OT Security e Direttiva NIS2

Schmersal compie quest’anno l’80mo anniversario dalla fondazione: fin dagli inizi è stata sinonimo di qualità e affidabilità nel settore della Sicurezza Macchine, fornendo prodotti sempre all’avanguardia e, tramite il dipartimento “tec.nicum”, servizi di formazione, consulenza, ingegneria e integrazione.

Da quando il tema della Sicurezza Informatica applicata all’ambiente industriale si è posto con forza all’attenzione dei fabbricanti di macchine e system integrators, Schmersal Italia ha inserito nella propria offerta servizi specifici per la cyber-security, soprattutto nell’ottica dei nuovi requisiti richiesti dal Regolamento Macchine per la marcatura CE delle macchine da gennaio 2027.

Ma senza aspettare il 2027, un’altra scadenza più urgente ci interpella: la registrazione sul portale dell’ACN (Agenzia per la Cybersecurity Nazionale) dei soggetti che rientrano nel perimetro di applicazione della direttiva NIS2.

Lo scopo di questa direttiva europea, recepita dall’Italia con il DLGS n°138/2024, è l’introduzione di requisiti di base di sicurezza informatica per tutti i settori produttivi più critici, con lo scopo di ottenere un sistema economico e sociale resiliente alle perturbazioni esterne.

I soggetti interessati (medie e grandi aziende, tranne casi particolari) si possono individuare correttamente tramite la tabella a destra (fonte: sito ACN); naturalmente, i soggetti essenziali che insistono su settori altamente critici avranno requisiti più stringenti rispetto ai soggetti importanti.

Sostanzialmente le piccole e micro-imprese risultano quasi totalmente escluse dal perimetro (salvo poi rientrare in relazione alla catena di approvvigionamento), mentre per alcuni settori l’identificazione dei soggetti è legata al codice ATECO: ad esempio, nel settore della “Fabbricazione” sono inclusi tutti i codici ATECO dal 26 al 30.

I soggetti interessati devono quindi, entro il 28 febbraio, registrarsi sul portale dell’ACN (dove si trovano tutte le informazioni necessarie per portare a termine la procedura).

Da sottolineare, per i gruppi di imprese, la possibilità di applicare la clausola di salvaguardia (Art.3 Comma 4 del decreto) per richiedere la valutazione della singola azienda in modo che possa restare piccola impresa.

Dopo la registrazione, entro aprile 2025, l’ACN risponderà con la valutazione definitiva dell’azienda, tra essenziale, importante oppure fuori-ambito.

Per chi è in ambito, la successiva scadenza scatta a gennaio 2026, con l’obbligo di notifica degli incidenti rilevanti, quelli cioè che hanno provocato un grave danno economico per l’azienda o le persone, furto di informazioni oppure un blocco della filiera.

La notifica, sempre all’ACN, va eseguita in tempi rapidi: 24 ore per la segnalazione e 72 ore per la notifica definitiva. Queste tempistiche rapide richiedono che l’azienda possieda già una politica di cybersecurity della cui attuazione si occupano in prima persona gli organi di gestione della società, come sottolinea il decreto all’articolo 23.

Chi gestisce la società deve preoccuparsi, obbligatoriamente, di capire cosa sia la cybersecurity e come impatti sulla continuità aziendale e i relativi risultati economici; tale formazione di base va estesa a tutto il personale, soprattutto in virtù del fatto che il fattore umano è il primo elemento di rischio per la sicurezza.

La politica di sicurezza informatica comprende delle specifiche misure tecniche, che vengono richiamate esplicitamente dalla direttiva, per un sistema multi-rischio: non solo formazione, non solo misure tecniche, non solo gestione operativa ma l’insieme di tutti questi approcci.

Tecnicamente l’ENISA (Agenzia per la Cybersecurity Europea) nella guida all’implementazione richiama esplicitamente la ISO/IEC 27001, standard internazionale per la gestione della sicurezza delle informazioni. Considerato che la NIS2 impatta maggiormente i settori produttivi sarà d’obbligo includere la norma di riferimento per la OT (Operational Technology) Cybersecurity, ISA/IEC 62443, serie internazionale di standard che affrontano la sicurezza informatica per la tecnologia operativa nei sistemi di automazione e controllo.

Il legislatore ha correttamente impostato i requisiti secondo i principi di proporzionalità e adeguatezza, al fine di richiedere uno sforzo economico per l’implementazione della politica di cybersecurity compatibile con le dimensioni aziendali e la valutazione del rischio.

Il decreto, infine, si conclude con il capitolo delle sanzioni, notevoli, per chi non si adegua: non è questo, comunque, il senso di una direttiva che non mira a colpire le aziende ma, bensì, a renderle consapevoli dei pericoli a cui sono esposte, soprattutto su macchinari e impianti dove l’attenzione alla cybersecurity non è sempre stata così elevata.

Schmersal Italia è il partner ideale per le aziende che vogliono affrontare questo percorso.

La proposta è differenziata per system integrator, fabbricanti di macchine e aziende manifatturiere.

Per i system integrator, molto spesso piccole o micro imprese, propone innanzitutto un assesment sulla postura dell’azienda, in particolare per la grande criticità che assume l’ufficio di produzione del software nei confronti dei clienti (collaudi, assistenze da remoto, ecc.).

Di seguito, attività di formazione mirata e differenziata, in modo che la progettazione hardware e software soddisfi i requisiti richiesti dalle norme internazionali, soprattutto la ISA/IEC 62443.

Per i fabbricanti di macchine, il percorso è simile, con la possibilità di assesment dedicati su macchine o modelli di macchine standard, per validare la loro configurazione, anche in vista dei nuovi requisiti richiesti dal Regolamento Macchine.

Infine, la aziende manifatturiere: l’esperienza di Schmersal nella Sicurezza Macchine e nei temi dell’automazione, consente di andare a migliorare il lato più critico di queste organizzazioni: il reparto produttivo, dove spesso si mescolano attrezzature recenti con macchinari antiquati dove sistemi operativi obsoleti non possono essere aggiornati.