Una macchina con un controllore programmabile, un'HMI, un computer integrato o un'interfaccia di rete ricade sia nel regolamento Macchine UE (regolamento (UE) 2023/1230) sia nel regolamento sulla ciberresilienza UE (regolamento (UE) 2024/2847). Il considerando 53 del CRA nomina la sovrapposizione e indica due sezioni dell'allegato III del regolamento Macchine, 1.1.9 e 1.2.1, dove si concentra il contenuto di cibersicurezza. Questa pagina copre cosa dica il considerando 53, come l'evidenza CRA si mappi sul lato Macchine e dove le due valutazioni della conformità restino separate.
Riepilogo
- Entrambi i regimi si applicano contemporaneamente. Una macchina che contiene un controllore programmabile, un'HMI o un'interfaccia di rete è regolata dal regolamento Macchine sotto il profilo della sicurezza e dal CRA sotto il profilo della cibersicurezza. Non c'è esenzione: l'articolo 2 del CRA esclude dispositivi medici, veicoli a motore, aviazione civile ed equipaggiamento marittimo, e le macchine non sono in tale elenco.
- Il considerando 53 è l'ancoraggio del doppio regime. Indica ai fabbricanti rientranti in entrambi i regolamenti di rispettarli entrambi, e nomina le sezioni 1.1.9 e 1.2.1 dell'allegato III del regolamento Macchine come luogo in cui si concentra il contenuto di cibersicurezza del lato Macchine.
- La sovrapposizione riguarda i guasti di sicurezza di matrice cyber. Un sistema di comando la cui logica di sicurezza possa essere manomessa via rete è non sicuro nel senso del regolamento Macchine e insicuro nel senso del CRA. Gli stessi controlli ingegneristici (validazione dell'input, autenticazione, protezione dell'integrità della logica di sicurezza) parlano a entrambi i regolamenti.
- L'evidenza CRA può avere peso sul lato Macchine, ma il collegamento va dimostrato. Il considerando 53 consente la sinergia e indica nelle norme armonizzate il ponte. L'onere di dimostrare il legame ricade sul fabbricante, nel fascicolo tecnico.
- Ciascun regime mantiene la propria valutazione della conformità. Il regolamento Macchine ha le proprie procedure (con intervento dell'organismo notificato per le macchine a rischio più elevato del proprio allegato I); il CRA segue l'articolo 32 con i moduli dell'allegato VIII. Lo stesso organismo notificato può eseguire entrambe le valutazioni se detiene entrambe le designazioni.
La sovrapposizione in quattro numeri: due regolamenti, due sezioni dell'allegato III, il considerando che le lega e le date che mettono in vigore il doppio regime.
Dove i due regolamenti si sovrappongono
Il regolamento Macchine disciplina la sicurezza delle macchine immesse sul mercato UE. Il CRA disciplina la cibersicurezza dei prodotti con elementi digitali immessi sul mercato UE. Una macchina moderna che contiene un PLC, un'HMI, un controllore integrato o un'interfaccia di rete soddisfa entrambe le definizioni e attiva entrambi i regimi.
La sovrapposizione si trova sui requisiti che affrontano i guasti di sicurezza di matrice cyber. Un sistema di comando la cui logica rilevante per la sicurezza possa essere manomessa via rete è non sicuro nel senso del regolamento Macchine e insicuro nel senso del CRA. Gli stessi controlli ingegneristici (validazione dell'input, autenticazione, protezione dell'integrità della logica di sicurezza) parlano a entrambi i regolamenti.
Il CRA fissa la sovrapposizione in due punti:
- Allegato III §1.1.9 del regolamento (UE) 2023/1230 affronta la protezione contro la corruzione dei sistemi di comando.
- Allegato III §1.2.1 del regolamento (UE) 2023/1230 affronta la sicurezza e affidabilità dei sistemi di comando, anche contro la manipolazione deliberata.
Entrambe le sezioni recano contenuto di cibersicurezza, perché corruzione e manipolazione deliberata dei sistemi di comando sono minacce cyber con conseguenze sulla sicurezza.
Cosa dice il considerando 53 del CRA, in termini chiari
Il considerando 53 è la riga del CRA che lega i due regimi. In termini chiari dice al fabbricante di una macchina con elementi digitali quattro cose:
| Cosa dice il considerando | Cosa significa nella pratica |
|---|---|
| Entrambi i regimi si applicano, nessuna esenzione | Una macchina rientrante nel regolamento (UE) 2023/1230 che è anche un prodotto con elementi digitali deve soddisfare i requisiti essenziali di cibersicurezza del CRA e i requisiti essenziali di sicurezza e di tutela della salute del regolamento Macchine. L'articolo 2 del CRA esclude dispositivi medici, veicoli a motore, aviazione civile ed equipaggiamento marittimo; le macchine non sono in tale elenco. |
| Gli stessi rischi di cibersicurezza possono manifestarsi in entrambi | I due regolamenti affrontano minacce cyber simili da angoli diversi: il regolamento Macchine attraverso la sicurezza, il CRA attraverso la cibersicurezza. Dove si sovrappongono, gli stessi controlli ingegneristici (validazione dell'input, autenticazione, protezione dell'integrità della logica di sicurezza) parlano a entrambi. |
| Il lavoro CRA può avere peso sul lato Macchine, ma solo dove i regimi si sovrappongono | La valutazione del rischio CRA (articolo 13(2)), la documentazione tecnica (allegato VII) e il processo di gestione delle vulnerabilità (allegato I parte II) producono evidenze che si mappano sull'allegato III §1.1.9 (protezione contro la corruzione) e §1.2.1 (sicurezza e affidabilità dei sistemi di comando). Su ogni altra parte del regolamento Macchine, il lavoro Macchine si fa secondo il regolamento Macchine. |
| Il fabbricante collega i punti nel fascicolo tecnico | Il considerando 53 è permissivo, non automatico. Per usare l'evidenza CRA come evidenza ai sensi del regolamento Macchine, il fabbricante mappa i controlli di matrice CRA su sezioni specifiche dell'allegato III e cita norme armonizzate che coprano entrambi i regimi. |
Il considerando si chiude con un'ulteriore istruzione che la pagina ripete sotto: ciascun regime mantiene la propria procedura di valutazione della conformità ed entrambe vanno seguite.
Come l'evidenza CRA si mappa al regolamento Macchine
Una mappatura pragmatica della sovrapposizione:
| Requisito del regolamento Macchine | Evidenza CRA che lo supporta |
|---|---|
| Allegato III §1.1.9 (protezione contro la corruzione) | Valutazione del rischio CRA (articolo 13(2)), allegato I parte I (b) configurazione sicura per impostazione predefinita, (d) autenticazione e controllo degli accessi, (f) protezione dell'integrità dei dati |
| Allegato III §1.2.1 (sicurezza e affidabilità dei sistemi di comando) | CRA allegato I parte I (h) disponibilità delle funzioni essenziali, (k) mitigazione dello sfruttamento, (l) registrazione degli eventi di sicurezza; allegato I parte II (3) test di sicurezza regolari |
| Fascicolo tecnico del regolamento Macchine | Documentazione tecnica CRA ai sensi dell'allegato VII (riferibile per rinvio), SBOM CRA, policy CRA di gestione delle vulnerabilità |
La mappatura è informativa, non normativa. Il fabbricante deve giustificare il legame nel fascicolo tecnico per ciascuna macchina specifica, e la formula del considerando 53 secondo cui "tali sinergie devono essere dimostrate" pone l'onere a carico del fabbricante.
Le valutazioni della conformità restano separate
Il considerando 53 si chiude con un'istruzione netta: il fabbricante segue anche le procedure di valutazione della conformità applicabili previste dal CRA e dal regolamento (UE) 2023/1230. Il regolamento Macchine ha le proprie procedure (compreso l'intervento dell'organismo notificato per le macchine a rischio più elevato del proprio allegato I); il CRA ha le proprie (articolo 32 e moduli dell'allegato VIII). La stessa macchina può richiedere l'intervento dell'organismo notificato per entrambi i regimi, possibilmente con lo stesso organismo se detiene entrambe le designazioni.
Per la decisione del percorso di valutazione della conformità CRA, si veda valutazione della conformità CRA. Per i requisiti di documentazione tecnica, si veda documentazione tecnica CRA.
Domande Frequenti
Il CRA sostituisce o prevale sul regolamento Macchine?
No. I due regolamenti si applicano contemporaneamente. Il considerando 53 del CRA enuncia il doppio obbligo in termini chiari: il fabbricante di prodotti rientranti nel regolamento (UE) 2023/1230 che siano anche prodotti con elementi digitali deve rispettare i requisiti essenziali di cibersicurezza del CRA e i requisiti essenziali di sicurezza e di tutela della salute del regolamento Macchine. Il regolamento Macchine continua a governare la sicurezza; il CRA aggiunge lo strato di cibersicurezza e ancora la sovrapposizione alle sezioni 1.1.9 e 1.2.1 dell'allegato III.
Una sola marcatura CE può coprire entrambi i regimi?
Una sola marcatura CE sul prodotto, ma due valutazioni della conformità sottostanti. La marcatura CE è la dichiarazione del fabbricante che il prodotto rispetta ogni regolamento di armonizzazione dell'Unione applicabile. Per una macchina con elementi digitali ciò significa la valutazione della conformità del regolamento Macchine ai sensi del proprio allegato IV (o del percorso applicabile) e la valutazione della conformità CRA ai sensi dell'articolo 32 con i moduli dell'allegato VIII. Entrambe le dichiarazioni di conformità UE devono esistere; la marcatura CE è una sola, ma la documentazione che la sostiene è doppia.
Da quando si applicano i due regolamenti?
Il regolamento Macchine (regolamento (UE) 2023/1230) si applica integralmente dal 20 gennaio 2027, sostituendo la direttiva Macchine 2006/42/CE per i prodotti immessi sul mercato a partire da tale data. Il CRA (regolamento (UE) 2024/2847) si applica integralmente dall'11 dicembre 2027, con gli obblighi di segnalazione del fabbricante ai sensi dell'articolo 14 che decorrono prima, dall'11 settembre 2026. Una macchina immessa sul mercato UE tra il 20 gennaio e l'11 dicembre 2027 è già sotto il nuovo regolamento Macchine; dall'11 dicembre 2027 è anche sotto il CRA.
Il mio organismo notificato per il regolamento Macchine copre anche il CRA?
Solo se l'organismo detiene una designazione CRA in aggiunta a quella Macchine. Gli organismi notificati sono designati regolamento per regolamento. Un organismo presente per il modulo B/C2/H ai sensi del regolamento Macchine non compare automaticamente nell'elenco degli organismi notificati CRA ai sensi dell'articolo 43. Verifichi il database NANDO dell'UE per entrambi i regolamenti rispetto al numero dell'organismo; se entrambe le designazioni sono presenti, un solo organismo può svolgere entrambe le valutazioni, operativamente più semplice che separarle.
E se la mia macchina non avesse interfaccia di rete? Il CRA si applica comunque?
Probabilmente sì. L'articolo 3(1) del CRA definisce un prodotto con elementi digitali come un prodotto software o hardware e le sue soluzioni di trattamento remoto dei dati. L'attivatore è la funzionalità digitale, non la connettività. Una macchina con software integrato, firmware o un controllore programmabile è in ambito anche senza interfaccia di rete, perché il software integrato è esso stesso l'elemento digitale. Il caso ristretto in cui il CRA non si applica è la macchina puramente meccanica priva di software, firmware e logica programmabile, ipotesi sempre più rara per i prodotti rientranti nel nuovo regolamento Macchine.