Con la seconda versione della Direttiva NIS (la NIS 2), le imprese europee devono affrontare nuovi obblighi per potenziare la sicurezza informatica e garantire la continuità operativa in caso di incidenti. Dal 17 ottobre 2024, la normativa si applica anche ai settori ritenuti “essenziali” e “importanti”, tra cui quello manifatturiero, che deve rispettare requisiti più stringenti in termini di gestione del rischio, protezione dei dati e resilienza operativa. Ciò comporta un impegno concreto nella protezione congiunta degli ambienti IT e OT, tramite strategie strutturate di backup, disaster recovery e risposta agli incidenti, in un contesto complesso, spesso caratterizzato dalla coesistenza di sistemi legacy e nuove tecnologie.

Decifrare i nuovi requisiti della NIS 2: cosa significa per il manifatturiero

La NIS 2 punta a uniformare regole, processi e misure di cybersecurity in tutta l’UE. Per il manifatturiero, ciò rappresenta una sfida: molte aziende hanno finora adottato un approccio conservativo, mantenendo processi ormai superati nella convinzione che, se funzionano, non serva cambiarli. Ma con l’evoluzione delle linee produttive e l’introduzione di nuove tecnologie, questo approccio ha creato attriti tra infrastrutture legacy e moderne, aumentando la complessità e riducendo la standardizzazione. Le aziende con sistemi eterogenei conoscono bene il rischio di downtime: per questo la standardizzazione e la coerenza dei processi di sicurezza devono diventare una priorità.

Esaminare la NIS 2 a confronto con le sfide OT

In un nostro recente webinar, il 27% dei partecipanti ha indicato nella manutenzione programmata la principale causa di fermo produttivo. Con costi che possono raggiungere i 247.000 euro per ogni ora di inattività, la continuità operativa è una priorità assoluta. Proteggere i sistemi OT è complesso: molti impiegano hardware e sistemi operativi obsoleti, non più supportati, quindi vulnerabili ai malware e incompatibili con soluzioni di sicurezza moderne. Inoltre, l’air gapping limita l’intervento remoto del personale IT, allungando i tempi di ripristino.

La necessità di stabilità rende spesso le aziende riluttanti al cambiamento, ma la NIS 2 impone un cambio di passo. Tra i principali obblighi:

• Test periodici dei piani di risposta agli incidenti e formazione continua

• Aggiornamento regolare di policy, processi interni e tecnologie di sicurezza

• Gestione rigorosa del rischio, dei controlli di accesso, della crittografia e della protezione delle reti

• Obblighi di notifica: entro 24 ore alle autorità, 72 ore a clienti e partner

• Sanzioni elevate e responsabilità dirette per i dirigenti in caso di mancata conformità

• Promozione della collaborazione tra aziende e con le istituzioni europee

• Integrazione della sicurezza della supply chain nelle strategie di cyber resilience.

Focus sulla sicurezza della supply chain

La Direttiva NIS 2, richiama espressamente l’attenzione sulla sicurezza della supply chain. Impone alle aziende l’adozione di una policy dedicata, volta a ridurre i rischi per i sistemi informatici, regolando i rapporti con fornitori diretti e provider di servizi. La direttiva stabilisce anche criteri per la selezione dei fornitori, che devono rispondere a requisiti di cybersecurity e qualità del prodotto. Le aziende devono rivedere regolarmente la propria policy di sicurezza della supply chain, svolgendo un’attenta due diligence: ciò significa monitorare i processi di sicurezza adottati da fornitori e provider, analizzare eventuali incidenti, verificare i report, valutare i rischi e attuare misure adeguate.

I responsabili del settore manifatturiero dovrebbero porsi due domande:

• La vostra azienda è sufficientemente protetta da non rappresentare un rischio per fornitori e clienti?

• Come valutate i fornitori per assicurarvi che non rappresentino un rischio per voi e per i clienti?

La NIS 2 non solleva i produttori da responsabilità in caso di attacchi alla supply chain. Al contrario, li coinvolge direttamente, imponendo loro di garantire che i fornitori adottino le best practice di sicurezza.

Come evitare sanzioni e garantire la conformità alla NIS 2 con Acronis Cyber Protect

Come possono, quindi, le aziende manifatturiere migliorare la standardizzazione e la coerenza delle strategie di sicurezza informatica e protezione dei dati, mantenendo al contempo l’operatività? Per esempio Acronis Cyber Protect supporta migliaia di organizzazioni in tutta Europa nel potenziare la resilienza informatica richiesta dalla NIS 2. La piattaforma integra nativamente cybersecurity, backup, disaster recovery e gestione degli endpoint in un’unica soluzione unica e intuitiva. La semplicità d’uso è fondamentale per le aziende che operano in aree remote o con personale IT ridotto o assente. Ad esempio, la funzionalità One-Click Recovery permette agli operatori locali, indipendentemente dal livello di esperienza, di avviare il ripristino completo di un PC guasto (bare-metal recovery) utilizzando una copia di backup locale del sistema.

Ecco otto modi in cui Acronis Cyber Protect supporta la conformità alla NIS 2:

• Soluzioni di sicurezza avanzate: rilevamento comportamentale basato su AI/ML, gestione delle patch, controllo dispositivi, sicurezza e-mail, configurazione, anti-malware e anti-ransomware

• Risposta e recupero in caso di incidente: analisi, isolamento, backup forensi, accesso remoto, rollback rapido, integrazione con backup e disaster recovery

• Audit e assessment: inventari hardware/software, rilevamento degli endpoint non protetti, classificazione dei dati, analisi delle vulnerabilità

• Governance centralizzata: gestione basata su ruoli, policy condivise, dashboard e report dettagliati

•  Sicurezza cloud con data center Acronis conformi ai requisiti di sovranità dei dati UE

• Gestione semplificata con un solo agent e una console unificata

• Crittografia avanzata dei dati, sia salvati sui server che in transito

• Protezione della rete tramite funzioni come il filtraggio degli URL

La NIS 2 sottolinea il ruolo strategico delle aziende manifatturiere nella resilienza informatica, sia in ambito IT che OT. Mettere a disposizione degli operatori strumenti, competenze e risorse adeguate è essenziale per ridurre i tempi di fermo macchina e proteggere i dati sensibili.

La direttiva impone a tutti i settori “essenziali” e “importanti” un approccio strutturato e orientato alle policy, che includa difesa, recupero e continuità operativa. Non si applica solo alle imprese europee con oltre 50 dipendenti o 10 milioni di euro di fatturato, ma anche a realtà extra-UE con una presenza rilevante nel mercato europeo. Lo standard definisce chiaramente il livello di preparazione richiesto alle aziende, soprattutto in contesti remoti, dove il personale IT può non essere presente.