All’interno della Splendida cornice dello Spazio Novecento a Roma si è tenuta una delle tappe di avvicinamento a SPS dal titolo Come trasformare una fabbrica farmaceutica in una Smart Factory.

Si è parlato dunque di Pharma 4.0 e di come la Trasformazione Digitale ha impattato su un settore fortemente regolamentato come quello farmaceutico: dopo gli interessanti interventi introduttivi (mercato del digitale in Italia, principi di Cyber Security e case history italianissime), si è passati alla Tavola Rotonda dove il nostro Francesco Tieghi ha affrontato il delicato tema degli Standard, Direttive e Normative che regolano la produzione (e non solo) nel settore Pharma.

La premessa è quella che ad oggi non è più possibile pensare ad impianti (la cui produzione è critica per svariati e ovvi motivi) non coperti da adeguate azioni protettive nell’ambito della Cyber Security, tanto che le Istituzioni Europee e Mondiali stanno richiedendo standard sempre più elevati per la sicurezza informatica in questi ambiti: ecco un estratto del nostro intervento.

  • QUALI SONO LE NORMATIVE IN ARRIVO?
  • QUANTO TEMPO ABBIAMO PER “METTERCI IN REGOLA”?

Proviamo a rispondere in maniera rapida e precisa a queste domande.

Quando si parla di regolamentazioni in ambiente farmaceutico, i “testi sacri” sono ancora le GAMP.

Proprio per questo è importante come nelle GAMP 5 Second Edition si parli per la prima volta in maniera esplicita di elementi riguardanti la Cyber Security: lo si fa menzionando lo standard ISO 27000 ed in particolare l’elenco dei controlli presenti in ISO 27001.

Si tratta di 93 controlli (di cui 11 completamente nuovi) che sono presenti nell’ultima release del 2022 (erano 114 nella precedente versione): ricordiamo che ISO 27000 riguarda la gestione delle informazioni, il fatto che ad oggi le informazioni siano per la maggior parte digitalizzate lo rende uno standard di sicurezza informatica a tutti gli effetti.

In realtà questo accorgimento alle GAMP aggiunge un mattoncino ad un ecosistema che già è regolato da diversi standard (vedi IEC 62443) e direttive come la Direttiva Macchine: quest’ultimo in realtà è relativa alla safety in relazione all’uso dei macchinari industriali, ma in un mondo in cui queste macchine sono sempre più intelligenti ed interconnesse c’è da aspettarsi che nella nuova release (prevista entro il 2024) si faccia riferimento ad attività di controllo e verifica dei dispositivi, degli applicativi e delle connessioni che riguardano i macchinari stessi.

Quello che però rivoluzionerà l’approccio alla Cyber Security in ambiente Farmaceutico (e non solo) è l’arrivo di una Normativa (italiana ma che sarà

I Settori su cui ha impattato la prima release della Direttiva Europea NIS2

verosimilmente similare anche negli altri paesi dell’UE) derivante dalla nuova versione della Direttiva Europea NIS2. NIS nella sua versione iniziale è già applicata in Italia ma su un numero di aziende piuttosto ristretto, poiché prende in considerazione solo quelle che vengono definite infrastrutture critiche: dunque parliamo di acquedotti, trasporti, sistemi nel mondo finanziario e nel settore ospedaliero

La nuova revisione innanzi tutto introduce una duplice categoria, innalzando alla dicitura di “altamente critiche” le attività presenti nella versione originaria ed inserendo la categoria “critica” per tutte le attività che riguardano: fornitori di servizi postali, compresi i servizi di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, manifatture, fornitori di servizi digitali, ricerca.

Quindi certamente il Farmaceutico è uno dei settori coinvolti anche se bisognerà che ogni stato membro UE definisca quello che nella NIS2 viene indicato come “Tutte le aziende, a partire dalle medie che operano nei citati settori, sono oggetto di applicazione della direttiva.

Le disposizioni potrebbero essere applicate anche alle imprese di piccole dimensioni, qualora siano ritenute essenziali per la vita economico sociale di uno Stato membro.”

Un altro aspetto interessante da segnalare è che si aggiunge un ulteriore grado di criticità (critico a livello europeo) quando l’attività è presente in almeno 6 paesi della UE.
Ma quindi… cosa vi chiederà di considerare la NIS2?

Ecco un piccolo elenco:

  • Analisi dei rischi e politiche di sicurezza dei sistemi informativi
  • Gestione degli incidenti (prevenzione, rilevamento e risposta agli incidenti)
  • Continuità operativa e gestione delle crisi
  • Sicurezza della catena di fornitura: inclusi gli aspetti relativi alla sicurezza delle relazioni tra ciascuna entità e i suoi fornitori o fornitori di servizi (come fornitori di archiviazione dati e servizi di elaborazione o fornitori di servizi di sicurezza gestiti)
  • Sicurezza nell’acquisizione, sviluppo e manutenzione di reti e sistemi informativi, inclusa la gestione e la divulgazione delle vulnerabilità
  • Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio di sicurezza informatica
  • L’uso della crittografia e cifratura

Sono molte attività, soprattutto considerando che la Direttiva Europea è stata approvata e pubblicata nel Dicembre del 2022 e dovrà essere recepita, messa a terrà come Normativa e applicata entro l’Ottobre del 2024.

Meno di due anni e le attività da portare avanti sono tante. Buon Lavoro.