Vai al contenuto principale
Torna alla panoramica

NIS2 per i produttori: il confine IT/OT decide l'esito del tuo audit

Di NIS2Certify
nis2produzionesicurezza-otsegmentazione-di-retearticle-21
NIS2 per i produttori: il confine IT/OT decide l'esito del tuo audit

NIS2 per i produttori: il confine IT/OT decide l'esito del tuo audit

Un produttore alimentare nelle Fiandre ha ricostruito l'intero set di regole del firewall due settimane prima del suo audit NIS2. Il motivo: un'unica rete piatta in cui la VLAN dell'ufficio, il server ERP e un PLC di dodici anni che controllava una linea di confezionamento si trovavano tutti nello stesso dominio di broadcast. Una sola fattura di phishing su un portatile commerciale avrebbe potuto raggiungere il reparto produttivo in due salti. L'auditor lo avrebbe definito esattamente per quello che è — un rischio non gestito ai sensi dell'Article 21.

È il problema con cui la maggior parte dei produttori si presenta a NIS2. Lo trattano come un esercizio di conformità IT e dimenticano che la direttiva copre esplicitamente la tecnologia operativa che governa le loro macchine. Se assisti clienti industriali, il confine IT/OT è l'area in cui puoi offrire il massimo valore — e in cui una configurazione approssimativa affonda una compliance posture per il resto accettabile.

La produzione rientra nell'ambito, e la maggior parte degli operatori non lo sa ancora

NIS2 classifica la produzione come settore di entità important. Questo include le aziende che producono dispositivi medici, elettronica, macchinari, autoveicoli e determinati prodotti alimentari. La soglia è quella standard: più di 50 dipendenti, oppure un fatturato annuo superiore a 10 milioni di euro.

Le entità important sono soggette agli stessi obblighi di gestione del rischio dell'Article 21 delle entità essential. La differenza sta nella vigilanza. Le entità essential ricevono ispezioni proattive; le entità important sono soggette a vigilanza ex post — le autorità intervengono non appena vi è prova che qualcosa è andato storto. Sembra più leggero, finché non ti rendi conto che di solito significa che l'autorità ti sta già esaminando perché hai avuto un incidente. Lo standard non è più basso. Il controllo arriva semplicemente nel momento peggiore possibile.

Molti direttori di stabilimento danno per scontato: «produciamo pompe, non software, NIS2 non ci riguarda». Invece sì. La direttiva definisce i sistemi OT come parte integrante dell'infrastruttura digitale critica. I PLC, gli HMI e i sistemi SCADA del reparto produttivo rientrano chiaramente nell'ambito.

La NIS2 si Applica alla Tua Organizzazione?

1

La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?

No
2

La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?

No
3

La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?

No

La NIS2 non si applica direttamente alla tua organizzazione.

La NIS2 si applica alla tua organizzazione come entità essenziale o importante.

!

La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.

Si applica
Possibile applicazione
Non si applica

Le dieci misure dell'Article 21 si applicano al reparto produttivo, non solo all'ufficio

Quando un cliente legge l'elenco dell'Article 21 — analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, crittografia, controllo degli accessi, MFA, sviluppo sicuro, formazione e valutazione dell'efficacia — lo mappa istintivamente sul proprio parco IT. È questa la trappola.

Ognuna di quelle misure ha una dimensione OT. Il controllo degli accessi non riguarda solo il domain controller; riguarda chi può accedere all'HMI della linea 3. La continuità operativa non riguarda solo il ripristino della posta; riguarda se puoi continuare a produrre quando un controller è compromesso. La crittografia e la comunicazione sicura si applicano al collegamento dati tra i tuoi PLC e il tuo ERP.

L'ENISA Technical Implementation Guidance, pubblicata a giugno 2025, conta 170 pagine e traduce l'Implementing Regulation (EU) 2024/2690 in misure concrete e dimostrabili su 13 aree tematiche. Sebbene quel regolamento sia vincolante solo per specifici settori digitali, la guida è il riferimento più chiaro disponibile su cosa significhi davvero «adeguato e proporzionato». Usala come standard di riferimento per i clienti a forte componente OT, anche dove non è strettamente obbligatoria — gli auditor la riconosceranno.

Articolo 21 — 10 Misure di Cybersicurezza NIS2

Articolo 21

10 Misure di Cybersicurezza

Governance & Strategia

1Analisi dei rischi & politiche di sicurezza delle informazioni
6Valutazione dell'efficacia delle misure di sicurezza

Incidenti & Continuità

2Gestione degli incidenti & notifica
3Continuità operativa & ripristino di emergenza

Catena di Fornitura & Sistemi

4Sicurezza della catena di fornitura
5Sicurezza nello sviluppo di sistemi di rete e informativi

Controlli Tecnici

8Crittografia & cifratura
10Autenticazione a più fattori & comunicazioni sicure

Persone & Risorse

7Igiene informatica & formazione
9Sicurezza HR & controllo degli accessi

La segmentazione di rete è la misura che gli auditor verificano per prima

Se fai una sola cosa per un cliente manifatturiero prima del suo primo audit, segmenta le reti IT e OT. Una rete piatta è il modo più rapido per fallire un'analisi dei rischi, perché significa che un singolo endpoint compromesso, ovunque si trovi, raggiunge tutto.

L'Article 21 non cita la segmentazione di rete come misura numerata, ma essa discende direttamente dagli obblighi di gestione del rischio e di controllo degli accessi. In pratica, gli auditor la considerano un'aspettativa di base per qualsiasi ambiente con sistemi di produzione. Il linguaggio di segmentazione e controllo degli accessi della direttiva si mappa quasi uno a uno sul modello zone-and-conduit della IEC 62443 — il framework rispetto al quale l'auditor del tuo cliente con ogni probabilità effettua il confronto.

Un'architettura target praticabile per uno stabilimento tipico è la seguente. Il segmento OT contiene i PLC, gli HMI e le macchine di produzione, separati fisicamente o logicamente dalla rete d'ufficio. La connessione al server ERP è limitata e idealmente unidirezionale — i dati di produzione escono, nulla viene instradato all'interno senza richiesta. Il segmento OT non ha accesso diretto a internet. L'accesso remoto dei fornitori alle macchine passa attraverso un jump host controllato, non attraverso una VPN piatta che deposita un tecnico sulla stessa subnet dei controller.

Qui si trova anche il problema del legacy. Gli stabilimenti utilizzano controller vecchi di dieci o quindici anni, impossibili da patchare e mai progettati per l'esposizione in rete. Non puoi rimuoverli. La segmentazione è la misura compensativa che mantiene in servizio un asset non patchabile senza che diventi la via della violazione. Documentalo così e l'auditor vedrà un rischio gestito anziché un rischio ignorato.

La notifica degli incidenti non si ferma per la linea di produzione

I produttori esitano sulla notifica degli incidenti perché fermare una linea costa denaro al minuto. Le scadenze non se ne curano. Un incidente significativo attiva un preallarme entro 24 ore, una notifica completa entro 72 ore e un rapporto finale entro 30 giorni — lo stesso orologio che si applica a una banca o a un ospedale.

La parte difficile per gli ambienti OT è la rilevazione. Se il tuo cliente non ha monitoraggio sulla rete di produzione, scoprirà che un incidente è significativo solo quando avrà già interrotto la produzione — e a quel punto la finestra di 24 ore sta già scorrendo. Il monitoraggio continuo del segmento OT non è un optional; è ciò che rende l'obbligo di notifica realizzabile in primo luogo. Costruisci la capacità di rilevazione e le scadenze di notifica diventano gestibili. Tralasciala e il tuo cliente notifica alla cieca, in ritardo o per niente.

Cronologia delle Notifiche di Incidenti NIS2

24h

Allerta Precoce

Notificare all'autorità competente (CSIRT/ANC) entro 24 ore dalla conoscenza di un incidente significativo.

72h

Notifica dell'Incidente

Presentare una notifica dettagliata entro 72 ore con una valutazione iniziale della gravità, dell'impatto e degli indicatori di compromissione.

1mo

Rapporto Finale

Consegnare un rapporto finale completo entro un mese che copra la causa principale, le misure adottate e l'impatto transfrontaliero.

Cosa fare entro il 30 giugno 2026

La prima scadenza di audit NIS2 per le entità nell'ambito è il 30 giugno 2026. Per un cliente manifatturiero che parte da una rete piatta, è stretto ma non impossibile, se lo sequenzi correttamente.

Inizia con un inventario degli asset dell'ambiente OT — non puoi segmentare o proteggere ciò che non hai mappato, e la maggior parte degli stabilimenti non ha un inventario aggiornato dei propri controller. Poi traccia i confini delle zone: ufficio, ERP/DMZ e OT, con conduit documentati tra di esse. Implementa la separazione IT/OT e blinda l'accesso remoto tramite un jump host con MFA. Sovrapponi il monitoraggio sul segmento OT in modo che la rilevazione degli incidenti sia effettivamente possibile. Infine, documenta ogni misura compensativa per gli asset legacy che non puoi patchare, perché quella documentazione trasforma il segnale d'allarme di un auditor in un rischio accettato.

I clienti che trattano NIS2 come un puro progetto IT supereranno i controlli lato ufficio e falliranno nel reparto produttivo. Quelli che gestiscono bene il confine IT/OT entrano nell'audit con la domanda più difficile già risolta.

Se vuoi una lettura rapida di dove si trova davvero un cliente manifatturiero rispetto all'Article 21 — comprese le misure OT che la maggior parte delle valutazioni salta — fallo passare attraverso il NIS2 readiness quick scan. Fa emergere le lacune di segmentazione e OT prima che lo faccia un auditor.

Per le misure sottostanti nel dettaglio, vedi la nostra analisi delle dieci misure dell'Article 21, e per i clienti ancora incerti se siano interessati, NIS2 si applica a me.

    NIS2 per i produttori: il confine IT/OT decide l'esito del tuo audit — NIS2Certify