In occasione del Security Summit, in cui è stato presentato il Rapporto Clusit della prima metà del 2025, si è tenuta anche la tavola rotonda “La sicurezza della Supply Chain Manifatturiera: l’impatto della NIS 2”.

Il tema è che i cyber attacchi aumentano, ma la NIS 2 è la risposta per mitigare i rischi nel manifatturiero.

“Bisogna esaminare le due metà della mela: i soggetti Nis e i fornitori dei soggetti Nis che devono rispettare le scadenze”, ha commentato Milena Antonella Rizzi, capo servizio gegolazione dell’Agenzia per la Cybersicurezza Nazionale (Acn), introducendo la tavola rotonda, “ma ciò che è importante è che serve una buona governance di tutti i processi“. Sono cruciali la consapevolezza e la gestione della complessità.

Ma partiamo dai dati emersi sugli attacchi al settore manifatturiero, mentre “i requisiti cyber diventano più stringenti”, secondo Ivan Monti, Ciso di Ansaldo Energie. “La NIS 2 è fiducia e affidabilità, il modo con cui le aziende si propongono come partner affidabile”, aggiunge Alessio Pennasilico, Comitato scientifico del Clusit.

Manufacturing security summit 2025: i dati sul settore manifatturiero

Gli incidenti verso il settore manifatturiero, secondo il Rapporto Clusit del primo semestre 2025, sono passati a livello globale dal 6% del 2024 all’8% della prima metà dell’anno. Significa che in un solo semestre il comparto ha raggiunto il 90% degli incidenti registrati in tutto il 2024.

I settori Professionale/Scientifico/Tecnico e Trasporti/Logistica, in appena un semestre, hanno oltrepassato il numero di incidenti di tutto l’anno precedente: il 94% nel primo caso e perfino il 110% per il secondo.

In Italia il settore manifatturiero, in cui si è registrato il 13% degli incidenti nel primo semestre dell’anno, ha raccolto in Italia una percentuale più rilevante di incidenti rispetto al resto del mondo – che nella vista globale si arresta all’8% – che, secondo i ricercatori di Clusit, si spiega con le specificità del tessuto economico del nostro Paese composto di piccole e medie imprese.

Nel primo semestre di quest’anno i ricercatori di Clusit hanno rilevato, inoltre, in ambito Trasporti/Logistica, il 17% del totale di incidenti in sei mesi, pari ad oltre una volta e mezzo il numero degli incidenti di tutto l’anno precedente e incrementato l’incidenza sul totale del campione, rispetto all’anno precedente, di 10 punti percentuali.

I vettori d’attacco

Se il malware cala, le vulnerabilità zero day salgono, passando dal 7% al 20%. E soprattutto crescono le vulnerabilità già note, che avrebbero a disposizione le patch, ma non vengono applicate tempestivamente e quindi sfruttate dagli attori malevoli.

Eppure, mantenere aggiornati sistemi operativi, software e app, applicando gli aggiornamenti di sicurezza, fa parte dell’Abc della postura di sicurezza.

Fra le tecniche d’attacco, il phishing/social engineering è raddoppiato dall’1% nel 2024 al 2% nel primo semestre dell’anno in corso.

Le tecniche multiple e gli attacchi web sono rimaste stabili all’1%, invece i furti d’identità e credenziali si sono dimezzati dal 4% al 2%. Sono calati dal 7% al 2% anche gli attacchi DDoS.

La risposta è implementare la NIS 2

“In un mondo ideale la NIS 2 non esisterebbe”, spiega Pennasilico, “perché quando salgo in auto non mi metto la cintura di sicurezza per non prendere la multa del vigile, ma per non farmi in male in caso di incidente”. Implementare la NIS 2 serve per evitare le conseguenze degli incidenti, degli attacchi alla supply chain.

Per mettere in sicurezza il manifatturiero italiano, bisogna adottare la NIS 2 che punta a potenziare la resilienza e la sicurezza informatica in tutta l’UE, estendendo l’ambito di applicazione e introducendo requisiti più rigorosi rispetto alla precedente direttiva.

L’importante è ora applicare i requisiti e seguire le tempistiche e le scadenze in maniera scrupolosa. “I bottoni sul sito dell’Acn sono essenziali per semplificare”, sottolinea Pennasilico, “la NIS 2 permette al Paese e al suo manifatturiero di compiere un salto di qualità”.

Un’azienda dell’800 ha chiuso in Uk per un attacco ransomware. “Ecco, la NIS 2 permetterà di sopravvivere, e chi non la capisce, non esisterà più”, conclude Pennasilico. Ma nel 2026 rischia chi non si è registrato nella lista dei soggetti Nis. “Meglio un’autoregistrazione tardiva che essere trovati inadempienti”, chiude la tavola rotonda la prefetta Rizzi.