Requisiti NIS2 per il manufacturing: obblighi e opportunità

La direttiva NIS 2 dell’Unione europea è una di quelle normative in grado realmente di “ridefinire” il panorama della cybersicurezza, spingendo le aziende ad adottare un approccio proattivo e trasparente alla gestione dei rischi cyber e degli incidenti.

Entrata in vigore il 17 gennaio 2023, la NIS2 sostituisce la precedente direttiva NIS e amplia la platea di aziende che devono adottare disposizioni per proteggersi contro gli attacchi informatici.

Per le aziende manifatturiere la gestione della cyber security è un aspetto di primaria importanza, sia per il moltiplicarsi degli attacchi che per le ripercussioni che un attacco informatico può avere sul loro business.

La compliance con la normativa è però ancora oggi un fattore di criticità per molte aziende, che faticano a gestire le complessità legate ad ambienti produttivi sempre più digitalizzati e che, al contempo, sono esposti a un numero sempre maggiore di rischi.

L’evoluzione delle minacce informatiche a danno delle imprese manifatturiere

La digitalizzazione dei processi produttivi e la conseguente convergenza tra l’ambiente operativo e quello informatico (IT/OT) ha portato la manifattura ad essere sempre più nel mirino degli hacker.

Il trend trova conferma in diversi rapporti di settore. Già il rapporto Clusit (Associazione italiana per la sicurezza informatica) del 2021 evidenziava un significativo aumento degli attacchi informatici a danno delle imprese (+34% sul 2020), puntando i riflettori sulla necessità di adottare prontamente strategie in grado di migliorare la postura informatica delle realtà dell’industria.

Negli anni seguenti la manifattura è stata sempre più nel mirino dei criminali informatici: l’edizione 2023 del rapporto riportava una crescita degli attacchi a danno dell’industria del 79%. Fino ad arrivare al primo semestre del 2024 quando la manifattura si è aggiudicata il primato di settore più colpito nel nostro Paese.

L’ultima edizione del rapporto, relativa al 2024, ha confermato che le aziende manifatturiere italiane sono state vittime del 10% di tutti gli attacchi informatici registrati a livello globale. Un trend allarmante che evidenzia due cose: la prima è che la digitalizzazione degli ambienti produttivi non è stata accompagnata da un’altrettanto necessaria evoluzione della consapevolezza, e quindi anche una preparazione, rispetto ai rischi cyber; la seconda è che il fattore umano (che ha un ancora un peso molto significativo) è stato troppo a lungo sottovalutato dalle aziende.

Gestione dei rischi cyber, a chi si applica la direttiva NIS 2

L’evoluzione del panorama della cyber security ha reso necessario l’aggiornamento della normativa di riferimento a livello europeo, coinvolgendo quelle realtà e settori considerati strategici e importanti per la resilienza dell’economia europea.

La precedente direttiva NIS, nota anche come Direttiva sulla sicurezza delle reti e dei sistemi informativi, si applicava principalmente agli operatori di quei settori classificati come “essenziali”, tra cui energia, trasporti, settore bancario, mercati finanziari, infrastrutture digitali, sanità e fornitura e distribuzione di acqua potabile.

Lasciava però agli Stati membri la possibilità di decidere autonomamente quali industrie e aziende classificare come infrastrutture critiche. Con la direttiva NIS 2, invece, l’UE ha voluto definire settori e criteri universalmente applicabili, ampliando la platea di aziende che ricadono sotto obblighi di gestione dei rischi cyber per includere le infrastrutture “importanti”, comprendendo così un gran numero di industrie.

Undici settori rientrano nella categoria “infrastrutture critiche”, mentri altri sette sono classificati come “infrastrutture importanti”. In questo modo la direttiva NIS 2 si rivolge a tutti quegli ambiti in cui un eventuale guasto potrebbe comportare un rischio per la sicurezza o la salute pubblica, o rischi sistemici.

Per quanto riguarda la dimensione aziendale, sono direttamente interessate le medie imprese (tra 50 e 250 dipendenti) e quelle più grandi (oltre 250 dipendenti), mentre le aziende che operano nelle infrastrutture digitali e le entità pubbliche o i fornitori con un impatto transfrontaliero rientrano negli obblighi, indipendentemente dalla loro dimensione.

Quali sono gli obblighi per le aziende manifatturiere

La direttiva NIS 2 introduce obblighi stringenti per le aziende rientranti nel suo perimetro che devono adottare un approccio sistematico alla gestione dei rischi di cyber sicurezza.

Le imprese a cui si rivolge la direttiva sono chiamate a implementare misure efficaci per quanto riguarda diversi aspetti della sicurezza informatica, come la gestione dei rischi cyber – anche lungo la supply chain -, la governance, la formazione del personale e gli obblighi di comunicazione in caso che si verifichi un attacco.

Nello specifico, per quanto riguarda la governance, la direttiva prevede che la direzione aziendale debba assumere una responsabilità diretta nell’instaurare regole e processi e nel valutare l’efficacia delle misure adottate.

Un pilastro fondamentale è la gestione del rischio (risk management), con l’obbligo per le aziende di identificare, comprendere e valutare le vulnerabilità e i potenziali punti di attacco, nonché le possibili conseguenze di un incidente. A ciò si aggiunge l’obbligo di mappatura e gestione degli asset, che prevede la copertura di tutti i componenti essenziali per l’erogazione dei servizi (PLC, componenti di automazione e macchine) che devono essere registrati e monitorati digitalmente.

La direttiva pone inoltre l’accento sulla formazione del personale, una delle “vulnerabilità” maggiormente sfruttate dai criminali informatici, come dimostra l’aumento del numero di attacchi che usano tecniche di social engineering e di phishing (+87% nel 2024). Le aziende devono dotarsi di staff specializzato in cyber sicurezza e formare adeguatamente i dipendenti, integrando la sicurezza anche nei processi di reclutamento.

È richiesta quindi l’implementazione di un sistema di gestione della cybersecurity in linea con gli standard internazionali ma soprattutto, per l’italia, con il framework proposto recentemente da ACN, ovvero l’FNCDP_ v2.1 che definisce l’insieme dei requisiti per la prevenzione dei rischi legati alla sicurezza informatica secondo l’Agenzia.

In questo senso le imprese sono tenute inoltre a adottare soluzioni per il monitoraggio, la difesa e il ripristino immediato per prevenire o minimizzare i disservizi.

La NIS 2 spinge le aziende a guardare anche alle vulnerabilità al di fuori dei confini aziendali, estendendo gli obblighi alla gestione della catena di fornitura (supply chain): le aziende devono registrare, valutare e gestire i rischi di sicurezza derivanti dai propri fornitori.

La normativa introduce inoltre l’obbligo di notificare un eventuale attacco informatico alle autorità preposte entro 24 ore dalla scoperta, oltre che di adottare una serie di azioni di remediation (evento per cui l’azienda deve essere pronta) volte a ridurre al minimo la gravità e la durata del disservizio.  

La mancata conformità a queste nuove disposizioni può comportare sanzioni significative, fino a dieci milioni di euro o il due percento del fatturato globale annuo.

Cyber Security industriale: un percorso ancora in salita

La direttiva sta spingendo molte aziende a investire nella sicurezza informatica, sebbene il percorso di adeguamento presenti notevoli complessità.

Già nel 2021 una survey condotta dall’autorità europea per la sicurezza informatica ENISA aveva rilevato che solo l’82% delle aziende intervistate prevedevano di allinearsi ai requisiti della normativa entro la fine dell’anno, nonostante già la direttiva NIS 1 aveva introdotto specifici obblighi in materia di sicurezza informatica per una platea numerosa di aziende.

Anche l’evoluzione del numero e della gravità degli attacchi informatici suggerisce che c’è ancora molta strada da fare per adottare una postura di cyber security in grado di proteggere davvero le imprese, anche quelle che ricadevano già sotto gli obblighi della precedente normativa.

Il rapporto Clusit Energy & Utilities 2025 ha infatti evidenziato che gli attacchi informatici a danno delle imprese di questi settori nel primo trimestre del 2025 sono aumentati del 40% rispetto al 2023 e le proiezioni basate sui dati del primo trimestre 2025 indicano la possibilità di un ulteriore incremento del 21% entro la fine dell’anno.

Un recentissimo rapporto di Kaspersky dedicato al settore industriale ha invece evidenziato che nel 2024 il 90% delle organizzazioni industriali italiane è stato vittima di un attacco informatico, con il 57% ha dichiarato di aver dovuto affrontare tra le due e le tre interruzioni operative nel corso dell’ultimo anno.

Preoccupante è la percezione di sicurezza – o meglio, della mancata sicurezza – relativa a aspetti chiave della compliance alla direttiva NIS 2, come la sicurezza della supply chain. L’86% delle aziende intervistate ritiene che la propria supply chain connessa e automatizzata sia vulnerabile agli attacchi informatici, con il 43% che la ritiene molto vulnerabile. Dati allarmanti, se si considera che il costo di un attacco informatico per le aziende industriali supera 1 milione di dollari e può arrivare fino a 5 milioni.

Le principali criticità segnalate dalle imprese riguardano la capacità di quantificare il rischio informatico, valutando l’impatto su produzione e reputazione, e la complessità nel bilanciare la conformità normativa con gli obiettivi operativi. A ciò si aggiunge una diffusa carenza di competenze e conoscenze tecniche specifiche in materia di cybersicurezza.

Ostacoli che sono spesso più legati alla complessità delle tematiche e alla scarsa familiarità che ai limiti di budget. Le imprese faticano, inoltre, a gestire e integrare il vasto e complesso volume di informazioni provenienti da fonti diverse e a comprendere il contesto delle minacce cyber.

ServiTecno, soluzioni e servizi per la cyber security OT

ServiTecno supporta le aziende nell’affrontare queste criticità grazie a una profonda comprensione delle sfide e delle particolarità legate alla sicurezza informatica degli ambienti e delle tecnologie del mondo OT.

Da anni l’azienda ha infatti adottato un approccio alla sicurezza “by design” che permette di superare l’approccio “security-by-product”, troppo poco efficace visto il contesto tecnologico di molte aziende manifatturiere che vede ancora la presenza di molti macchinari legacy e tecnologie diverse connesse tra loro.

L’offerta di ServiTecno si articola attorno a tre tematiche imprescindibili per garantire impianti sicuri ed efficienti:

• l’Anomaly Detection, che si traduce in una profonda conoscenza degli asset per riconoscere e prevenire anomalie 

• il Backup & Restart, volto a ridurre al minimo i tempi di inattività e facilitare il ripristino delle configurazioni 

• la Comunicazione Sicura tra i sistemi di fabbrica e la rete enterprise 

Il portafoglio di prodotti e servizi offerti si distingue per la presenza di soluzioni in grado di migliorare la postura informatica delle aziende dell’industria a 360°, aiutandole a tutelare i propri asset per prevenire attacchi informatici, ma anche a rendersi pronte a reagire nel caso si verifichino. A questo scopo, ServiTecno supporta le aziende nella definizione di un “piano B” o “paracadute”, aiutandole a ripartire rapidamente in caso di compromissione.

L’offerta di soluzioni dedicate alla cyber security industriale si completa con un corso dedicato alla cybersecurity OT.