AO467

sicurezza nei sistemi di automazione 102 AUTOMAZIONE OGGI 467 SOLUZIONI SOFTWARE PER L’INDUSTRIA I costi legati alla cybersecurity OT stanno aumentando vertigi- nosamente. Una ricerca condotta nel 2025 da Dragos e Marsh McLennan, disegnando lo scenario peggiore possibile, eviden- zia che a livello globale i costi legati a incidenti di sicurezza OT potrebbero ammontare fino a fino a 329,5 miliardi di dollari, e l’Europa è una delle aree più a rischio. Anche la cronaca evidenzia la criticità del tema. Di recente un cyberattacco ha colpito Jaguar Land Rover, costringendo a bloccare la produzione e le vendite. A settembre scorso, vari impianti sono rimasti fermi e i veicoli non sono stati registrati, proprio in una delle settimane più importanti per il settore. Nello stesso mese, importanti aeroporti europei, tra cui quelli di Bruxelles e Londra, sono stati colpiti da un attacco ran- somware che ha bloccato le operazioni di check-in automatico e di imbarco, rendendo necessario gestire le attività in modo manua- le: di conseguenza, dozzine di voli sono stati cancellati o hanno subito ritardi. Per affrontare questa sfida l’Europa sta rendendo più restrittivo il suo quadro normativo con la direttiva NIS2, che porta la cybersecurity sul tavolo dei consigli di amministrazione, facendone una questione di resilienza e di competitività. Una que- stione cruciale, considerando l’enorme espansione delle minacce informatiche, con il nostro Paese in primo piano: secondo l’ultimo rapporto Clusit, il 25% degli incidenti di sicurezza globali nel set- tore manifatturiero nel 2024 ha riguardato società italiane. Il 78% degli incidenti è stato causato da attacchi informatici che hanno sfruttato nel 38% dei casi un malware, nel 19% delle vulnerabilità. E gli incidenti sono aumentati del 15% tra il 2023 e il 2024. La sicurezza OT come priorità strategica La NIS2 non è semplicemente ‘un obbligo di compliance’: è una svolta per l’approccio alla sicurezza dei player industriali europei e delle aziende di tutto il mondo che hanno legami con l’Europa. Infatti, la direttiva nasce in Europa ma ha impatto anche al di fuori del continente, manmano che le aziende multinazionali adottano pratiche allineate alla NIS2 per rafforzare la loro postura cyber- security complessiva. Essere in linea con la normativa non è un traguardo, è il risultato che si ottiene impostando un framework di sicurezza resiliente e ben governato. La direttiva estende la responsabilità sul tema al top management e richiede di avere visibilità, in modo trasversale, sulle supply chain: ridefinisce la cybersecurity, che diventa una questione di resilienza operativa. L’opportunità, per le aziende manifatturiere, è passare da una protezione ‘ad hoc’ a una governance sistematica e in tempo reale della sicurezza. Mentre in passato i sistemi OT erano gestiti sepa- ratamente rispetto ai sistemi IT, spesso senza una visione unifica- ta, con la NIS2 la dinamica cambia, e soprattutto cambia la catena di responsabilità e di accountability. Un’ intrusione nei sistemi non è più un ‘problema tecnico’, è una questione di governance che ha conseguenze operative. La cybersecurity che una volta era consi- derata solo un centro di costo ora è una priorità strategica. Rendere sicuro l’anello debole: le supply chain Uno dei più rilevanti cambiamenti introdotti dalla NIS2 è l’amplia- mento della postura di security, che considera tutti i rischi andan- do anche oltre il perimetro dell’organizzazione. Le aziende hanno la responsabilità di valutare e di garantire lo ‘stato di salute’ della cybersecurity di ogni vendor, system integrator, costruttore di macchine che interagisce con la loro operatività. Questo è un pas- saggio importante, dato che la digitalizzazione sempre più pro- fonda crea interdipendenze nella catena del valore che acuiscono i rischi di cybersecurity nella supply chain. Il 60% dei data breach originano da vendor di terze parti: questo evidenzia l’importanza della collaborazione e della creazione di una chiara governance. Per conservare una postura di sicurezza adeguata, le realtà indu- striali devono chiedere ai partner di rispettare gli stessi standard che applicano per sé stesse. D’altro canto, un singolo errore, ad esempio l’utilizzo di una chiavetta USB non sicura per aggiornare un PLC, può diffondere un malware in tutta la rete dell’impianto: avere consapevolezza di questo permette di capire il valore dell’e- voluzione che la NIS2 richiede rispetto ai processi di procurement e di gestione dei fornitori, con l’introduzione degli standard di sicurezza tra i requisiti previsti da contratti e richieste di offer- ta. Per esempio, un produttore farmaceutico europeo ha usato un quadro strutturato di risk assesment per valutare e ‘portare a bordo’ in modo sicuro nuovi fornitori di sistemi di automazione. Analizzando le architetture usate dai vendor e identificando da subito le mancanze, l’azienda ha rafforzato la resilienza della sua supply chain e si è allineata con i requisiti della NIS2. La direttiva NIS2 trasforma la sicurezza OT in un’opportunità di leadership per le industrie europee Cristian Vicini Da sicurezza a vantaggio Foto: Shutterstock La NIS2 mette in luce l’importanza della cultura aziendale: il tema della cybersecurity deve diventare un fatto di routine come la formazione sulla sicurezza fisica