La NIS 2 ha cambiato il modo in cui le organizzazioni devono concepire la sicurezza digitale.

Tuttavia, c’è un’area che continua a sfuggire a molti: la sicurezza degli apparati industriali, dei sistemi Operational Technology (OT), dei PLC, delle macchine che fanno funzionare le attività reali.

L’articolo 24 del D.lgs. 138/2024, letto con competenza tecnica e visione strategica, ribalta la tradizionale distinzione tra IT e Operations, imponendo una revisione radicale della governance interna.

La nuova tetralogia è dedicata a quattro aree sottovalutate della NIS 2:

• la vera portata dell’articolo 24 e della sicurezza OT;
• il nuovo obbligo di classificazione delle attività e dei servizi (art. 30 del decreto NIS);
• la revisione periodica delle procedure e delle politiche (Determinazione ACN 10/04/2025);
• l’integrazione tra IT, OT e governance per costruire una postura realmente resiliente.

Quattro prospettive complementari, pensate per dirigenti, DPO, CISO, membri del CdA e responsabili di funzioni critiche, per leggere la NIS 2 come un sistema di comando e non come un insieme di adempimenti.

Gli OT vanno integrati nella postura NIS 2

La NIS 2 è stata discussa, analizzata, commentata sotto ogni angolazione. Si è parlato di perimetri, obblighi, livelli di rischio, incidenti, responsabilità degli organi apicali.

Eppure, sotto questa superficie affollata, esiste un substrato normativo che molti continuano a non vedere e che si trova nell’articolo 24 del D.lgs. 138/2024.

È un articolo che sembra chiaro, persino ovvio e invece è uno spartiacque perché al paragrafo 1 dispone che i soggetti essenziali e importanti debbano adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi che minacciano i loro sistemi informativi e di rete nonché prevenire o ridurre al minimo l’impatto degli incidenti sui propri servizi e su quelli collegati.

Ora, nella definizione di servizi informativi e di rete rientra un mondo immenso e di solito escluso dalle logiche di cyber security: i sistemi di Operational Technology (OT).

Sono i macchinari che fanno funzionare un ospedale, gli impianti di un’azienda alimentare, gli strumenti diagnostici di un laboratorio, i nastri trasportatori di un centro logistico, i Programmable Logic Controller (PLC) che regolano pressioni, dosaggi, imballaggi, sanificazioni, sterilizzazioni.

Sono i sistemi che, se si fermano, non compromettono soltanto l’integrità dei dati, ma anche il regolare sviluppo dei processi e dei servizi.

Questo primo articolo della tetralogia è dedicato proprio a loro: ai sistemi OT, al loro ruolo nella resilienza reale, e all’obbligo – non più eludibile – di integrarli nella postura NIS 2.

L’articolo 24 del decreto NIS: il perimetro che nessuno aveva visto arrivare

L’articolo 24 del decreto 138/2024 recita: “I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate, secondo le modalità e i termini di cui agli articoli 30, 31 e 32, alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi”.

Non si limita a parlare di server, firewall, database, applicazioni. Parla di attività e servizi, di ciò che permette a un’organizzazione essenziale o importante di funzionare.
E se un processo essenziale funziona grazie a un apparato industriale, un sistema di Operational Technology, allora quell’apparato è certamente oggetto della normativa NIS.

La NIS 2, pertanto, è una normativa che estende l’attenzione dall’infrastruttura IT alla funzione operativa e alla connessa capacità di erogare un servizio.

Quindi la vecchia separazione tra IT, manutenzione e stabilimento non ha più ragion d’essere.

IT vs OT: la separazione che non può più esistere

La maggior parte delle organizzazioni opera ancora con due mondi paralleli:

• IT, responsabile dei sistemi informativi tradizionali;
• Operations, responsabile dei macchinari, delle linee ed apparati industriali, dei PLC.

Due mondi che spesso non comunicano e che hanno culture e priorità diverse nonché linguaggi diversi.

La NIS 2 demolisce questa barriera, perché un ransomware che colpisce un PLC di una linea di confezionamento non è diverso, per la legge, da quello che colpisce un server del data center.

Quindi, se blocca la produzione o compromette un servizio essenziale o, ancora, interrompe la catena di valore, è certamente un incidente NIS.

Questo cambia:

• la governance interna;
• il risk assessment;
• la definizione di “sistema critico”;
• l’architettura di sicurezza;
• la distribuzione delle responsabilità.

Perché gli OT sono più vulnerabili degli IT

Molti PLC e sistemi di controllo industriale (cc.dd. ICS: Industrial Control System) sono progettati, in genere, per funzionare 20 anni.

Sono macchine robuste, affidabili, stabili ma anche estremamente esposte, per i seguenti motivi:

• protocollo e firmware obsoleti, spesso non aggiornabili;
• assenza di autenticazione forte nelle logiche di controllo;
• connettività aggiunta nel tempo (remote maintenance, iot, teleassistenza);
• sistemi operativi embedded non più supportati;
• mancanza di monitoraggio continuo.

Gli attaccanti lo sanno e sanno che colpire un apparato OT ha un impatto immediato e devastante.

Per il legislatore, questa vulnerabilità non è un dettaglio tecnico ma un vero pe proprio rischio sistemico.

Cosa impone la NIS 2 alla sicurezza industriale

Mettere gli OT dentro il perimetro dei “sistemi informativi e di rete” significa applicare loro:

• backup adeguati e testati, anche su sistemi embedded;
• piani di disaster recovery coerenti con il ciclo produttivo;
• contratti di assistenza con SLA formalizzati;
• architetture di rete segmentate e protette;
• gestione delle vulnerabilità estesa anche ai macchinari;
• continuità operativa e piani di ripristino;
• logiche zero-trust adattate al mondo OT;
• controllo delle manutenzioni e delle supply chain tecniche.

Significa anche affrontare un mondo in cui spesso i fornitori detengono password, firmware, diagnostica, accessi remoti (frequentemente non controllati) con la conseguente necessità di ricondurre queste realtà dentro una governance unica, chiara e misurabile.

Ma esistono anche vulnerabilità meno visibili, come per esempio:

• il rischio legato a questi apparati che spesso non viene riconosciuto, quasi fossero elementi neutri del processo produttivo;
• il personale che li utilizza o li supervisiona, il quale, pur essendo competente sulle attività di produzione o di erogazione del servizio, non dispone delle conoscenze tecniche necessarie per comprenderne l’esposizione e gestirla con consapevolezza;
• la loro gestione che finisce così per essere affidata, senza un vero modello organizzativo, a funzioni interne o a soggetti esterni, con una frammentazione che indebolisce il controllo e apre varchi operativi ed espositivi.

Esempi concreti di impatto OT in diversi settori

Sanità: la compromissione di un’autoclave o di un sistema di diagnostica può bloccare un reparto.

Agroalimentare: un PLC che gestisce la sterilizzazione o il dosaggio può compromettere partite intere.

Logistica: linee automatiche di smistamento diventano immobili.

Farmaceutico: un guasto o una manipolazione danneggia l’integrità del lotto.

Utilities: sensori e attuatori determinano pressioni, dosaggi chimici, flussi.

Sono tutti, senza eccezione, “sistemi informativi e di rete la cui compromissione comporterebbe un impatto significativo”.

Il legame tecnico-giuridico con l’articolo 30 del decreto NIS

L’articolo 24 del decreto NIS è la porta d’ingresso, mentre il successivo articolo 30 è la mappa interna. Uno stabilisce cosa proteggere, l’altro come classificarlo e dimostrare di averlo identificato.

Molte organizzazioni non hanno ancora compreso questo collegamento e potrebbero pagare questa miopia durante le prossime ispezioni delle Autorità di controllo.

L’articolo 24 della NIS 2 è comporta un cambio culturale perché costringe le organizzazioni a guardare l’infrastruttura industriale come parte integrante della propria resilienza digitale.

È una norma che impiega un linguaggio semplice, ma con conseguenze enormi su governance, responsabilità, risk management, supply chain e continuità operativa.
Ciò che molti non vedono determinerà il livello reale di compliance e resilienza delle organizzazioni.
Nel prossimo capitolo, entreremo nel cuore dell’articolo 30 del D.lgs.138/2024, per capire come si classificano attività e servizi ai fini NIS 2 e perché questo obbligo annuale è uno strumento di comando e non una formalità amministrativa.