La rete di produzione protetta come merita. Senza fermare la linea.
Mettiamo in sicurezza PLC, SCADA, HMI e MES degli impianti industriali secondo IEC 62443 e direttiva NIS2. Conosciamo i protocolli OT e il loro contesto operativo: l'hardening lo facciamo senza interrompere la produzione.
Sei interventi che coprono il ciclo completo.
Dall'assessment iniziale al monitoraggio continuo. Ogni intervento è progettato per essere conforme allo standard IEC 62443 e compatibile con i requisiti tecnici della direttiva NIS2.
Assessment OT passivo
Mappatura della rete di produzione senza interferire con il processo: discovery di PLC, HMI, SCADA, IPC; identificazione dei protocolli (Profinet, OPC UA, Modbus, S7…); inventario aggiornato e rischio per asset.
Segmentazione rete industriale
Zone e conduit secondo IEC 62443: separazione tra livelli (campo, controllo, supervisione, IT), firewall industriali, regole minime di traffico. Niente più rete piatta su cui chiunque, da qualsiasi punto, può raggiungere ogni PLC.
Hardening di PLC, SCADA, HMI
Disabilitazione di servizi non usati, password robuste e gestione credenziali, firmware aggiornati, controllo degli accessi tramite ruoli, logging delle modifiche al programma PLC. Conformità con i requisiti tecnici IEC 62443-3-3 e 4-2.
Monitoraggio anomalie OT
Sonde dedicate che imparano il comportamento "normale" della rete e segnalano deviazioni (nuovo device, traffico verso destinazioni inattese, scan, comandi sospetti al PLC). Integrazione con il SOC IT quando esiste.
Teleassistenza sicura
VPN industriale dedicata, autenticazione multi-fattore, registrazione delle sessioni, isolamento per cliente e impianto. Il supporto remoto resta fattibile senza trasformarsi in un ingresso aperto.
Backup e ripristino
Backup automatici dei programmi PLC, dei progetti SCADA e delle ricette MES. Procedure di restore testate periodicamente. Quando un device si guasta, lo si rimette in linea in ore, non in giorni.
Perché OT e IT non si proteggono allo stesso modo.
Un firewall messo in linea senza capire il traffico Profinet può bloccare metà stabilimento. Una scansione attiva può far fermare un PLC vecchio. La sicurezza OT richiede competenze diverse — è il nostro mestiere ogni giorno.
Priorità invertite
In OT la disponibilità è il bene principale: una linea ferma brucia in minuti quello che si pensava di proteggere.
Protocolli legacy
Profinet, S7, Modbus: nati senza autenticazione. La sicurezza si costruisce a livello di rete e architettura, non a livello di singolo nodo.
Asset di lungo ciclo
I PLC vivono 15-20 anni. Aggiornare il firmware spesso non è un'opzione: serve compensare con segmentazione e monitoraggio.
NIS2, IEC 62443, OT vs IT: cosa serve sapere prima.
Cosa cambia con la direttiva NIS2 per un'azienda manifatturiera?
La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, estende gli obblighi di sicurezza informatica a categorie molto più ampie rispetto a NIS1, includendo gran parte del manifatturiero. Le aziende qualificate come "essenziali" o "importanti" devono adottare misure tecniche e organizzative su risk management, gestione incidenti, business continuity, supply chain. Le sanzioni sono significative, e la responsabilità ricade anche sugli organi direttivi. IOMA aiuta sul lato tecnico-operativo: l'inquadramento legale resta in capo a un consulente NIS2 dedicato.
Qual è la differenza tra cybersecurity IT e cybersecurity OT?
La cybersecurity IT protegge dati, applicazioni e utenti (riservatezza > integrità > disponibilità). La cybersecurity OT protegge processi fisici di produzione: la priorità si inverte (disponibilità > integrità > riservatezza). Un PLC che si ferma blocca la linea, un riavvio non programmato può causare danni meccanici o di sicurezza. Patch, antivirus tradizionali e segmentazione applicati senza criterio possono far più male che bene. Per questo servono competenze OT specifiche.
Cos'è lo standard IEC 62443 e a chi serve?
IEC 62443 è la famiglia di standard internazionali per la sicurezza dei sistemi di automazione e controllo industriali. Definisce livelli di sicurezza (Security Level 1-4), processi organizzativi e requisiti tecnici per prodotti, integratori e asset owner. Per l'industria italiana è il riferimento di fatto per dimostrare conformità tecnica anche nel perimetro NIS2 e per le forniture verso settori regolati (energia, automotive, farmaceutico, alimentare).
Da dove conviene partire se la rete OT non è mai stata mappata?
Da un assessment passivo. Scansioni attive sulla rete di produzione sono rischiose — un PLC vecchio può fermarsi se interrogato in modo non standard. Mettiamo in linea sonde passive che ascoltano il traffico, mappano i device, identificano i protocolli e segnalano anomalie, senza generare pacchetti propri. Il risultato è un inventario reale, da cui si parte per progettare la segmentazione e l'hardening.
Una guida che approfondisce questo tema.
Hai un progetto in mente?
Raccontaci la tua idea o la tua esigenza. Il nostro team è pronto ad ascoltarti e a proporti la soluzione tecnologica più adatta.