei prodotti, al fine di garantire che i prodotti utilizzati all’interno dell’IACS siano sviluppati fin dall’inizio con considerazioni di sicurezza. Inoltre, copre vari aspetti quali: la gestione dello sviluppo, la definizione dei requisiti di sicurezza, la progettazione di soluzioni di sicurezza, lo sviluppo sicuro, il test delle funzionalità di sicurezza, la gestione delle vulnerabilità e la documentazione delle funzionalità di sicurezza. L’obiettivo è guidare i produttori nella creazione di prodotti sicuri per progettazione, contribuendo così alla sicurezza complessiva dei sistemi di automazione industriale.

IEC 62443-4-2 – Dettaglia i requisiti tecnici per i componenti IACS, assicurando che rispettino specifici standard di sicurezza e definisce cosa è richiesto ai componenti in termini di capacità di sicurezza, tenendo conto del loro ruolo all’interno del sistema più ampio. Inoltre, essa include vincoli comuni di sicurezza dei componenti che devono essere soddisfatti affinché i componenti siano conformi allo standard. Tali vincoli garantiscono che i componenti: considerino le caratteristiche generali di sicurezza dei sistemi in cui sono utilizzati; soddisfino i requisiti tecnici tramite contromisure compensative a livello di sistema, se necessario; applichino il principio del privilegio minimo e vengano sviluppati seguendo processi conformi.

Il ruolo della IEC 62443 nel rafforzamento della cybersecurity industriale

È doveroso evidenziare che, mano che le organizzazioni industriali si affidano sempre più a dispositivi e reti connesse, diventano sempre più esposte agli attacchi informatici. Questo panorama di minaccia in espansione per i sistemi di controllo industriale rafforza la rilevanza della IEC 62443.

La IEC 62443 offre un quadro completo per identificare, valutare e mitigare i rischi, migliorando così la sicurezza dei sistemi IACS. I continui progressi negli standard IEC 62443 sono in linea con il panorama in evoluzione della cybersecurity, affrontando ogni sfida nel settore industriale.

Ma vediamo più in dettaglio di che si tratta.

IEC 62443 e mitigazione delle minacce – IEC 62443 mitiga gli attacchi informatici attraverso un quadro strutturato che include:

• Approccio di sicurezza stratificato
• Segmentazione della rete
• Valutazione del rischio
• Definizione delle zone e dei condotti
• Revisioni regolari
• Sfruttare le tecnologie avanzate

Di fatto, l’IEC 62443 rafforza la resilienza contro le minacce informatiche in evoluzione affrontando le vulnerabilità durante tutto il ciclo di vita del sistema e incoraggiando la collaborazione tra gli stakeholder.

Vantaggi dell’adozione di IEC 62443 per la cybersecurity industriale – L’adozione degli standard IEC 62443 offre vari vantaggi alle organizzazioni di diversi settori, tra cui:

Livelli di sicurezza migliorati per i sistemi di automazione industriale

1. Le linee guida fornite dalla IEC 62443 aumentano significativamente i livelli di sicurezza dei sistemi di controllo dell’automazione industriale.
2. Gli standard coprono componenti, configurazioni e fattori umani necessari come la formazione del personale.
3. Le organizzazioni possono proteggersi da attacchi informatici e da ogni tipo di errore involontario contro attacchi mirati.

Resilienza operativa e cyber

1. L’implementazione della IEC 62443 garantisce che non ci sia interruzione dal fronte operativo a causa di attacchi cyber-fisici.
2. La minimizzazione dei tempi di inattività, il miglioramento dell’efficienza operativa e la riduzione dei costi di manutenzione, migliorano una volta che si mette in pratica la IEC 62443.
3. Le industrie manifatturiere e dei servizi pubblici dovrebbero implementare obbligatoriamente la IEC 62443 per migliorare la resilienza operativa.

Conformità normativa

1. Nel campo della cybersecurity, rispettare gli obblighi normativi è indispensabile per tutte le organizzazioni. La IEC 62443 aiuta le organizzazioni a facilitare la conformità alle normative in diverse giurisdizioni.
2. IEC 62443 è una linea guida riconosciuta e autorizzata a livello internazionale che aiuta le organizzazioni industriali a rispettare le migliori pratiche del settore.

Migliori pratiche per la conformità IEC 62443

Le organizzazioni industriali che vogliono aderire agli standard IEC 62443 dovrebbero considerare le seguenti migliori pratiche:

• Approccio di sicurezza multilivello – Utilizzare un approccio di sicurezza multilivello che combina controlli fisici, di rete e a livello applicativo per proteggere da varie minacce.
• Audit e valutazioni regolari – Effettuare audit periodici di sicurezza e valutazione dei rischi per identificare e affrontare le vulnerabilità.
• Monitoraggio continuo –: Implementare monitoraggio e test continui dei controlli di sicurezza per rilevare e rispondere a potenziali nuove minacce in tempo reale.
• Formazione e sensibilizzazione – Promuovere la consapevolezza sulla cybersecurity tra i dipendenti e fornire formazione sulle migliori pratiche di cybersecurity.
• Segmentazione – Segmentare le reti in zone e condotti di comunicazione consente di: limitare la superficie di attacco, ridurre il rischio di violazioni e controllare in modo granulare sia gli accessi sia i flussi informativi tra le diverse aree funzionali del sistema.

Come conformarsi alla norma IEC 62443

La IEC 62443 fornisce linee guida precise per mantenere uno sviluppo sicuro dei sistemi di automazione e controllo industriale (IACS). Di fatto, conformarsi alla norma IEC 62443 richiede un approccio sistematico. Pertanto, le organizzazioni industriali, per conformarsi alla norma IEC 62443, dovrebbero implementare un sistema di gestione della sicurezza che includa i seguenti passaggi:

1. Valutazione del rischio – Condurre una valutazione completa del rischio per identificare i rischi dell’azienda, determinare i livelli di sicurezza appropriati e conoscere gli asset critici per l’ICS.
2. Sviluppo del piano di sicurezza – Sviluppare un piano di sicurezza che definisca gli obiettivi per proteggere gli sistemi di controllo industriale (ICS).
3. Implementazione dei controlli di sicurezza – Mitigare i rischi identificati, implementando controlli di sicurezza appropriati.
4. Verifica dei controlli di sicurezza – Verificare che i controlli di sicurezza siano implementati correttamente e siano efficaci nel mitigare i rischi.
5. Monitoraggio periodico – Monitorare e mantenere i controlli di sicurezza per garantire che non ci siano rischi in futuro.
6. Conformità – Valutare regolarmente i Sistemi di Gestione della Sicurezza (SMS) per assicurarsi che siano conformi allo standard e siano efficaci nel proteggere gli ICS.

Conclusione

La IEC 62443 rappresenta oggi il riferimento fondamentale per la sicurezza dei sistemi industriali, offrendo un approccio strutturato e completo che consente alle organizzazioni di identificare, mitigare e gestire efficacemente i rischi di cybersecurity, salvaguardando sia le persone che le infrastrutture critiche.

Tuttavia, l’implementazione efficace di questo standard richiede una profonda comprensione delle criticità intrinseche alla convergenza tra ambienti IT e OT. Due mondi, storicamente separati, che si stanno integrando sempre più attraverso l’adozione di tecnologie Industry 4.0 e 5.0, IIoT e soluzioni cloud, creando nuove vulnerabilità, oltre ad ampliare significativamente la superficie di attacco.

La tradizionale mentalità IT, focalizzata sulla protezione dei dati e sulla riservatezza, deve necessariamente evolversi per abbracciare le priorità OT, dove la continuità operativa, la safety e l’integrità dei processi rappresentano gli elementi critici.

Le organizzazioni si trovano di fronte a sfide complesse: gestire tecnologie legacy che non possono essere facilmente aggiornate, bilanciare esigenze di sicurezza con requisiti di disponibilità 24/7, coordinare team IT e OT con culture e competenze diverse, e implementare misure di protezione che non compromettano le performance dei sistemi produttivi.

Per questo motivo, comprendere come gestire al meglio gli ecosistemi OT attraverso l’utilizzo della IEC 62443 non è più un’opzione, ma una necessità strategica. Lo standard fornisce non solo linee guida tecniche, ma anche un framework organizzativo che aiuta a definire ruoli, responsabilità e processi condivisi tra i domini IT e OT. Siamo di fronte ad un approccio integrato che permette di: ridurre il rischio di attacchi informatici attraverso una difesa multilivello; garantire la conformità normativa; proteggere la continuità operativa, minimizzando i fermi produttivi; costruire una cultura della sicurezza che abbraccia l’intera organizzazione.

Come si evince anche dall’ultimo rapporto Clusit (ottobre 2025), in un contesto in cui le minacce informatiche al settore industriale continuano a crescere in termini di sofisticazione e di frequenza, essere in grado di implementare la IEC 62443 significa dotarsi di uno strumento strategico per affrontare la complessità della convergenza IT/OT, trasformando quella che potrebbe essere una vulnerabilità critica in un vantaggio competitivo basato sulla cyber resilienza e sulla sicurezza operativa.

Di fatto, come afferma Gaetano Sanacore (Direttore del Working Group for Cyber Resilience &AI in Energetic Grids – START 4.0) “il rischio di una convergenza di comodo, o non molto accorta, porta l’azienda/l’industria verso il rischio di “ITzzazione” dell’ OT, esponendo i sistemi industriali a nuove vulnerabilità portate talvolta da “servizi IT” all’interno di processi produttivi OT, sapendo quanto sono complessi questi ambiti industriali; per evitare tutto questo si richiede la gestione di un delicato equilibrio tra sicurezza, continuità operativa e aggiornamento tecnologico”.

Cybsec-news.it vi invita alla terza edizione della CYBSEC-EXPO, in programma a Piacenza dal 9 all’11 Giugno 2026.