La NIS 2 sicurezza OT rappresenta un cambio di paradigma per i sistemi industriali, estendendo gli obblighi di cybersicurezza anche alle macchine, alle semi-macchine e ai sistemi di controllo connessi in rete.
In questo contesto, la sicurezza non riguarda più solo reti IT e dati aziendali, ma include direttamente macchine, semi-macchine e sistemi di controllo, che devono essere sicuri non solo come prodotti, ma anche quando integrati all’interno di una rete industriale.
NIS 2 in ambito OT: estensione del perimetro
La Direttiva NIS 2 coinvolge un numero crescente di settori industriali, tra cui energia, trasporti, acqua, manifattura e infrastrutture critiche.
Le organizzazioni devono adottare un approccio strutturato alla gestione del rischio, includendo anche i sistemi OT e le tecnologie di automazione.
- Valutazione del rischio cyber su sistemi industriali
- Gestione degli incidenti e obbligo di notifica
- Business continuity e disaster recovery
- Controllo degli accessi e sicurezza delle connessioni remote
NIS 2 sicurezza OT e macchine connesse
Un aspetto critico è che una macchina conforme alla marcatura CE non è automaticamente sicura quando è connessa in rete.
Allo stesso modo, anche le semi-macchine, pur non essendo marcate CE, devono essere progettate e documentate in modo tale da non introdurre vulnerabilità quando integrate in un sistema più ampio.
La sicurezza deve quindi essere valutata considerando:
- Il comportamento della macchina all’interno della rete OT
- Le interfacce di comunicazione (PLC, SCADA, protocolli industriali)
- Le modalità di accesso remoto e manutenzione
- Le dipendenze da fornitori e componenti terzi
NIS 2 sicurezza OT e supply chain industriale
La NIS 2 introduce requisiti stringenti sulla sicurezza della supply chain, imponendo alle aziende di valutare anche il livello di sicurezza dei fornitori di componenti e sistemi industriali.
Un corretto approccio alla NIS 2 sicurezza OT consente di gestire i rischi legati ai sistemi industriali e alla loro integrazione in rete.
Questo significa che:
- I fornitori devono dimostrare requisiti di sicurezza (es. IEC 62443)
- I componenti OT devono essere tracciabili e aggiornabili
- I rischi legati a vulnerabilità e patch devono essere gestiti lungo tutto il ciclo di vita
Riferimento a prEN 50742
In questo scenario si inserisce il riferimento alla prEN 50742, che affronta il tema della sicurezza dei sistemi di controllo anche in relazione alla loro integrazione in rete.
La norma evidenzia come la conformità di una macchina o di una semi-macchina debba essere valutata non solo a livello di prodotto, ma anche nel contesto operativo e di connessione in cui viene utilizzata.
Convergenza tra safety e cybersecurity
La NIS 2 rafforza il concetto di convergenza tra safety (sicurezza funzionale) e cybersecurity, rendendo necessario un approccio integrato.
- Una vulnerabilità informatica può generare un rischio fisico
- Un sistema sicuro dal punto di vista normativo può non esserlo dal punto di vista cyber
- La gestione del rischio deve considerare entrambi gli aspetti
Responsabilità e governance
La Direttiva introduce responsabilità dirette per il management aziendale, che deve approvare e supervisionare le misure di sicurezza.
La cybersicurezza in ambito OT diventa quindi un tema di governance aziendale e non solo tecnico.
Approccio consigliato
Per garantire la conformità alla NIS 2 in ambito OT è necessario adottare un approccio strutturato basato su standard riconosciuti.
- IEC 62443 per la sicurezza dei sistemi industriali
- ISO/IEC 27001 e 27002 per la gestione della sicurezza delle informazioni
- ISO 31000 per la gestione del rischio
In questo contesto, la corretta integrazione tra Regolamento Macchine, sicurezza OT e requisiti NIS 2 consente di garantire impianti sicuri, conformi e resilienti nel tempo.