Compliance · Per IT/OT manager e Plant Manager

Cybersecurity OT e NIS2: cosa cambia davvero per chi gestisce uno stabilimento.

Il D.Lgs. 138/2024 ha recepito NIS2 in Italia. Da fine 2024 sono entrate in vigore obblighi concreti per operatori essenziali e importanti — incluso buona parte del manifatturiero, F&B, automotive di scala e infrastrutture critiche. Questa guida spiega cosa significa NIS2 in pratica per uno stabilimento industriale, come si applica IEC 62443 come riferimento tecnico, e le 5 azioni minime da mettere in campo nei primi 90 giorni. Niente legalese inutile: solo cosa fare, e in che ordine.

Pubblicato
11 min di lettura
1 · NIS2

NIS2 in 60 secondi: chi è obbligato e da quando.

NIS2 (Direttiva UE 2022/2555) è la seconda generazione della Network and Information Security Directive. Sostituisce NIS1, allarga drasticamente il perimetro dei soggetti obbligati e introduce sanzioni serie. Italia ha recepito con D.Lgs. 4 settembre 2024 n. 138, in vigore dal 16 ottobre 2024.

Due categorie di soggetti coinvolti, con obblighi proporzionali:

  • Soggetti essenziali

    Energia, trasporti, banche, sanità, acque, infrastrutture digitali, PA, alcune filiere agroalimentari e manufatturiere ad alta criticità. Sanzioni amministrative fino a 10 milioni di euro o 2% del fatturato globale annuo (quello che è maggiore).

  • Soggetti importanti

    Manifattura (apparecchi medici, dispositivi elettronici, macchinari, autoveicoli, altri prodotti regolati), filiera alimentare a media scala, ricerca, servizi postali, gestione rifiuti, chimica, manifattura di alimenti. Sanzioni fino a 7 milioni di euro o 1,4% del fatturato globale.

  • Criterio dimensionale di default

    Per la maggior parte dei settori scatta dalla soglia di 50 dipendenti oppure 10 milioni di euro di fatturato annuo. Sotto: esclusione di principio. Sopra: dentro, salvo eccezioni settoriali.

  • Registro ACN e tempistiche

    I soggetti rilevanti hanno dovuto iscriversi al registro ACN (Agenzia per la Cybersicurezza Nazionale) entro il 28 febbraio 2025. Chi non si è ancora iscritto e rientra nei criteri è già fuori tempo massimo per la prima scadenza — la priorità diventa minimizzare il rischio sanzione.

Confusione frequente: "NIS2 è solo per le grandi banche e le utility". Falso. Il manifatturiero medio-grande (>50 dipendenti, fatturato >10M€) è dentro, in molti casi come "soggetto importante". L'auto-classificazione errata è la prima causa di non-compliance scoperta in audit.
2 · Definizione

Cybersecurity OT: perché non è cybersecurity IT con un'altra etichetta.

Il responsabile IT dello stabilimento sa proteggere i server di sede: firewall, antivirus, MFA, patch mensili. Tutto questo, applicato a un PLC Siemens degli anni 2010, non funziona o rompe la produzione. La cybersecurity OT (Operational Technology) ha tre vincoli che la IT classica non ha:

  • Disponibilità prima della riservatezza

    In IT la priorità è proteggere il dato (Confidentiality > Integrity > Availability). In OT la priorità si ribalta (Availability > Integrity > Confidentiality). Fermare una linea per applicare una patch costa più del rischio di esposizione del dato di temperatura della valvola.

  • Cicli vita lunghissimi

    Un PLC installato nel 2008 può ancora essere in produzione nel 2030. Non puoi assumere SO aggiornato, TLS moderno, password complex. La sicurezza si costruisce attorno al PLC che hai, non riscrivendolo.

  • Protocolli industriali specifici

    Profinet, Profibus, Modbus, EtherCAT, OPC UA. Storicamente progettati senza autenticazione né cifratura. Un attaccante sulla rete OT con accesso fisico ai cavi può iniettare comandi falsi al PLC. La protezione passa da segmentazione di rete e controllo accessi, non da "installiamo l'antivirus".

3 · Framework

IEC 62443: il framework tecnico che traduce NIS2 in pratica.

NIS2 dice "devi gestire i rischi cyber". IEC 62443 dice come. È lo standard internazionale di riferimento per la cybersecurity di sistemi di automazione e controllo industriale (IACS). I documenti utili in pratica:

  • IEC 62443-2-1 — Programma di sicurezza per asset owner

    Per chi gestisce lo stabilimento. Definisce processi: assessment, gestione rischio, policy, formazione, incident response. Questo è il documento da cui parte qualunque audit.

  • IEC 62443-3-3 — System security requirements e security levels

    Definisce 4 livelli (SL1-SL4). SL1 = protezione da violazione casuale. SL2 = attaccante con risorse basse. SL3 = attaccante OT-specialist con risorse moderate. SL4 = attaccante state-level. Per la maggior parte degli stabilimenti industriali italiani, SL2 è il target realistico per nuovi impianti.

  • Zone e conduits

    Il principio chiave: dividi la rete OT in zone (gruppi di asset con stesso livello di sicurezza richiesto) collegate da conduits (canali controllati). Esempio: zona campo (PLC), zona supervisione (SCADA/MES), zona uffici (IT). Tra le zone, firewall industriali che lasciano passare solo i protocolli e le porte autorizzate.

  • IEC 62443-4-2 — Component requirements

    Definisce cosa deve fare un singolo PLC, drive, HMI o gateway per essere "sicuro". Utile in fase di acquisto: chiedere al vendor la dichiarazione di conformità IEC 62443-4-2 livello SL2 è un filtro netto sui fornitori seri.

4 · Cosa fare nei primi 90 giorni

Le 5 azioni minime da mettere in piedi nei primi 90 giorni.

Per uno stabilimento che parte da zero o quasi (situazione tipica nel manifatturiero italiano medio-grande), queste cinque azioni coprono il 70% del rischio reale e portano un buon punteggio anche all'audit ACN. Sono compatibili con impianti in produzione — non richiedono fermi linea importanti se pianificate bene.

  • 1 · Inventario asset OT

    Tutto comincia qui: lista di tutti i PLC, HMI, drive, gateway, switch, IPC industriali presenti in rete OT, con IP, marca, modello, firmware. Senza questo elenco non sai cosa proteggere. Strumenti come Nozomi, Claroty, Tenable OT fanno questo automaticamente; in alternativa l'inventario manuale + Wireshark passivo funziona per stabilimenti piccoli.

  • 2 · Segmentazione rete OT/IT

    Firewall industriale (Stormshield, Fortinet, Siemens Scalance) tra rete uffici e rete OT. Solo i flussi necessari attraversano (es. MES verso ERP, SCADA verso historian). Nessun PLC raggiungibile direttamente da rete uffici, mai. Costo tipico: 5-15k€ per uno stabilimento medio.

  • 3 · Hardening accessi su PLC e SCADA

    Password di default cambiate (sì, ancora oggi troviamo "siemens/siemens" su impianti del 2024). Utenti SCADA personali e nominali, mai condivisi. Audit log attivo su SCADA e MES — chi ha fatto cosa, quando. Su PLC moderni (S7-1500): attiva la "know-how protection" per impedire upload/modifica non autorizzati.

  • 4 · Backup e disaster recovery

    Backup dei programmi PLC, configurazioni HMI, immagini server SCADA — su storage fuori rete OT (non sulla stessa rete che potrebbe essere compromessa). Test di restore documentato almeno annuale. Una ransomware in rete IT non deve poter compromettere anche i backup OT.

  • 5 · Procedura di incident response

    Documento di 2-5 pagine che dice: chi fa cosa nei primi 30 minuti da un sospetto incidente cyber, chi viene avvisato, come si isola la zona, come si notifica ACN entro 24/72 ore (obbligo NIS2). Test annuale con tabletop exercise — non serve esercitazione di campo, basta una riunione di 2 ore con scenario plausibile.

Queste cinque azioni non sono "compliance teatrale". Sono le cinque cose che un attaccante reale incontra per prime. Se le hai, hai già reso lo stabilimento un bersaglio scomodo — la maggior parte degli attaccanti opportunisti passa al prossimo.
5 · IOMA

Come affianchiamo NIS2 e cybersecurity OT in stabilimento.

IOMA non è un audit firm — non vendiamo carta. Quello che facciamo: assessment tecnico sull'impianto reale, progettazione architetturale per coprire i requisiti IEC 62443 e NIS2, implementazione delle misure (segmentazione, hardening, gestione utenze su SCADA e MES), supporto in caso di audit ACN o di richieste dei clienti enterprise sulla supply chain.

ARIA — la nostra piattaforma MES/SCADA — è progettata con audit log nativo, gestione utenti per ruoli, isolamento del livello di campo via ARIA Connector. Questo significa che lo strato applicativo di stabilimento è già pre-allineato a IEC 62443 per design, non patchato sopra.

FAQ

Domande frequenti su NIS2 e cybersecurity OT

Le domande che il Plant Manager fa prima di iniziare un progetto MES/SCADA.

Come faccio a sapere se sono obbligato a NIS2?

Tre filtri in sequenza: (1) il mio settore è nell'elenco degli essenziali o importanti del D.Lgs. 138/2024 (allegati I e II)? (2) supero 50 dipendenti o 10M€ di fatturato annuo? (3) la mia attività ha effettivamente rilievo per il settore indicato? Se le risposte sono sì-sì-sì, sei dentro. In caso di dubbio (es. produttore di componenti per filiera regolata), il safe pattern è iscriversi al registro ACN — meglio iscritto che fuori tempo massimo.

Non mi sono iscritto al registro entro il 28 febbraio 2025, cosa rischio?

Tecnicamente sei in violazione dell'obbligo di registrazione. ACN ha mostrato finora un approccio gradualista — non ha iniziato a sanzionare in massa. La priorità è regolarizzare subito: iscriversi adesso, completare l'auto-classificazione, avviare l'assessment. Sanzionati prima saranno i casi di incidente cyber significativo non notificato, non i ritardi di registrazione.

Differenza tra NIS2 e IEC 62443?

NIS2 è una norma giuridica (cosa devi fare per legge). IEC 62443 è uno standard tecnico (come farlo concretamente sul piano dell'impianto). Le ispezioni ACN guardano agli obblighi NIS2; ma per dimostrare di averli adempiti su un impianto industriale, lo strumento di riferimento è IEC 62443. Sono complementari, non in alternativa.

Quanto costa un assessment cybersecurity OT su uno stabilimento medio?

Range tipico: 8-25k€ per uno stabilimento singolo con 1-3 linee produttive, esclusi gli interventi di rimediazione. Le 5 azioni minime (inventario, segmentazione, hardening, backup, incident response) costano tipicamente 20-60k€ aggiuntivi a seconda di età degli impianti e completezza del PLC inventory di partenza. Multi-stabilimento: si scala bene perché architettura e procedure si replicano.

Posso essere a posto con NIS2 senza spendere niente in software?

Tecnicamente sì — NIS2 è agnostica sui prodotti. In pratica no, se hai più di una linea: hardening manuale, audit log su carta, gestione utenze con foglio Excel non scalano oltre 1-2 macchine. Un MES/SCADA con audit log e gestione utenze native (come ARIA) elimina gran parte del lavoro manuale che altrimenti diventa il punto di cedimento dell'audit.

Le piccole imprese (sotto 50 dipendenti) sono esonerate del tutto?

Di default sì, sono fuori dal perimetro NIS2 obbligatorio. Eccezioni: se sei fornitore critico di un soggetto essenziale (es. produttore unico di componenti per un'utility), puoi essere trascinato dentro dalla supply chain. Inoltre molti clienti enterprise stanno chiedendo l'allineamento IEC 62443 anche ai fornitori piccoli — anche se non sei obbligato per legge, perdere un cliente perché non lo sei diventa un problema di business.

ARIA / le soluzioni IOMA sono IEC 62443 compliant?

ARIA è progettata seguendo i principi IEC 62443-3-3 a livello SL2 (audit log, gestione utenze, segmentazione, comunicazione PLC tramite connettore dedicato). Non abbiamo certificazione IEC 62443-4-2 di terza parte sul prodotto — è in roadmap. In compenso integriamo soluzioni di componenti già certificati (firewall industriali, switch managed) e la nostra architettura supporta deployment a SL2 documentabile in audit.

Approfondisci

Pagine collegate per chi sta affrontando un percorso di compliance.

Servizi · Cybersecurity OT

Assessment, segmentazione, hardening, supporto NIS2. Da stabilimenti con PLC anni 2000 a impianti greenfield SL2.

ARIA · MES/SCADA con audit log nativo

Gestione utenze a ruoli, audit log su ogni azione operatore, comunicazione PLC isolata via ARIA Connector. Allineato a IEC 62443 by design.

Risorse · MES vs SCADA per il Plant Manager

Capire la differenza è il prerequisito: senza un MES con audit log, gran parte degli obblighi NIS2 diventano impossibili da dimostrare.

Parliamone

Hai un progetto in mente?

Raccontaci la tua idea o la tua esigenza. Il nostro team è pronto ad ascoltarti e a proporti la soluzione tecnologica più adatta.

Parliamo del tuo progetto