In cosa si differenzia la IEC 62443-3-3 dal NIST CSF 2.0 e dalla ISO/IEC 27001?

Il NIST Cybersecurity Framework (CSF) 2.0 offre un framework volontario di gestione del rischio ad alto livello, mentre la ISO/IEC 27001 è tipicamente incentrata sull'ambiente IT. La IEC 62443-3-3 specifica invece come proteggere un controllore logico programmabile, un sistema SCADA o un DCS da attacchi che possono compromettere la sicurezza fisica di impianti e persone.

Quali azioni concrete devono intraprendere i costruttori di sistemi di controllo secondo la IEC 62443-3-3?

I costruttori devono incorporare sin dall'inizio i Security Requirements previsti dalla norma, dimostrando che il sistema soddisfa specifici SR per il livello SL-C target. Ciò significa implementare autenticazione robusta su tutti gli accessi remoti, garantire l'integrità del firmware all'avvio e prevedere funzioni di audit logging persistenti e protette da alterazione.

IEC 62443-3-3: i 7 requisiti per la cybersecurity industriale

Q: Cosa sono i livelli SL-C nella IEC 62443-3-3?

I livelli SL-C (Control System Capability Security Levels) esprimono la capacità del sistema di resistere a specifiche classi di minaccia: dal livello 1 (protezione base contro eventi accidentali) al livello 4 (protezione contro attacchi mirati con risorse elevate).

Q: Quali sono i compiti dei manutentori e gestori di impianti secondo la IEC 62443-3-3?

I manutentori devono verificare periodicamente che le funzioni di sicurezza siano operative, testando che i controlli di accesso, l'integrità dei dati e la disponibilità delle risorse restino efficaci nel tempo. Devono conservare la documentazione tecnica che dimostri la conformità iniziale e registrare ogni scostamento.

Q: Perché la IEC 62443-3-3 è considerata una norma orizzontale?

L'IEC ha approvato l'intera famiglia IEC 62443 come standard orizzontale, il che significa che quando esperti di dominio sviluppano norme settoriali per la tecnologia operativa (OT), devono obbligatoriamente basare i requisiti di sicurezza sulla IEC 62443.

La norma IEC 62443‑3‑3 traduce i sette requisiti fondamentali in prescrizioni tecniche misurabili per i sistemi di automazione

Già nell’agosto 2013 l’International Electrotechnical Commission (IEC) ha pubblicato la norma IEC 62443-3-3:2013, che fornisce requisiti tecnici dettagliati per i sistemi di controllo associati ai sette requisiti fondamentali (Foundational Requirements, FR) descritti nella IEC 62443-1-1. La specifica definisce inoltre i requisiti per i livelli di sicurezza delle capacità del sistema, denominati SL‑C (Control System Capability Security Levels), e detta le funzioni di sicurezza per i sistemi di automazione e controllo a livello di sistema (system level). Con il corrigendum pubblicato nell’aprile 2014, il testo è stato integrato e resta oggi il riferimento tecnico prescrittivo per chi progetta, acquista o gestisce impianti di automazione industriale.

Per inquadrare la portata di questo standard occorre risalire alle sue radici. La famiglia IEC 62443 trae origine dallo standard ISA-99, sviluppato dall’International Society of Automation a partire dal 2002. Intorno al 2010 il rapporto con l’IEC si è consolidato, portando alla ridenominazione in ANSI/ISA‑62443. L’IEC ha in seguito approvato l’intera famiglia come standard orizzontale: ciò significa che, quando esperti di dominio sviluppano norme settoriali per la tecnologia operativa (OT), devono obbligatoriamente basare i requisiti di sicurezza sulla IEC 62443. Un posizionamento che rende la parte 3‑3, dedicata ai requisiti tecnici di sistema, il perno attorno a cui ruota la cybersecurity dei sistemi di controllo industriali (IACS).

I sette requisiti che nessun sistema di controllo può ignorare

I sette Foundational Requirements coprono le aree essenziali della sicurezza informatica per l’automazione: identificazione e autenticazione, controllo degli accessi, integrità dei dati, riservatezza dei dati in transito e a riposo, limitazione del flusso di informazioni, risposta tempestiva agli eventi e disponibilità delle risorse. La IEC 62443‑3‑3 traduce ciascuno di questi FR in Security Requirements (SR) tecnici, misurabili e verificabili a livello di sistema. Non si tratta di linee guida astratte: sono prescrizioni concrete che un progettista deve implementare, come sistemi di autenticazione a più fattori, meccanismi di protezione dell’integrità delle comunicazioni di campo o funzioni di fail‑safe che preservano la sicurezza operativa anche sotto attacco.

Ogni SR può essere associato a un SL‑C, che esprime la capacità del sistema di resistere a specifiche classi di minaccia: dal livello 1 (protezione base contro eventi accidentali) al livello 4 (protezione contro attacchi mirati con risorse elevate). La norma non impone un livello minimo, ma fornisce gli strumenti per definire e verificare il livello adeguato al rischio. È in questo salto dalla teoria alla pratica che la IEC 62443‑3‑3 si distingue nettamente dai framework generalisti.

Il vuoto che solo una norma tecnica può colmare

Il NIST Cybersecurity Framework (CSF) 2.0, pubblicato nel 2024, offre un framework volontario di gestione del rischio ad alto livello, applicabile trasversalmente a tutti i settori. La ISO/IEC 27001, invece, fornisce un sistema di gestione per la sicurezza delle informazioni tipicamente incentrato sull’ambiente IT. Nessuno dei due scende al dettaglio tecnico‑ingegneristico richiesto per i sistemi di controllo industriale. La IEC 62443‑3‑3 colma proprio quel gap: specifica come proteggere un controllore logico programmabile, un sistema SCADA o un DCS da attacchi che possono compromettere la sicurezza fisica di impianti e persone.

Del resto la stessa IEC 62443‑2‑1 si pone esplicitamente come complemento OT della ISO 27001, chiarendo che per l’industria di processo non basta un approccio generico alla cybersecurity. Serve una norma che parli il linguaggio degli automi, delle reti industriali e dei protocolli di campo. Per i settori critici — energia, chimica, oil & gas, trattamento acque — adottare la IEC 62443‑3‑3 non è solo una scelta tecnica, ma una decisione strategica che riduce il rischio di incidenti con conseguenze potenzialmente letali.

Tre lezioni per non ritrovarsi vulnerabili

Una volta compreso il valore della norma, passiamo alle azioni concrete per i tre attori chiave della filiera della sicurezza industriale.

1. Per i costruttori di sistemi di controllo. La progettazione deve incorporare sin dall’inizio i Security Requirements previsti dalla norma. Non basta dichiarare conformità a framework generalisti: bisogna dimostrare che il sistema soddisfa specifici SR per il livello SL‑C target. Ciò significa, ad esempio, implementare autenticazione robusta su tutti gli accessi remoti, garantire l’integrità del firmware all’avvio e prevedere funzioni di audit logging persistenti e protette da alterazione. I costruttori che integrano la IEC 62443‑3‑3 nel proprio ciclo di sviluppo riducono il rischio di vulnerabilità sfruttabili e offrono al mercato prodotti con una sicurezza misurabile e documentabile.

2. Per i datori di lavoro (RSPP, uffici tecnici, procurement). Nei capitolati di acquisto occorre richiedere esplicitamente che il sistema garantisca uno specifico SL‑C, verificabile attraverso documentazione di progetto e prove di accettazione. La norma fornisce il vocabolario tecnico per definire tali requisiti: non si può chiedere genericamente «un sistema sicuro», ma va specificato «un sistema che implementi gli SR della IEC 62443‑3‑3 per il livello SL‑2». In caso di incidente, l’assenza di tali specifiche può essere valutata come carenza organizzativa in sede di accertamento delle responsabilità. Lo stato di standard orizzontale della IEC 62443 impone che anche le future norme settoriali si fondino su di essa: chi non la adotta oggi rischia di ritrovarsi con impianti non conformi al quadro normativo di domani.

3. Per i manutentori e gestori di impianti. Le funzioni di sicurezza dettate dalla norma non sono statiche. Devono essere verificate periodicamente: aggiornamenti firmware, riconfigurazioni di rete, sostituzioni di componenti possono alterare il livello SL‑C effettivo. Il manutentore deve disporre di procedure per testare che i controlli di accesso, l’integrità dei dati e la disponibilità delle risorse restino operativi nel tempo. Deve inoltre conservare la documentazione tecnica che dimostri la conformità iniziale e registrare ogni scostamento. La IEC 62443‑3‑3 diventa così la base per un piano di manutenzione della cybersecurity, non un certificato da appendere al muro. La formazione dei tecnici sui contenuti della norma è il passo che trasforma un adempimento cartaceo in una pratica operativa efficace.

La IEC 62443‑3‑3 non è un optional per chi opera nel mondo dell’automazione industriale. È la cassetta degli attrezzi tecnici per chi non vuole scoprirsi vulnerabile. Verificate i vostri sistemi, aggiornate le specifiche di acquisto, formate i tecnici sulla norma. La sicurezza industriale si costruisce un componente alla volta, e questo standard fornisce le istruzioni per montarli correttamente.