Direttiva NIS2: creare una vera cultura sulla sicurezza nelle aziende manifatturiere

Non si tratta solo di tracciare una linea di condotta in ambito sicurezza informatica ma un vero e proprio spartiacque tra un passato e un presente/futuro che veda la costruzione di una vera e propria cultura della sicurezza in azienda.

L’entrata in vigore del Decreto Legislativo 138/2024, che recepisce la direttiva europea NIS2, rappresenta una svolta decisiva per la cybersecurity delle infrastrutture critiche. Sebbene la piena operatività sia prevista tra il 2025 e il 2026, le aziende, in particolare quelle manifatturiere che gestiscono sistemi industriali complessi (OT/ICS), devono iniziare sin da ora a prepararsi.

La direttiva NIS2 amplia la portata della precedente normativa NIS, introducendo nuovi obblighi di segnalazione degli incidenti di sicurezza informatica e rafforzando le responsabilità delle organizzazioni classificate come “essenziali” o “importanti” in 11 settori chiave, tra cui l’industria manifatturiera.

«NIS2 segna un cambio di paradigma: non si tratta solo di conformità, ma di costruire una vera cultura della sicurezza nei contesti industriali», sottolinea Davide Ricci, Regional Sales Director Italia di Nozomi Networks.

Cosa cambia con la direttiva NIS2

Il principale cambiamento introdotto dalla NIS2 è l’obbligo per le aziende di segnalare senza ritardi ingiustificati gli incidenti significativi che impattano la riservatezza, l’integrità o la disponibilità dei sistemi critici. Il processo di reporting si articola in più fasi:

• Avviso tempestivo (entro 24 ore): se si sospetta che l’incidente sia di origine dolosa o possa avere effetti transfrontalieri.
• Notifica dell’incidente (entro 72 ore): con un aggiornamento dettagliato sull’accaduto.
• Rapporto intermedio (se richiesto): per tenere informate le autorità sull’evoluzione della situazione.
• Report finale (entro un mese): con un’analisi completa delle cause, delle misure adottate e delle eventuali implicazioni transfrontaliere.

  

Perché le aziende manifatturiere devono prestare particolare attenzione

Il settore manifatturiero, sempre più digitalizzato, è tra i più esposti agli attacchi cyber: sistemi Scada, PLC e reti OT sono spesso il punto debole, e un incidente può causare fermi produzione, danni economici e rischi per la sicurezza fisica.

Con la NIS2, l’inadeguata gestione degli incidenti o la mancata segnalazione può tradursi non solo in danni reputazionali e operativi, ma anche in sanzioni amministrative.

«La trasformazione digitale dell’industria sta ampliando la superficie di attacco. Per questo serve una visibilità completa degli ambienti OT/ICS, e serve oggi, non tra un anno», avverte Ricci.

Come prepararsi: un percorso in 4 fasi

Le aziende manifatturiere devono affrontare il tema con un approccio strategico e graduale. Ecco un percorso consigliato:

Definire cosa segnalare

Identificare, in base al contesto produttivo, quali eventi costituiscono incidenti “significativi”.

Simulare e fare pratica

Esercitarsi nel processo di segnalazione: simulare incidenti, misurare i tempi di risposta e valutare la capacità di raccogliere tutte le informazioni richieste.

Analizzare le performance

Monitorare il numero di incidenti segnalabili e misurare il tempo richiesto per soddisfare i requisiti della direttiva.

Apprendere dai risultati

Rivedere le definizioni, migliorare i processi interni e ottimizzare i flussi informativi.

Il ruolo delle aziende specializzate in sicurezza OT/ICS

Molte aziende manifatturiere non hanno competenze interne sufficienti per affrontare in autonomia le complessità della NIS2. In questo contesto, il supporto di partner specializzati con forte esperienza nella sicurezza OT/ICS è determinante.

«Non basta installare un software o un firewall. Serve un approccio olistico: conoscere gli asset, monitorare in tempo reale, rispondere con prontezza e documentare in modo strutturato», spiega Ricci.

Non solo obblighi, ma un’opportunità

La direttiva NIS2 non deve essere vista solo come un vincolo, ma come un’opportunità per rafforzare la propria resilienza, proteggere il business e assicurare la continuità operativa.
Per le aziende manifatturiere, è il momento di valutare la propria capacità di rilevare, rispondere e comunicare efficacemente un incidente cyber. Un’organizzazione preparata sarà più reattiva, più affidabile, e più competitiva in un mercato sempre più digitale e interconnesso.