La Direttiva Macchine 2006/42/CE, a distanza di 16 anni (12 se si considera il decreto legislativo n. 17 del 27 gennaio 2010 con cui è stata recepita in Italia), dovrebbe essere sostituita forse entro la fine del 2022 dal nuovo Regolamento Macchine. Quest’ultimo, licenziato come proposta ufficiale dalla Commissione europea il 21 aprile 2021, ha subito fino a oggi diverse modifiche, le ultime delle quali risalgono al 3 maggio scorso (qui il report del Parlamento europeo pubblicato il 5 maggio che contiene gli emendamenti più recenti). Quale che sia la versione definitiva del testo, va rilevato anzitutto che la forma giuridica scelta, quella del regolamento, implica l’immediata applicabilità negli Stati membri, a differenza di quanto avvenuto con la Direttiva. L’intento è quello di fornire uno standard omogeneo per tutta Europa che non sia soggetto ad alcuna discrezionalità territoriale. Va anche detto che, dal momento della sua entrata in vigore, il Regolamento Macchine diventerà obbligatorio entro i successivi 30 mesi, senza dimenticare che è previsto un periodo transitorio di 42 mesi durante i quali la vecchia Direttiva continuerà a rappresentare la normativa di riferimento. Il fatto che i tempi di attuazione del nuovo Regolamento siano dilatati non deve tuttavia trarre in inganno i soggetti chiamati a recepirlo. La ratio su cui si fonda, infatti, tiene conto dei cambiamenti tecnologici che in questi anni hanno reso obsoleta la Direttiva 2006/42/CE soprattutto nel campo della cybersecurity OT (Operational Technology). Non a caso esiste uno standard internazionale come l’IEC 62443 che, pur avendo carattere volontario, punta a mettere in sicurezza gli impianti industriali, con particolare riguardo a quelli che operano secondo il paradigma di Industry 4.0.
Il nuovo Regolamento Macchine sarà uno dei temi che verranno affrontati il prossimo 21 giugno dalle 16.30 alle 18, nel corso dell’evento “Connettività IIoT e Cybersecurity: con Siemens per la transizione digitale”. Iscrizioni a questo link
Le principali novità del Regolamento Macchine
Definizione di macchina
La prima novità del regolamento attiene alla definizione del concetto di “macchina”, suddiviso tra macchine, prodotti correlati (attrezzature intercambiabili, componenti di sicurezza, catene, funi e cinghie, dispositivi amovibili di trasmissione meccanica) e quasi macchine. Con riferimento a queste ultime, la Direttiva 2006/42/CE prestava il fianco a diverse interpretazioni, mentre il nuovo Regolamento propone una definizione che circoscrive il campo a quelle che non possono funzionare da sole per raggiungere una specifica applicazione, che sono costruite per essere incorporate in una macchina o, in alternativa, per essere assemblate con altre così da creare un machinery product.
Componente di sicurezza
Il regolamento innova anche la definizione di componente di sicurezza che, nell’ultima versione del testo, può essere “fisico o digitale, compreso il software, di un prodotto macchina, a eccezione delle quasi-macchine, progettato o destinato a svolgere una funzione di sicurezza e immesso autonomamente sul mercato”. Nell’elenco dei componenti di sicurezza, quelli che si basano sull’intelligenza artificiale, incorporati o meno nel macchinario, vengono classificati come prodotto macchina potenzialmente ad alto rischio. Di conseguenza, la valutazione della loro conformità deve coinvolgere una terza parte, così come previsto nel regolamento per tutti i macchinari ad alto rischio.
Software e cybersecurity
Il Regolamento colma una lacuna rispetto al Decreto 2006/42/CE in merito ai software che adesso rientrano tra i prodotti che devono avere marcatura CE e conformità UE alla stessa stregua di un qualsiasi prodotto “fisico”, tanto più se svolgono funzioni di sicurezza come nel caso citato sopra. Il Regolamento Macchine, infatti, prescrive l’obbligo che i software utilizzati per la cybersecurity siano muniti di adeguata certificazione ai sensi del Regolamento UE 2019/881 relativo alle competenze dell’ENISA, l’ex European Network and Information Security Agency che dal 2019 ha preso il nome di European Union Agency for Cybersecurity. In pratica, il costruttore deve prevedere by design che il collegamento della macchina con altri dispositivi sia nativamente protetto, onde evitare possibili attacchi o errori involontari. Cosa che, del resto, l’adozione dello standard IEC 62443 sugli IACS (Industrial Automation Control System) permette già oggi di realizzare. A questo si aggiunge l’obbligo di inserire il codice sorgente e la logica programmabile all’interno del fascicolo tecnico che, come per tutta la documentazione tecnica che accompagna i macchinari, può anche essere in formato digitale. La norma, infine, sancisce il dovere di avere uno storage di tutti gli interventi hardware e software ai fini della loro piena tracciabilità.
Modifica sostanziale
Un’altra novità si concentra sul legame tra RES (Requisiti essenziali di sicurezza) e modifica sostanziale. Qualsiasi modifica fisica o digitale (come ad esempio il cambio di un software) di un macchinario o di un prodotto correlato, che possa pregiudicare i requisiti di sicurezza originari, ricade sul soggetto che l’ha effettuata. Quindi, il costruttore, l’importatore o anche l’utilizzatore finale sono responsabili per la modifica che apportano. Ne deriva la necessità di procedere a una valutazione di conformità per verificare se l’alterazione rientri sotto la casistica della modifica sostanziale oppure meno. In caso affermativo, va “sanata” solo la componente della macchina interessata dal cambiamento.
Responsabili della conformità
Un’ulteriore novità è che gli oneri legati alla conformità dei prodotti, che nella Direttiva erano solo a carico del fabbricante, nel Regolamento sono anche a carico dell’importatore, del distributore e dell’eventuale mandatario, con un’enfasi sui criteri per identificare e rintracciare facilmente ciascuno di questi soggetti.
Interazione uomo-macchina nel nuovo Regolamento Macchine
Infine, un accenno merita anche il tentativo del testo normativo di adeguarsi alle tecnologie più recenti, come l’interazione uomo-macchina che avviene ad esempio tramite i robot collaborativi. Nell’ultima versione emendata del Regolamento Macchine si legge che bisogna “adattare l’interfaccia uomo-macchina del prodotto, compresi i sistemi di sicurezza e i sistemi di arresto di emergenza, alle caratteristiche prevedibili degli operatori, anche per quanto riguarda un prodotto-macchina con un comportamento o una logica totalmente o parzialmente evolutiva che è progettato per funzionare con vari livelli di autonomia”.
Il nuovo Regolamento Macchine sarà uno dei temi che verranno affrontati il prossimo 21 giugno dalle 16.30 alle 18, nel corso dell’evento “Connettività IIoT e Cybersecurity: con Siemens per la transizione digitale”. Iscrizioni a questo link