Industrial Cyber Security: le normative

• 
• Tweet
• Pin It
• Condividi per email

Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte.

Ritenete che le Direttive recentemente varate a livello nazionale e internazionale possano aiutare a contenere le minacce?

Francesco Tieghi, responsabile marketing e comunicazione in ServiTecno:

“Sì, il combinato disposto tra Pnrr, NIS/NIS2 e le altre normative nazionali ed europee rappresenta una spinta concreta verso un rafforzamento strutturale della postura cyber del Paese. L’obbligo di adottare misure minime di sicurezza, di effettuare valutazioni del rischio e di notificare gli incidenti introduce finalmente un approccio sistemico, non più lasciato alla sola sensibilità delle singole imprese.

Nel mondo industriale, come evidenziato anche nell’approccio di ServiTecno, la sicurezza non può essere un intervento spot, ma deve diventare parte integrante della governance e del ciclo di vita degli impianti. Le Direttive aiutano proprio in questo: definiscono responsabilità chiare, promuovono investimenti (anche tramite fondi Pnrr) e spingono verso standard comuni. La NIS2, in particolare, amplia il perimetro dei soggetti coinvolti e rafforza il concetto di infrastruttura critica o altamente critica, introducendo requisiti più stringenti su risk management, business continuity e supply chain security. Se la politica sarà coerente e perseverante nel tempo, queste misure potranno davvero contribuire a contenere le minacce, non eliminandole, ma riducendone impatto e probabilità”.

Alberto Ascoli, product manager, automation&electrification, di Bosch Rexroth:

“Sì, le Direttive europee rappresentano un fattore strategico per la competitività, non solo un argine alle minacce; trasformano la cybersecurity in un vantaggio competitivo per la tecnologia ‘made in Europe’.

La NIS2 eleva lo standard di sicurezza per un’ampia gamma di settori critici, rafforzando l’intera catena del valore industriale; il CRA-Cyber Resilience Act implica una svolta ancora più radicale, poiché impone requisiti di sicurezza obbligatori per l’intero ciclo di vita dei prodotti con elementi digitali; inoltre, sposta l’onere della sicurezza dal cliente finale al produttore, premiando chi progetta in ottica secure-by-design. Infine, il nuovo Regolamento Macchine integra la cybersecurity direttamente nei requisiti essenziali di salute e sicurezza, legando la protezione da attacchi malevoli alla sicurezza fisica delle persone.

Questo quadro normativo crea un mercato per prodotti intrinsecamente sicuri e affidabili, come la piattaforma ctrlX Automation, la cui aderenza a questi principi è già validata dalla certificazione secondo lo standard di sicurezza industriale IEC62443, garantendo così una base solida per affrontare le sfide normative e tecnologiche del futuro”.

Alberto Griffini, product manager modular PLC di Mitsubishi Electric:

“Le normative introdotte negli ultimi anni rappresentano un passo importante verso il rafforzamento della cybersecurity industriale. In un contesto caratterizzato dalla crescente digitalizzazione e interconnessione dei sistemi produttivi, le Direttive europee e nazionali contribuiscono innanzitutto a definire requisiti minimi di sicurezza e a creare un quadro normativo condiviso.

Tra le iniziative più rilevanti si colloca il CRA, che entrerà pienamente in vigore entro il 2027 e introduce obblighi specifici per i produttori di dispositivi digitali e sistemi industriali, imponendo criteri di sicurezza lungo l’intero ciclo di vita del prodotto.

In pratica, qualsiasi dispositivo dotato di componenti elettroniche e connesso a una rete dovrà dimostrare il rispetto di determinati standard di sicurezza. Il CRA si affianca ad altre normative, come la NIS2, che riguarda la sicurezza delle infrastrutture critiche e dei servizi essenziali, e agli standard internazionali di riferimento per l’automazione industriale, tra cui la norma IEC62443-4-2. Questi standard definiscono linee guida specifiche per la progettazione, l’integrazione e la gestione sicura dei sistemi OT.

L’introduzione di queste normative ha un duplice effetto positivo: da un lato, aumenta la consapevolezza delle aziende rispetto al tema della sicurezza informatica; dall’altro, spinge l’intero settore industriale, dai produttori di tecnologie ai system integrator, fino agli utilizzatori finali, a investire maggiormente nella progettazione sicura dei sistemi. Mitsubishi Electric si è già attivata in tal senso, adeguando i propri prodotti di automazione ai requisiti previsti dalle nuove normative di riferimento in tema di cybersecurity.

Naturalmente le normative da sole non sono sufficienti a eliminare il rischio. Anche un prodotto conforme agli standard più avanzati non può garantire una protezione completa se inserito in un sistema non adeguatamente progettato o gestito. Tuttavia, queste Direttive svolgono un ruolo fondamentale stabilendo una base comune di requisiti e responsabilità, creando le condizioni per un ecosistema industriale più sicuro e resiliente”.

Matteo Goglio, direttore marketing&sales di Infosecbox:

“Sicuramente Direttive e normative definiscono delle linee guida, degli standard e degli obblighi operativi, affermandosi come una componente fondamentale per innalzare il livello di attenzione generale, per creare consapevolezza dei rischi informatici sui livelli direttivi aziendali e, quindi, per aumentare la postura di sicurezza delle singole realtà, delle filiere produttive e degli enti governativi.

Ovviamente queste normative non devono essere interpretate come delle imposizioni, degli obblighi fini a se stessi, a volte addirittura degli impedimenti. Al contrario, devono essere riconosciute come una forzatura virtuosa a intraprendere dei modelli operativi più sicuri e alla lunga più sani e consistenti per tutto l’ecosistema nel suo complesso, utili a prescindere dall’obbligo imposto”.

Manfredi Blasucci, security solutions architect di Qualys Italia:

“La Direttiva NIS2, recepita in Italia con D.Lgs. 138/2024 e operativa dal 2025, ha rappresentato un progresso significativo rispetto al precedente framework con novità sostanziali rilevanti. L’ampliamento del perimetro, per esempio, include ora oltre 10 settori critici e copre anche le medie imprese (con oltre 50 dipendenti, e fatturato superiore a 10 milioni di euro) nella supply chain delle infrastrutture critiche, andando a colmare una lacuna enorme, dato che gli attacchi alla catena di fornitura sono diventati il vettore preferito.

La responsabilità diretta del management, poi, impone agli organi di amministrazione di approvare le misure di sicurezza e di poter essere ritenuti personalmente responsabili in caso di violazioni gravi. Questo è culturalmente rivoluzionario in un contesto dove la cybersecurity era spesso delegata all’IT senza visibilità boardroom.

Gli obblighi di notifica entro 24 ore per gli incidenti significativi accelerano la condivisione di intelligence tra organizzazioni e autorità, ove il Csirt Italia (sotto ACN) diventa hub di coordinamento.

Il Regolamento CER-Critical Entities Resilience, affiancato a NIS2, introduce un approccio all-hazard che considera simultaneamente rischi cyber e fisici; quindi, un passo avanti concettuale importante per il settore industriale, dove i due domini sono inseparabili.

Il Cyber Resilience Act europeo, in vigore dal 2024 con periodo di transizione, invece, impone requisiti di sicurezza ai produttori di dispositivi connessi, inclusi componenti industriali come PLC, HMI, sensori IoT: per la prima volta, chi produce un dispositivo OT sarà responsabile della sua sicurezza by design, e dovrà garantire aggiornamenti di sicurezza per tutto il ciclo di vita. Questo attacca strutturalmente il problema del legacy insicuro alla radice. Tuttavia, per essere del tutto onesti, le normative hanno tre problemi strutturali che ne limitano l’efficacia nel breve termine. In primis, il gap di implementazione: una PMI manifatturiera con 80 dipendenti, che fornisce componenti a un’infrastruttura critica, non ha le competenze interne per implementare un framework NIS2-compliant. La norma esiste, ma la capacità di adeguarsi è disomogenea e la carenza di 500.000 professionisti cybersecurity stimata in Europa aggrava ulteriormente il problema.

La velocità è poi asimmetrica: le normative hanno cicli di aggiornamento di anni, mentre le minacce evolvono in settimane. Una vulnerabilità zero-day su un protocollo OT diffuso può essere weaponizzata prima che qualsiasi framework normativo possa adattarsi. Infine, la frammentazione geopolitica: NIS2 e CRA valgono nell’UE. Un’azienda italiana con fornitori in Asia e clienti in America opera in tre giurisdizioni diverse con requisiti diversi. La cybersecurity è globale, la regolamentazione è ancora prevalentemente nazionale o regionale.

Il futuro normativo si muove verso l’obbligo di condivisione degli incidenti, in tempo reale, e verso framework di certificazione della cybersecurity OT, sul modello di quanto già avviene in settori come l’aviazione e il nucleare. L’Enisa sta sviluppando schemi di certificazione specifici per sistemi industriali che potrebbero diventare prerequisito per operare in certi settori critici. La vera discontinuità, però, sarà quando la cybersecurity industriale passerà da essere un tema di compliance a essere un elemento di continuità operativa e competitività: quando un’azienda non certificata non potrà accedere a certi mercati, a certi contratti pubblici, a certe polizze assicurative. Quel momento non è lontano e alcune organizzazioni lungimiranti si stanno già posizionando in quella direzione”.

LEGGI LE RISPOSTE ALLE ALTRE DOMANDE

• Conoscere l’avversario: le tecniche di attacco

Dato che il primo passo per difendersi è conoscere bene l’avversario: quali ritenete siano le tecniche di attacco più utilizzate e più diffuse? Quali aspetti le rendono più efficaci di altre?

• Sicurezza IT-OT: come ottenerla?

A fronte di questi attacchi, quali secondo voi sono agli aspetti chiave che un’azienda deve tenere in considerazione per mettere in sicurezza le proprie reti IT-OT?

• Il ‘piano B’ e il ‘fattore uomo’

Una volta subito un attacco/furto/blocco, cosa è consigliabile fare? Come deve reagire la vittima? Cosa dovrebbe contenere il ‘piano B’?

• L’evoluzione attesa

In che direzione ritenete si evolveranno gli attacchi? E come dovranno di conseguenza cambiare le modalità di difesa?

• Come agire sotto attacco

In caso di attacco, come è opportuno agire? E cosa non bisogna assolutamente fare?

Fonte foto Pixabay_TheDigitalArtist

Ilaria De Poli @ilariadepoli

• 
• Tweet
• Pin It
• Condividi per email