LOADING…

Herholdt’s Lab Log · Maggio 14 2026

Cybersecurity di un contatore industriale: cosa cambia entro dicembre 2027

Un contatore di energia non è più un dispositivo. È un nodo.

Ha un indirizzo IP, espone una porta Modbus, accetta aggiornamenti firmware, sincronizza il proprio orologio su un server di rete, condivide log con piattaforme SCADA o sistemi di energy management cloud. Tutto ciò che lo rende utile lo rende anche attaccabile.

Per anni, la sicurezza di un contatore industriale è stata un argomento separato, appannaggio del responsabile IT del cliente finale, distinto dai requisiti tecnici scritti nei capitolati OEM. Negli ultimi diciotto mesi questa separazione è finita. Il rischio cyber è entrato nel perimetro del prodotto. Per chi progetta, costruisce e vende contatori industriali in Europa, il quadro regolatorio del 2024–2027 ha già definito le scadenze.

Il rischio è cambiato di natura

Il manifatturiero europeo è da anni nei primi tre settori per numero di incidenti cyber registrati, insieme a finanza ed energia. Ciò che è cambiato negli ultimi due anni è la natura del rischio.

Non sono più, prevalentemente, attacchi opportunistici di ransomware sui sistemi IT aziendali. Quelli ci sono ancora, ma sono diventati il rumore di fondo. Il rischio strutturale oggi è la supply chain: l’attaccante non punta più solo al bersaglio finale, punta a un fornitore della catena, sapendo che da quella posizione può raggiungere centinaia o migliaia di sistemi installati.

A questa ridefinizione si è sovrapposto, negli ultimi diciotto mesi, l’effetto dell’intelligenza artificiale generativa sulla scala dell’attacco. Strumenti che fino al 2023 richiedevano un attaccante umano qualificato (fuzzing su parser di rete, generazione di varianti di payload, ricerca automatica di vulnerabilità in firmware proprietario) oggi sono economicamente accessibili a un attaccante medio. Non è cambiata la sofisticazione del singolo attacco: è cambiata la frequenza con cui un dispositivo connesso viene effettivamente sondato in produzione.

Per un produttore OEM di contatori, questo si traduce in due fatti operativi. Il primo è che la propria postura di sicurezza aziendale è diventata un parametro di qualifica fornitore: utility, gestori di data center, integratori EVSE oggi includono nel processo di onboarding una valutazione formale della maturità informatica del produttore. Il secondo è che il prodotto stesso è diventato il vettore di attacco potenziale verso il cliente: una vulnerabilità nel firmware di un contatore installato in cinquemila stazioni di ricarica non è una questione del firmware, è esposizione operativa per cinquemila punti di consegna. La responsabilità — tecnica, contrattuale, e ora regolatoria — torna al produttore.

Tre regolamenti, tre scadenze, una direzione

L’Europa ha pubblicato negli ultimi diciotto mesi il framework regolatorio più strutturato al mondo per la sicurezza dei prodotti digitali. Per chi produce contatori industriali, le tre fonti rilevanti sono in convergenza.

Il Cyber Resilience Act (Regolamento UE 2024/2847) è entrato in vigore il 10 dicembre 2024. Si applica a qualsiasi prodotto con elementi digitali immesso sul mercato UE: i contatori connessi rientrano senza ambiguità. Il calendario operativo è già scritto. Dall’11 settembre 2026, le vulnerabilità sfruttate attivamente vanno notificate al CSIRT nazionale di coordinamento e all’ENISA con un preallarme entro 24 ore, dettagli entro 72 ore, relazione finale entro 14 giorni dal rilascio della patch. Dall’11 dicembre 2027, l’intero regolamento diventa pienamente applicabile: ogni prodotto immesso sul mercato deve essere conforme. Le sanzioni arrivano fino al 2,5% del fatturato globale, un parametro che cambia il calcolo del rischio anche per chi tradizionalmente ha trattato la cybersecurity come voce a budget secondaria.

La RED 2014/53/UE (Direttiva sulle apparecchiature radio) ha già raggiunto la sua scadenza il 1° agosto 2025. Per qualsiasi dispositivo con interfaccia radio (WiFi, Bluetooth, cellulare) immesso sul mercato europeo, gli articoli 3.3(d), 3.3(e), 3.3(f) impongono requisiti specifici di cybersecurity. Lo standard armonizzato per la conformità è EN 18031, in tre parti: 18031-1 sulla protezione della rete, 18031-2 sulla protezione di dati personali e privacy, 18031-3 sulla protezione da frodi finanziarie. Per un OEM che vende contatori con WiFi o cellular, RED non è una prospettiva: è già un requisito legale per la marcatura CE.

IEC 62443 è lo standard tecnico internazionale per la sicurezza dei sistemi di automazione industriale. La parte 4-1 definisce i requisiti di processo per lo sviluppo sicuro di prodotti (il Security Development Lifecycle). La parte 4-2 definisce i requisiti tecnici dei singoli componenti: autenticazione, integrità, riservatezza, gestione delle credenziali, protezione delle interfacce. Non è obbligatorio per legge in Europa. È però il vocabolario tecnico in cui le bozze degli standard armonizzati del CRA (attese in pubblico nel quarto trimestre 2026) verranno scritte. Chi oggi struttura il proprio processo di sviluppo prodotto su IEC 62443-4-1 e i propri prodotti su 62443-4-2 non sta anticipando una buona pratica: sta pre-allineandosi al testo che diventerà obbligatorio diciotto mesi dopo.

Cosa succederà al mercato fra settembre 2026 e dicembre 2027

Il mercato dei prodotti industriali connessi è oggi in una condizione asimmetrica che non sopravvivrà a queste scadenze.

Una larga parte dei contatori industriali oggi installati in Europa è stata progettata sotto un’assunzione che non era irragionevole all’epoca: la cybersecurity è una funzione che si configura sul perimetro di rete del cliente, non una caratteristica da incorporare nel firmware del singolo dispositivo. Bootloader non firmati, immagini firmware non cifrate, credenziali di provisioning condivise tra unità, comunicazioni di rete in chiaro, assenza di canale formale per la divulgazione di vulnerabilità: sono prassi di progetto largamente diffuse fino al 2022, ancora frequenti nel parco prodotti commercialmente attivo.

Il problema operativo, per i produttori che si trovano in questa condizione, è che il CRA non si applica solo ai nuovi prodotti. Si applica a qualsiasi prodotto immesso sul mercato dopo dicembre 2027, inclusi prodotti consolidati da anni e in produzione corrente. Modificare hardware e firmware di una linea consolidata per renderla conforme non è un esercizio tecnico marginale: tocca la BOM, tocca il processo produttivo, tocca i contratti con i clienti che hanno specificato quel prodotto, tocca le scorte già fabbricate.

Una preoccupazione specifica riguarda il bus di campo più diffuso in ambito industriale, Modbus. Centinaia di migliaia di dispositivi nei sistemi di energy management, building automation, controllo di processo comunicano oggi via Modbus RTU su RS-485 o Modbus TCP su Ethernet. Il protocollo, nato negli anni Settanta, non prevede nativamente né autenticazione né cifratura. La conformità ai requisiti CRA su un nodo Modbus richiede o l’adozione di Modbus secure (estensione recente, scarsamente diffusa nei dispositivi installati) o l’incapsulamento del traffico in un canale TLS gestito a livello applicativo. In entrambi i casi, è una modifica significativa che non si risolve con un firmware update.

Il mercato sembra largamente impreparato a questa transizione. Le ragioni sono prevedibili: l’orizzonte di dicembre 2027 sembra lontano in fase di pianificazione commerciale; le bozze di standard armonizzati attese per Q4 2026 alimentano la convinzione che si possa attendere; la certificazione CRA per prodotti di Classe Importante richiederà un Notified Body (gli Stati membri devono notificarli entro l’11 giugno 2026) e la capacità europea di valutazione di terza parte è oggi limitata. Chi inizia il percorso a metà 2026 troverà code, lead time lunghi, costi crescenti.

Cosa significa, oggi, essere un fornitore preparato

Lavorare oggi sulla conformità futura significa applicare al prodotto e al processo i due standard che, in sostanza, anticipano il contenuto tecnico delle norme armonizzate del CRA: IEC 62443-4-1 sul ciclo di sviluppo, IEC 62443-4-2 sui requisiti del prodotto.

Una gap-analysis condotta oggi su 62443-4-1 e 4-2 produce due risultati di valore strategico: stabilisce dove un prodotto è già allineato al testo che diventerà obbligatorio nel 2027, e identifica con precisione quali interventi sono ancora necessari mentre c’è tempo per pianificarli.

Herholdt Controls sta conducendo questa analisi sui propri prodotti e sui propri processi di sviluppo, in dialogo continuo con enti notificati che parteciperanno alla valutazione di conformità una volta che gli Stati membri avranno completato le notifiche previste per giugno 2026. Non è una posizione di marketing: è il calendario di lavoro che la convergenza fra CRA, RED ed evoluzione delle norme armonizzate impone a chiunque voglia continuare a fornire prodotti connessi nel mercato europeo dopo dicembre 2027.

La sicurezza non comincia in officina

Costruire un prodotto sicuro non è solo un problema di architettura del prodotto. È un problema di architettura dell’organizzazione che lo costruisce.

Un firmware è sicuro se, e solo se, la catena di custodia che porta dal codice al binario installato è sicura: chi accede ai sorgenti, chi può firmare il binario rilasciato, dove sono custodite le chiavi di firma, come si gestiscono gli accessi privilegiati alla rete di sviluppo, come si tracciano e si notificano le anomalie, come si conservano gli artefatti di build per la durata di vita del prodotto. Se uno qualsiasi di questi anelli cede, il prodotto risultante può essere tecnicamente impeccabile e sostanzialmente compromesso.

Per questo, il framework regolatorio europeo non si limita a chiedere requisiti tecnici al prodotto. Chiede al produttore di dimostrare che esiste un sistema strutturato di gestione della sicurezza dell’informazione interna: controllo accessi, classificazione dati, gestione fornitori, risposta agli incidenti, audit periodici, miglioramento continuo. Il vocabolario lo riconoscono i professionisti del settore: è il linguaggio dei sistemi di gestione certificabili a livello internazionale, oggi prerequisito implicito per chi opera in catene di fornitura critiche.

Un fornitore serio di un prodotto destinato all’integrazione in infrastrutture connesse non può limitarsi a costruire un contatore sicuro. Deve costruirlo dentro un’organizzazione che applica gli stessi principi di disciplina a sé stessa. È un lavoro che non si vede nella scheda tecnica, ma si vede in fase di due diligence, e che diventa visibile nei capitolati dei clienti regolati da NIS2, i quali, per obbligo proprio, devono qualificare i loro fornitori critici con criteri formali di postura informatica.

Workflow del Product Manager per la conformità RED.

Un passo concreto: M3PRO IP+ e la conformità RED 2014/53

A The Smarter E Europe (Monaco di Baviera, dal 23 al 25 giugno 2026), presenteremo il M3PRO IP+, evoluzione della linea con interfaccia di rete cablata a cui è stata aggiunta opzionalmente la connessione WiFi. L’integrazione del WiFi attiva, per il prodotto, l’applicabilità della Direttiva RED 2014/53/UE.

M3PRO 80 IP+ MID.

In queste settimane stiamo concludendo la procedura di certificazione del prodotto secondo l’Articolo 3.3(d) della RED 2014/53/UE in conformità allo standard armonizzato EN 18031-1. Il percorso comprende revisione del codice firmware, valutazione della robustezza dei componenti e penetration test eseguiti con metodologie allo stato dell’arte, condotti in laboratorio accreditato. Il M3PRO IP+ è il primo prodotto della linea Herholdt Controls a completare questo percorso integralmente.

Il valore di questa certificazione, dal punto di vista di un OEM o di un integratore che lo specifica nei propri sistemi, non è la presenza in sé del marchio CE (la marcatura RED è già obbligatoria dal 1° agosto 2025 per qualsiasi prodotto wireless immesso sul mercato europeo). Il valore è la traccia documentale del processo: file tecnico EN 18031-1, report di test del laboratorio, evidenze di penetration test. È il tipo di documentazione che, fra diciotto mesi, sarà richiesta in modo molto più stringente sotto CRA, e che oggi distingue un fornitore già pronto da uno che dovrà costruirla mentre il calendario stringe.

Cosa significa per un OEM

Per un OEM che oggi sta scrivendo un capitolato per un contatore destinato a un’applicazione connessa, le domande tecniche al fornitore non sono più un’appendice. Sono il nucleo della valutazione.

  • Il prodotto è certificato o autodichiarato conforme a IEC 62443-4-1 (processo di sviluppo) e 62443-4-2 (requisiti tecnici di prodotto)? La documentazione del Security Development Lifecycle è disponibile in fase di qualifica?
  • Per i prodotti con interfaccia radio: la conformità a RED 2014/53 (articoli 3.3 d/e/f) è certificata secondo EN 18031, con quale parte specifica e quale Notified Body?
  • Il bootloader implementa secure boot con firma crittografica del firmware applicativo? Le chiavi di firma sono gestite in HSM o secure element fisico, e dove fisicamente?
  • Esiste un Software Bill of Materials generato automaticamente come artefatto di build e aggiornato a ogni rilascio?
  • Il fornitore espone un canale di Coordinated Vulnerability Disclosure conforme alla bozza CRA? Qual è il processo di gestione delle patch dichiarato? Le scadenze di notifica al CSIRT (24h preallarme, 72h notifica, 14 giorni dopo patch) sono incorporate nel processo interno?
  • Per quanti anni dopo l’ultima vendita il fornitore garantisce supporto sicurezza? Come vengono distribuiti gli aggiornamenti su flotte già in campo, e con quali garanzie di integrità?
  • Il fornitore opera dentro un sistema di gestione della sicurezza dell’informazione strutturato secondo standard internazionali riconosciuti?

Un fornitore che risponde a queste domande con la stessa struttura (riferimento normativo, evidenza tecnica, processo documentato, scadenza temporale) ha fatto il lavoro. Un fornitore che risponde con generici impegni di principio sta dichiarando una conformità che dovrà costruire dopo la firma del contratto, e in un mercato dove la capacità di valutazione di terza parte sarà limitata e congestionata fra il 2026 e il 2027.

A diciotto mesi dalla piena applicabilità del Cyber Resilience Act, la cybersecurity di un contatore industriale ha smesso di essere un attributo opzionale. È diventata, per prodotto e per organizzazione, il discrimine fra chi continuerà a operare nei mercati europei e chi no.

Contatta il nostro team per maggiori informazioni

Articoli correlati

Mag 21 2026
Cybersecurity aziendale: cosa significa essere soggetto Importante NIS2 per un produttore di apparecchiature elettriche

Cybersecurity aziendale: cosa significa essere soggetto Importante NIS2 per un produttore di apparecchiature elettriche
Mag 7 2026
L’architettura firmware di un contatore: quattro livelli di customizzazione, una sola parola usata per tutti

L’architettura firmware di un contatore: quattro livelli di customizzazione, una sola parola usata per tutti
Apr 30 2026
Misura DC e Bidirezionale nei Contatori di Energia: dove si rompe l’architettura ereditata dall’AC

Misura DC e Bidirezionale nei Contatori di Energia: dove si rompe l’architettura ereditata dall’AC
Apr 23 2026
Sensori di corrente nei contatori di energia: shunt, TA, Rogowski, effetto Hall. Perché il front-end di misura definisce il progetto

Sensori di corrente nei contatori di energia: shunt, TA, Rogowski, effetto Hall. Perché il front-end di misura definisce il progetto
Apr 16 2026
Gestione termica nella progettazione dei contatori di energia: perché l’elemento di misura è anche la tua principale fonte di calore

Gestione termica nella progettazione dei contatori di energia: perché l’elemento di misura è anche la tua principale fonte di calore
Apr 9 2026
Conformità EMC per i contatori di energia: il problema invisibile che manda in crisi i progetti

Conformità EMC per i contatori di energia: il problema invisibile che manda in crisi i progetti
Leggi tutte le news

Contattaci

Che tu abbia una domanda tecnica, abbia bisogno di supporto per un progetto specifico o sia interessato a collaborare con noi su una soluzione su misura, saremo felici di ascoltarti.

Ti interessa entrare nel nostro team? Clicca qui ↗