NIS2 e settore manifatturiero: scopri come la direttiva NIS2 impatterà sul settore produttivo

Il 17 ottobre 2024 è la data chiave entro cui gli Stati membri dell’UE dovranno recepire la direttiva NIS2. Essendo una direttiva e non un regolamento, ogni Stato membro dovrà integrare le indicazioni della UE nel proprio quadro legislativo, il che significa che per ogni Paese membro potrà variare la modalità di attuazione ma non i contenuti oggetto della direttiva.

Scopri tutto sulla direttiva NIS2 nel nostro articolo

In questo articolo

La NIS2 ha l’obiettivo di rafforzare la capacità delle aziende e degli Stati membri dell’UE di rilevare e rispondere sempre più efficacemente agli incidenti informatici. La nuova direttiva implica l’adozione di misure proattive e la creazione processi ben strutturati, capaci di minimizzare l’eventuale impatto delle minacce cyber sull’operatività aziendale.

A differenza della NIS1, la NIS2 amplia significativamente il suo ambito di applicazione, includendo un maggior numero di settori critici come energia, trasporti, salute e servizi digitali. Anche le aziende più piccole, considerate di importanza rilevante, sono soggette agli obblighi della direttiva e concorrono ad aumentare la copertura e la sicurezza complessiva dell’intero ecosistema.

La direttiva NIS2 promuove un maggior scambio di informazioni e collaborazione tra gli Stati membri dell’UE: la condivisione di best practice e informazioni sulle minacce emergenti punta ad innescare un circolo virtuoso, creando un fronte unito contro i cyberattacchi e migliorando la sicurezza informatica collettiva.

La NIS2 stabilisce requisiti di sicurezza più stringenti per le imprese, dall’impostazione delle policy di gestione del rischio alle misure di sicurezza, sia fisica che informatica. Sono richieste anche notifiche in tempi brevi, agli enti competenti, in caso di incidenti cyber, per ottenere una risposta più tempestiva e coordinata.

La direttiva include la valutazione e mitigazione dei rischi associati anche alla catena di fornitura delle aziende, che dovranno adattare i propri standard per garantire la sicurezza delle loro attività lungo tutta la supply chain, riconoscendo che le vulnerabilità dei fornitori possono rappresentare gravi rischi per la sicurezza aziendale, se sottovalutate o non gestite adeguatamente.

Uno degli obiettivi della NIS2 è aumentare la consapevolezza e promuovere la cultura della cybersecurity in azienda. Educare il personale sui rischi informatici e diffondere le best practice di sicurezza informatica in tutta l’azienda, attraverso percorsi formativi specifici, è il primo passo per creare ambiente in cui l’attenzione alla sicurezza dei dati è considerata una priorità.

Adottare un approccio end-to-end significa rivedere e rivalutare tutti i processi: dalle policy aziendali alla gestione dei dati, dalle infrastrutture ai rapporti con i fornitori in ottica “Zero Trust”.

Il concetto di Zero Trust si basa sul principio “fidarsi mai, verificare sempre”, assegnando privilegi minimi per l’accesso alle risorse digitali. Un approccio che si applica ai processi di sicurezza in azienda: viene aumentata la complessità dei controlli verso utenti, dispositivi, reti interne e fornitori.
Come precedentemente accennato, la NIS2 pone particolare attenzione alla gestione del rischio nella supply chain: un aspetto nodale per le aziende produttive, spesso sfruttato negli attacchi informatici.

Nell’adottare un approccio end-to-end, una buona base di partenza è l’analisi delle raccomandazioni suggerite dal NIST (National Institute of Standards and Technology).
Il NIST Cybersecurity Framework, ora alla sua seconda versione, è il riferimento principale per le aziende che desiderano creare e implementare una strategia di sicurezza end-to-end, mappando i rischi in cinque macroaree:

• Identify (ID)
• Protect (PR)
• Detect (DE)
• Respond (RS)
• Recover (RC)

Un framework che facilita l’adozione di un metodo strutturato e integrato alla sicurezza informatica, aiutando le aziende ad essere più preparate contro le minacce informatiche.

Vuoi scoprire come adattare un approccio End-to-End?

Per le aziende del comparto industriale è fondamentale seguire le linee guida definite dallo standard ISA/IEC 62443, una serie di norme internazionali che forniscono direttive su come creare, gestire e proteggere i sistemi di automazione e controllo industriali (IACS, Industrial Automation and Control Systems) e sottolineano l’importanza di una responsabilità condivisa tra operatori IT e OT.

Il phishing, al pari di quello che accade in molti altri settori, rappresenta una minaccia significativa anche per questo settore, dove nel 2023 gli attacchi sono aumentati del 25%. (Fonte rapporto Clusit 2024).
Nel settore industriale questo tipo di attacco può portare a gravi violazioni dei dati, compromettendo le tecnologie proprietarie e le informazioni dei clienti, con conseguenze di vasta portata, tra cui perdite finanziarie, danni reputazionali e implicazioni di natura legale.

Gli attacchi alla supply chain spesso prendono di mira i fornitori di terze parti per ottenere l’accesso non autorizzato a sistemi o dati sensibili all’interno del reparto produzione. Molte volte, infatti, sono proprio i fornitori ad avere misure di sicurezza più deboli e gli aggressori sfruttano queste vulnerabilità per penetrare nelle infrastrutture.

I dispositivi IoT industriali (IIoT) utilizzati per monitorare e controllare i processi produttivi, migliorano l’efficienza e sono importanti fonti di dati ma presentano anche sfide significative in termini di sicurezza informatica. Se non adeguatamente protetti, i dispositivi IIoT possono portare ad accessi non autorizzati, violazioni dei dati e, nei casi più gravi, ad interruzioni della produzione. Per mitigare i rischi, è fondamentale implementare protocolli di sicurezza efficaci, inclusi aggiornamenti software regolari, crittografia e segmentazione della rete.

Nel settore manifatturiero, un ritardo sulla linea produttiva può significare costi imprevisti e perdite finanziarie. Il ransomware è il tipo di malware più utilizzato, data la sua elevata resa economica per gli aggressori, e nel 2023 ha rappresentato il 36% degli attacchi totali.

Per difendersi dal ransomware, le aziende manifatturiere devono implementare sempre di più strategie globali di sicurezza informatica: backup regolari dei dati, autenticazioni via passkey per proteggere le identità, aggiornamenti costanti tramite patch di sicurezza e formazione dei dipendenti sui tentativi di phishing.

BeeCyber è la nostra Business Unit specializzata in servizi di sicurezza informatica che supporta le aziende nell’identificare e classificare il livello di rischio. Le aiuta nel processo di mitigazione continuativa, identificando il giusto punto di equilibrio tra investimento tecnologico e approccio consulenziale rispondendo alle reali esigenze di business.

Una mail al mese sui temi più caldi della cybersecurity. Join us!

Compila il form per iscriverti alle nostre Cybernews