EN Regulatory Spark

SERVIZI — ASSE CYBERSECURITY

Impianti OT e prodotti connessi conformi al CRA

NIS2 cambia le responsabilità del management sulla sicurezza degli impianti. Il CRA impone obblighi continui a chi produce macchinari o dispositivi connessi. IEC 62443 è lo standard che diventa il percorso riconosciuto per dimostrare conformità a entrambi. Questa pagina copre il percorso completo: dalla formazione per il team all'assessment, dal CRA Reporting Ready al presidio annuale.

IL CONTESTO

Lo standard che diventa obbligatorio per il manifatturiero

IEC 62443 non è più solo un insieme di best practice per la sicurezza degli impianti industriali. CEN/CENELEC lo sta adottando come norma EN armonizzata: per i produttori italiani di macchinari, sistemi embedded e componenti connessi, diventa il percorso riconosciuto per dimostrare conformità al Cyber Resilience Act.

Chi non conosce IEC 62443 non sarà in grado di documentare la conformità al CRA quando le scadenze entreranno in vigore. Chi forma il proprio team adesso arriva preparato — invece di rincorrere.

L'obbligo di reporting CRA sulle vulnerabilità scatta dall'11 settembre 2026 per i prodotti già sul mercato.

I clienti OEM chiedono già la conformità come requisito contrattuale nelle vendor qualification.

NIS2 rende il management personalmente responsabile della governance della sicurezza OT.

IL METODO

Learn · Practice · Build

Ogni modulo dura 4 ore, in presenza o da remoto, fino a 12 partecipanti. In ambito IEC 62443 il deliverable del workshop non è un tool software ma un artefatto di processo — una mappa, una checklist, un documento di analisi — direttamente applicabile al proprio impianto o prodotto.

LEARN ~120 min Concetti, struttura dello standard, casi concreti dal settore manifatturiero
PRACTICE ~45 min Esercizi guidati su scenari reali
BUILD ~60 min Workshop: ogni partecipante costruisce un artefatto di processo applicabile al proprio impianto o prodotto
WRAP-UP ~15 min Revisione e Q&A
I workshop producono risultati migliori quando i partecipanti portano materiale reale: schema o planimetria dell'impianto per i moduli OT, specifiche tecniche del prodotto per i moduli PRD. Il briefing pre-corso (1–2 ore, incluso) serve a raccogliere questo materiale.

FORMAZIONE IEC 62443 — PUNTO DI PARTENZA

Il modulo base: per chiunque debba capire IEC 62443 prima di applicarlo

Il modulo 62443-01 è il punto di partenza obbligatorio per qualsiasi percorso IEC 62443. È vendibile autonomamente come sessione di awareness per il management o team misti, e fornisce il quadro concettuale che rende efficaci tutti i moduli successivi.

62443-01 · 4 ORE · NESSUN PREREQUISITO TECNICO

Introduzione a IEC 62443

Target: Team misti con background diversi — tecnici, manager, responsabili di funzione. Ottimo come sessione di awareness per il management.

  • Cos'è IEC 62443: struttura delle parti, logica dello standard, chi lo usa e perché
  • Il modello di sicurezza IACS: zone, conduit, security level
  • Attori dello standard: asset owner, system integrator, product supplier
  • Contesto normativo: NIS2, CRA e il processo CEN/CENELEC di adozione EN 62443
  • Perché IEC 62443 diventa rilevante anche per chi non ha mai fatto OT security
  • Panoramica dei percorsi di certificazione ISA per professionisti

Workshop — cosa costruisci: Una mappa preliminare dei sistemi dell'organizzazione — impianti, prodotti connessi, componenti — con una prima indicazione del perimetro di applicazione dello standard.

FORMAZIONE IEC 62443 — TRACCE PER TARGET

Quattro tracce verticali, ognuna per il suo interlocutore

Dopo il modulo base, il percorso si specializza per funzione. Le tracce non si escludono: aziende con impianti OT e prodotti connessi spesso portano in aula insieme tecnici OT e team R&D, con moduli calibrati su entrambi.

TRACCIA MANAGEMENT · 62443-MGT

1 MODULO · 4 ORE

Per chi: CEO, CTO, Direzione Generale. Chi deve prendere decisioni su investimenti, rischi e obblighi normativi senza dover conoscere i dettagli tecnici dello standard.

Cosa cambia per il management

  • Cosa cambia per l'azienda con NIS2, CRA e EN 62443: obblighi, scadenze, sanzioni
  • Il rischio cyber in ambienti OT: impatto operativo, assicurativo e reputazionale
  • Come leggere i risultati di un assessment IEC 62443: cosa chiedere, cosa aspettarsi
  • Decisioni di investimento: build vs buy, risorse interne vs partner esterni
  • Governance della cybersecurity OT: ruoli, responsabilità, reporting al vertice
  • Come comunicare il rischio cyber al CDA e agli investitori

Workshop: ogni partecipante costruisce un risk summary executive — mappa sintetica dei rischi principali e delle decisioni urgenti da portare al CDA nei prossimi 90 giorni.

TRACCIA OT / IMPIANTO · 62443-OT

2 MODULI · 1 GIORNATA

Per chi: Tecnici OT, responsabili di impianto, responsabili manutenzione.

62443-OT-a — Risk Assessment Pratico

Come si conduce un risk assessment IEC 62443 su un impianto reale. Focus sulla metodologia operativa: identificazione degli asset, definizione delle zone, analisi delle minacce e definizione dei security level target.

  • Processo di risk assessment IEC 62443-3-2
  • Inventario asset IACS
  • Zone e conduit: logica e criteri di segmentazione
  • Security Level target e achieved
  • Threat modeling in ambiente OT
  • Documentazione del risk assessment

Workshop: ogni partecipante costruisce una bozza di zone/conduit diagram e una prima proposta di SL target per un impianto o sistema reale dell'organizzazione.

62443-OT-b — Implementazione e Contromisure

Come si passa dall'analisi del rischio all'implementazione delle contromisure. Focus sulle misure tecniche e organizzative previste dallo standard e su come verificarne l'efficacia.

  • Requisiti di sistema IEC 62443-3-3
  • Contromisure tecniche prioritarie: segmentazione, autenticazione, monitoraggio, backup
  • Contromisure organizzative
  • Prioritizzazione in base a SL target e budget
  • Manutenzione nel tempo: patch, change management, audit

Workshop: ogni partecipante costruisce una checklist di contromisure prioritarie per il proprio impianto, ordinata per urgenza e costo stimato di implementazione.

TRACCIA PRODOTTO / EMBEDDED · 62443-PRD

2 MODULI · 1 GIORNATA

Per chi: Progettisti, responsabili R&D, product manager di sistemi embedded e macchinari connessi.

62443-PRD-a — Secure by Design: Requisiti di Componente e Sistema

Come integrare i requisiti di sicurezza IEC 62443 nelle fasi di progettazione di un prodotto o componente connesso. Per chi deve soddisfare il CRA e non sa da dove cominciare nel proprio ciclo di sviluppo.

  • IEC 62443-4-2: requisiti di sicurezza per i componenti IACS
  • IEC 62443-4-1: ciclo di sviluppo sicuro
  • Security requirements engineering
  • Threat modeling per prodotti embedded (STRIDE, attack surface)
  • Hardening di base: autenticazione, cifratura, update sicuri, logging
  • Interfaccia con i requisiti CRA

Workshop: ogni partecipante costruisce una security requirements list per un prodotto o componente reale — requisiti funzionali di sicurezza tracciabili verso le clausole IEC 62443 e i requisiti CRA.

62443-PRD-b — Ciclo di Sviluppo Sicuro (SDLC)

Come strutturare il processo di sviluppo per produrre componenti e sistemi conformi a IEC 62443-4-1 e ai requisiti di processo del CRA. Per team R&D che devono integrare la sicurezza nel proprio workflow senza stravolgere i processi esistenti.

  • Le 8 practice del secure development lifecycle IEC 62443-4-1
  • Security management: policy, ruoli, formazione del team
  • Specifica requisiti e secure design
  • Implementazione sicura: linee guida di codifica, code review, SAST/DAST
  • Verifica e validazione
  • Gestione vulnerabilità post-rilascio: disclosure, patch, SBOM

Workshop: ogni partecipante costruisce una secure development checklist adattata al proprio ciclo di sviluppo — con i controlli minimi IEC 62443-4-1 mappati sulle fasi del processo esistente.

TRACCIA IT SECURITY · 62443-SEC

1 MODULO · 4 ORE

Per chi: CISO, responsabili IT security, security architect che devono estendere il proprio perimetro agli ambienti OT.

62443-SEC — Convergenza IT/OT: Governance e Incident Response

Per chi viene dal mondo IT security e deve capire come gestire ambienti OT con logiche, priorità e vincoli completamente diversi.

  • Differenze fondamentali tra IT security e OT security: priorità, vincoli, architetture
  • Threat landscape OT: attori, vettori, incidenti reali nel manifatturiero
  • Modelli di governance IT/OT ibridi
  • Network segmentation e DMZ industriale: architetture Purdue, zone e conduit
  • Incident response in ambienti OT: playbook, comunicazione, continuità operativa
  • Integrazione con framework IT: relazione tra IEC 62443, ISO 27001 e NIST CSF

Workshop: ogni partecipante costruisce una gap analysis IT/OT — mappa dei controlli esistenti, gap principali e priorità di governance per i prossimi 12 mesi.

MODULO TRASVERSALE · 62443-CRA

Da IEC 62443 al Cyber Resilience Act: la mappa di conformità

Il CRA non è un ulteriore standard da soddisfare separatamente — è un insieme di requisiti essenziali per i quali IEC 62443 diventa il percorso di conformità riconosciuto. Ma la mappatura tra i due non è automatica: questo modulo mostra esattamente dove lo standard copre i requisiti CRA e dove restano gap da gestire in altro modo.

62443-CRA · 4 ORE · TRASVERSALE A TRACCIA OT E PRD

Da IEC 62443 al Cyber Resilience Act

Target: Team R&D, product manager, responsabili conformità di prodotti industriali connessi.

  • Stato del processo CEN/CENELEC: come EN 62443 diventa lo standard armonizzato per il CRA
  • Mappatura requisiti CRA → clausole IEC 62443: cosa copre lo standard e cosa resta scoperto
  • Essential cybersecurity requirements del CRA: analisi pratica per prodotti industriali
  • Documentazione tecnica obbligatoria: declaration of conformity, technical file, vulnerability handling policy
  • SBOM (Software Bill of Materials): obblighi, formati, strumenti
  • Scadenze CRA: obblighi per produttori, importatori e distributori nella supply chain
  • Come avviare un percorso di conformità in un'azienda senza risorse dedicate

Workshop — cosa costruisci: Una mappa di conformità preliminare tra i requisiti CRA applicabili al proprio prodotto e le clausole IEC 62443 corrispondenti — con identificazione dei gap e delle azioni prioritarie.

Questo non è un corso di preparazione agli esami ISA né un percorso di certificazione professionale. L'obiettivo è formare i team aziendali che devono applicare IEC 62443 al proprio impianto o prodotto.

PERCORSI FORMAZIONE

Cinque combinazioni di partenza

Awareness

1 modulo · mezza giornata

62443-01

Per management, team misti, primo approccio allo standard. Vendibile autonomamente come sessione di awareness aziendale.

OT Security Essentials

3 moduli · 1,5 giornate

62443-01 + 62443-OT-a + 62443-OT-b

Per tecnici OT, responsabili di impianto, team manutenzione. Il team esce con una bozza di zone diagram e una checklist di contromisure prioritarie.

Product Security Essentials

3 moduli · 1,5 giornate

62443-01 + 62443-PRD-a + 62443-PRD-b

Per progettisti embedded, team R&D, product manager. Il team esce con una security requirements list e una secure development checklist.

CRA Compliance Path

4 moduli · 2 giornate

62443-01 + 62443-PRD-a + 62443-PRD-b + 62443-CRA

Il percorso più diretto per chi deve avviare un percorso di conformità al CRA. Il team esce con una mappa di conformità, una security requirements list e una roadmap di azioni prioritarie.

Full OT + CRA

5 moduli · 2,5 giornate

62443-01 + 62443-OT-a + 62443-OT-b + 62443-PRD-a + 62443-CRA

Copertura completa per aziende con impianti OT e prodotti connessi.

Custom — da 2 moduli. Combinazione libera per esigenze specifiche.

GRUPPI fino a 12 partecipanti · FORMATO in presenza o remoto · LINGUA italiano · MATERIALI slide e checklist inclusi · BRIEFING pre-corso incluso

SCADENZA 11 SETTEMBRE 2026

CRA Reporting Ready: il processo di segnalazione pronto prima della scadenza

Dall'11 settembre 2026 ogni produttore di prodotti con elementi digitali venduti nel mercato europeo ha l'obbligo di segnalare le vulnerabilità attivamente sfruttate e gli incidenti gravi alla Single Reporting Platform di ENISA — con tempi stretti: early warning entro 24 ore dalla conoscenza dell'evento, notifica completa entro 72 ore. L'obbligo riguarda i prodotti già sul mercato. Chi non ha un processo testato lo scopre nel momento peggiore — durante un incidente.

FASE 1 — FOTOGRAFIA · mezza giornata

Censimento dei prodotti in scope CRA, dei canali con cui oggi l'azienda viene a conoscenza di vulnerabilità e incidenti, delle persone coinvolte. Verifica di cosa esiste già.

FASE 2 — COSTRUZIONE DEL PROCESSO · 1–2 settimane

Progettazione del processo di vulnerability handling e incident reporting dimensionato sull'azienda: chi riceve la segnalazione, chi valuta, chi decide, chi notifica. Definizione di ruoli e responsabilità. Predisposizione dei template operativi.

FASE 3 — TEST E CONSEGNA · 1 giornata

Simulazione tabletop: una vulnerabilità sfruttata gestita dal team con il nuovo processo, contro il cronometro delle 24/72 ore. Correzione di quello che non funziona. Sessione di consegna con CEO/CTO.

PERIMETRO CHIUSO · 3 SETTIMANE · OUTPUT DICHIARATO

Approfondisci CRA Reporting Ready →

ASSESSMENT — L2

Misurare l'esposizione prima che lo faccia un cliente OEM o un'ispezione

Un assessment OT serve a capire dove si è esposti — su NIS2, CRA e IEC 62443 — con una fotografia concreta, non teorica. Chi lo fa prima di ricevere una richiesta di vendor qualification o una lettera dall'autorità di sorveglianza gestisce l'adeguamento con calma invece di rincorrerlo.

OT Radar

TRACK OT · 1 GIORNO · OUTPUT DICHIARATO

Cosa analizzo:

Architettura degli impianti, prodotti connessi, fornitori, incidenti pregressi, misure esistenti. Interviste con CEO/CTO, IT/OT e produzione o R&D.

Cosa ricevi:
  • Mappa dell'esposizione normativa NIS2, CRA e IEC 62443 sul tuo contesto specifico
  • I 3–5 rischi prioritari da affrontare
  • Prime azioni concrete per i prossimi 90 giorni
  • Documento sintetico (4–6 pagine) da condividere internamente

OT Compass

TRACK OT · 2 GIORNI · REPORT 15–20 PAGINE · ROADMAP

Cosa analizzo:

Architettura OT/IT, prodotti, fornitori critici, misure esistenti — valutate rispetto a IEC 62443, NIS2 e CRA. Interviste estese fino agli acquisti.

Cosa ricevi:
  • Report completo di assessment OT cybersecurity (15–20 pagine)
  • Gap analysis rispetto a IEC 62443, NIS2 e CRA
  • Mappa dei rischi prioritari per impianti e prodotti
  • Roadmap di conformità e mitigazione con milestone e costi indicativi
  • Slide executive per CDA o assicuratori, su richiesta

Il Radar non obbliga al Compass. Dal Compass si aprono i servizi ricorrenti senza costi di onboarding aggiuntivi — la conoscenza dell'azienda è già acquisita.

Approfondisci Radar e Compass →

PRESIDIO ANNUALE — CRA COMPLIANCE MANAGER

Il CRA non è un adempimento una tantum. Gli obblighi continuano dopo il lancio.

RINNOVO ANNUALE · PERIMETRO RIVISTO A OGNI RINNOVO

CRA Compliance Manager

TRIGGER → PRODOTTI CON ELEMENTI DIGITALI SOGGETTI AL CYBER RESILIENCE ACT

Il CRA impone obblighi continuativi ai produttori: monitorare le vulnerabilità dei prodotti, gestire la disclosure, aggiornare la documentazione tecnica, mantenere l'SBOM. Chi non presidia questi obblighi nel tempo rischia sanzioni fino al 2,5% del fatturato globale annuo e il ritiro del prodotto dal mercato europeo.

  • Monitoraggio continuativo delle CVE rilevanti per i prodotti dell'organizzazione
  • Gestione del processo di vulnerability disclosure — dalla ricezione della segnalazione alla comunicazione pubblica
  • Mantenimento e aggiornamento dell'SBOM (Software Bill of Materials)
  • Aggiornamento della documentazione tecnica obbligatoria (technical file, declaration of conformity)
  • Supervisione della conformità ai requisiti essenziali CRA applicabili al prodotto
  • Monitoraggio dell'evoluzione normativa CRA e degli standard armonizzati (EN 62443)
  • Sessione trimestrale con responsabile R&D e CEO per aggiornamento e decisioni
  • Supporto alla comunicazione con le autorità di sorveglianza del mercato in caso di incidente

MEMBRO CT CYBER ETSI — CYBERSECURITY · PERCORSO ISA IEC 62443 EXPERT

Chi ha completato un OT Compass accede senza costi di onboarding aggiuntivi. Chi arriva senza assessment parte con una mezza giornata di allineamento iniziale che include l'analisi del prodotto in scope.

PRESIDIO ANNUALE — OT SECURITY ADVISOR

Un assessment fotografa un momento. La postura di sicurezza va mantenuta nel tempo.

RINNOVO ANNUALE · LETTERA DI INCARICO FORMALE

OT Security Advisor

TRIGGER → IMPIANTI OT CRITICI O PRODOTTI INDUSTRIALI CONNESSI DA MANTENERE CONFORMI A IEC 62443 E NIS2

Gli impianti cambiano, i fornitori cambiano, le minacce evolvono, le normative si aggiornano. Mantenere la conformità e la postura di sicurezza nel tempo non è gestibile con interventi sporadici. Questo servizio presidia la sicurezza OT in modo strutturato — senza dover assumere un CISO interno.

  • Ruolo formale di OT Security Advisor esterno dell'organizzazione
  • Aggiornamento annuale del risk assessment IEC 62443: revisione di zone, conduit, SL e contromisure
  • Supervisione del piano di remediation: monitoraggio avanzamento, prioritizzazione, supporto decisionale
  • Gestione della supply chain cyber: valutazione dei fornitori critici, revisione dei contratti di sicurezza
  • Monitoraggio continuativo del threat landscape OT rilevante per il settore
  • Supporto nella gestione degli incidenti OT: interfaccia con il team tecnico interno e comunicazione al management
  • Interfaccia con assicuratori cyber per rinnovo e adeguamento delle polizze
  • Sessione mensile con CTO/responsabile OT per aggiornamento operativo
  • Sessione trimestrale con CEO per aggiornamento strategico e reportistica
  • Formazione annuale del team tecnico interno (1 modulo da 4 ore incluso)

PERCORSO ISA IEC 62443 EXPERT · MEMBRO CT CYBER ETSI — CYBERSECURITY

L'organizzazione deve aver completato un OT Compass. Il servizio richiede accesso continuativo alla documentazione dell'impianto e alla struttura IT/OT. Lettera di incarico formale.

Da dove vuoi partire?

Se non sei sicuro del punto di partenza giusto — formazione, CRA Reporting Ready o assessment diretto — il Regulatory Spark serve a questo: 45 minuti per capire l'esposizione effettiva e scegliere il passo successivo su basi concrete. Se hai già le idee chiare, scrivimi direttamente.

Prenota il Regulatory Spark — gratuito

Scrivimi