Nuova Direttiva Macchine: Cosa devi fare nel 2026 per il Regolamento 2023/1230

Gennaio 2027 non è una data, è un muro

Se pensi che il Regolamento (UE) 2023/1230 sia solo un aggiornamento della vecchia Direttiva Macchine, stai sottovalutando il rischio legale e operativo della tua azienda. La Direttiva 2006/42/CE è morta. Il nuovo Regolamento è legge pura, non ammette deroghe e trasforma radicalmente il concetto di “sicurezza” nell’industria europea.

Il mito dell’impianto isolato (Air-Gap) è ufficialmente sepolto.

Oggi, la sicurezza funzionale (Safety) non esiste senza la sicurezza informatica (Security). Un attacco hacker che altera una soglia di velocità o bypassa un arresto d’emergenza non è più un “problema IT” da risolvere chiamando il “tecnico”: è un guasto meccanico indotto con responsabilità diretta del costruttore e dell’integratore.

Nel 2026, prepararsi non significa cambiare un manuale d’uso. Significa:

Blindare i quadri elettrici e le reti OT contro la corruzione dei dati.

Validare il software come se fosse un componente hardware critico (ISO 13849-1).

Garantire che l’integrazione dei dati di sistema sia immutabile e verificabile.

In VIS Ingegneria non vendiamo certificati o certificazioni di facciata: applichiamo le best practice industriali affinché l’integrazione dei tuoi impianti elettrici, elettronici e di sorveglianza sia conforme, sicura e pronta per l’audit del 2027.

Ecco cosa devi smettere di fare e cosa devi iniziare a implementare subito.

Come implementare la “Security by Design”

Smetti di pensare alla cybersecurity come un “software da installare”:

Ecco i pilastri operativi per rendere un impianto conforme al Regolamento Macchine 2023/1230 e alla Direttiva NIS2, seguendo le best practice industriali.

• Blindatura dell’Impianto (Sicurezza Fisica)

La sicurezza non inizia dai bit, ma dall’hardware. Ogni porta di comunicazione esposta, come USB o connettori di rete sono un cancello aperto. Per proteggere un impianto nel 2026, la prima mossa è la blindatura fisica: bisogna sigillare meccanicamente le porte non utilizzate e disattivare via software ogni servizio di diagnostica che non sia strettamente necessario.

In pratica, se un tecnico non deve collegarsi in quel momento, il “cancello” deve restare chiuso.

Inoltre, l’apertura del quadro elettrico deve essere monitorata e registrata in tempo reale: ogni accesso non autorizzato deve generare un allarme immediato; in ogni caso consigliamo di puntare una delle telecamere di sicurezza verso la zona dei pannelli elettronici e del server aziendale.

L’Inviolabilità del Sistema (Integrità e Gestione)

Nel nuovo panorama normativo, il software che fa girare la macchina è considerato un componente critico tanto quanto un freno o una barriera laser. Per garantirne l’integrità, le unità di controllo (PLC) devono essere protette da password e livelli di accesso granulari: chiunque tenti di modificare la logica di funzionamento deve essere identificato. Non basta però proteggere l’accesso umano; serve anche un controllo automatico della coerenza della logica di base (il firmware), per assicurarsi che il cuore del sistema non sia stato alterato da codici maligni o manomissioni invisibili. Ogni modifica ai parametri deve lasciare una traccia digitale indelebile.

Le Modifiche Sostanziali agli Impianti Elettrici

La “Modifica Sostanziale” è il punto dove la maggior parte delle aziende italiane si farà male legalmente nel 2026. Molti manutentori e responsabili tecnici pensano di fare “semplice manutenzione” quando invece stanno diventando, a loro insaputa, i nuovi fabbricanti dell’impianto.

Secondo il Regolamento 2023/1230, se modifichi un impianto in modo che le sue prestazioni o le sue funzioni di sicurezza cambino, non sei più un manutentore: sei un costruttore. Questo significa che la vecchia marcatura CE decade e devi rifare tutto il fascicolo tecnico. Se il tutto ti appare complicato lo è soltanto perché in molti hanno sottovalutato la crescente complessità degli impianti moderni attribuendo alle “certificazioni” il ruolo del guastatore in un ambito altrimenti lineare.

Purtroppo il problema non sono i regolamenti ma la crescente complessità degli impianti moderni: in questo post voglio darti due semplicissimi "casi guida" per illustrare le regole generali.

Come NON cambiare un motore elettrico

Molti pensano che sostituire un motore con uno più “grosso” e potente o cambiare l’inverter sia un’operazione di ordinaria manutenzione. Non è così: quando aumenti la potenza, cambi le forze in gioco. La macchina potrebbe correre più veloce o spingere con più forza. Questo significa che le vecchie protezioni, come i freni o le barriere di sicurezza installate anni fa, potrebbero non essere più in grado di fermare la macchina in tempo in caso di pericolo.

Il pericolo nascosto dentro il software

Questo è un errore comunissimo per chi lavora, ad esempio, nel petrolchimico a Siracusa: pensare che modificare i programmi di controllo degli impianti sia solo un “aggiornamento”. Anche aggiungere un piccolo computer per raccogliere dati (per la Transizione 5.0) o inserire un nuovo sensore è considerata una modifica pesante. Che ci piaccia o meno questa sono le linee guida della moderna sicurezza industriale ed ogni elemento introduce criticità che devono essere prima riconosciute e poi documentate, pena severe sanzioni. Anche in “nuovo Sensore” può modificare consumi elettrici e tolleranza in fase di startup e complicare il lavoro ai tecnici e inoltre:

Se il nuovo pezzo di programma interferisce con i comandi di emergenza (come il tasto di stop), l’intera certificazione di sicurezza della macchina salta.

Cosa fare: Non si può più lavorare “a memoria”. Ogni modifica deve purtroppo essere registrata e archiviata in un database sicuro e non puoi farlo con un foglio Excel. Se dovesse succedere un incidente, l’archivio elettronico è l’unico modo per proteggersi legalmente è dimostrare con date e numeri che il programma o il sensore erano funzionanti e sono stati aggiunti in data X alla documentazione cartacea dell’impianto.

L'illusione della conformità manuale: perché Excel fallisce in raffineria

Affidare la sicurezza di un impianto a rischio incidente rilevante (RIR) a un foglio Excel o a un registro cartaceo non è solo antiquato: è un rischio legale enorme. In contesti critici come il polo petrolchimico di Priolo e Augusta, la tracciabilità deve essere nativa, automatica e, soprattutto, immutabile. Il nuovo Regolamento Macchine (UE) 2023/1230, in particolare nell'Allegato III, richiede prove certe dell'integrità del sistema. Un file Excel può essere modificato, cancellato o alterato senza lasciare traccia; un log automatizzato no. Di seguito trovi le regole guida per registrare e "notarizzare" le modifiche al tuo impianto e metterti in regola con le ispezioni.

Protezione Software e Cyber-resilience

Se fino al 2020 “Antivirus” e “Firewall” sembravano una barriera debole ma legalmente sufficiente a difendere i dati aziendali, la nuova Direttiva Macchine costringe le aziende a passare ad un livello molto superiore di protezione.

Il 2026 non è un anno qualunque per chi fa industria: è il confine sottile tra chi subisce le normative e chi impara a governarle. Con la scadenza del 20 gennaio 2027 che incombe, non basta più “mettere una pezza” o installare l’ultimo antivirus.

Siamo entrati nell’era della difesa in profondità. Immagina il tuo impianto non come una stanza chiusa a chiave, ma come una fortezza a strati: il firewall è solo il cancello esterno, ma se il cuore elettronico (il firmware) o i protocolli che gestiscono i comandi di stop (come il PROFIsafe) non sono blindati, la fortezza è destinata a cadere. La sicurezza moderna non accetta compromessi: o il dato è integro e protetto alla radice, o l’impianto è vulnerabile.

Perché parlarne ora con noi?

Non aspettare che il conto alla rovescia arrivi a zero per scoprire che i tuoi sistemi sono fuori norma o, peggio, insicuri. In VIS Ingegneria trasformiamo la complessità del nuovo Regolamento in una struttura tecnica solida e verificabile.

Analisi diretta: niente giri di parole, solo verifiche tecniche sui tuoi quadri e sulla tua rete.

Integrazione reale: valutiamo i tuoi log aziendali per darti una prova legale immutabile.

Best Practice industriali: applichiamo gli standard più elevati per la tua protezione.

Vuoi capire se il tuo impianto supererà l’audit del 2027? Alziamo il livello della tua sicurezza prima che diventi un’emergenza.

La situazione di Priolo Gargallo e Augusta (Siracusa)

Nel polo petrolchimico di Siracusa (Priolo, Augusta, Melilli), operiamo su impianti che sono monumenti dell’ingegneria del secolo scorso. Qui, il “cambio di un sensore” o l’aggiunta di un PLC per monitorare i fumi non è mai un’operazione isolata.

Il Regolamento (UE) 2023/1230 (Art. 3, punto 16) definisce come Modifica Sostanziale qualsiasi variazione che introduca nuovi rischi o aumenti quelli esistenti. Negli impianti antiquati di Augusta, la “complessità crescente” si scontra con una realtà di cavi usurati e logiche di sicurezza nate analogiche.

La clausola chiave (Allegato III, 1.1.9): La macchina deve essere progettata per proteggersi contro la corruzione accidentale o deliberata. Se colleghi un impianto degli anni ‘80 a una rete moderna per la Transizione 5.0 senza una blindatura specifica, stai violando questa clausola. In caso di incidente nelle raffinerie, la magistratura non cercherà il tuo foglio Excel: cercherà l’Audit Trail (la traccia delle modifiche) immutabile. Se non puoi dimostrare con query SQL certe chi ha modificato la logica del PLC e quando, la responsabilità del “fabbricante di fatto” ricadrà interamente su di te.

La conformità “Eterna”

Per chiudere il cerchio tecnico prima delle conclusioni, dobbiamo affrontare l’ultimo grande equivoco: la convinzione che la conformità sia un “evento statico” (faccio il certificato e sto a posto). Nel 2026, la conformità è un flusso di dati continuo.

Molti titolari d’azienda sono convinti che una marcatura CE ottenuta all’acquisto della macchina sia uno scudo eterno. La realtà tecnica del Regolamento 2023/1230 è opposta: la sicurezza deve essere garantita per tutto il ciclo di vita, specialmente se l’impianto viene “digitalizzato”. Se installi un gateway per inviare dati al gestionale, hai aperto un canale di comunicazione che prima non esisteva.

Secondo l’Allegato III, punto 1.1.9, devi garantire che questo canale non diventi una via d’accesso per alterare le funzioni di sicurezza.

Il muro del 20 gennaio 2027 non si scavalca con la carta, ma con l’ingegneria. Il rischio reale per le aziende, specialmente nei poli complessi come quello di Priolo Gargallo e Augusta, è trovarsi nel ruolo di fabbricante di fatto a causa di revamping elettrici o aggiornamenti software non documentati correttamente.

Sottovalutare la complessità degli impianti moderni è il modo più rapido per esporsi a sanzioni pesanti e responsabilità penali. La nuova era della sicurezza industriale richiede:

• Consapevolezza tecnica: Ogni modifica, anche software, è una scelta progettuale.

• Blindatura IT/OT: La difesa in profondità è l’unico modo per proteggere l’hardware dai rischi digitali.

• Dati immutabili: Solo ciò che è loggato correttamente su database sicuri ha valore legale durante un audit.

In VIS Ingegneria, non ci limitiamo a dirti cosa dice la legge: costruiamo l’infrastruttura tecnica affinché la legge non sia mai un problema per la tua produzione. Il tempo delle soluzioni “fai-da-te” su Excel è scaduto. È ora di applicare l’ingegneria vera.