Le sfide NIS2 per le aziende energetiche e manifatturiere

Con la Direttiva NIS2 ormai in vigore nella maggior parte dell’UE, le organizzazioni del settore energetico e manifatturiero stanno affrontando la realtà di un regime di cyber security molto più rigoroso. La maggior parte degli Stati membri ha recepito la direttiva nella legislazione nazionale, ma con definizioni, tempistiche di segnalazione e aspettative di audit diverse. Questo mosaico normativo significa che le aziende che operano in più giurisdizioni devono orientarsi tra obblighi differenti allo stesso tempo, una sfida che ha già colto di sorpresa alcune imprese. 

In base alla NIS2, sia le entità “essenziali” sia quelle “importanti” sono soggette a requisiti più stringenti in materia di gestione del rischio, sicurezza della supply chain, segnalazione degli incidenti e responsabilità a livello di consiglio di amministrazione. Per le aziende energetiche e manifatturiere, i cui sistemi sostengono la vita quotidiana e le catene di approvvigionamento critiche, non si tratta più di un semplice esercizio formale, ma di una questione strategica di resilienza e reputazione. 

La nuova realtà per gli operatori energetici 

Le reti energetiche sono un obiettivo primario per i cyber criminali e per gli attori sponsorizzati dagli Stati. La direttiva prevede che gli operatori rafforzino i propri sistemi, verifichino i fornitori e implementino solide capacità di rilevamento e risposta. 

Si pensi, ad esempio, a un operatore regionale di trasmissione elettrica che gestisce sottostazioni e piattaforme di bilanciamento della rete in due Paesi dell’UE. Poiché ogni Paese ha recepito la NIS2 in modo diverso, l’operatore deve seguire due insiemi di regole e garantire che controlli, processi e segnalazioni rispettino il regime più severo. Deve inoltre applicare l’autenticazione a più fattori (MFA) per l’accesso remoto e per i fornitori, segmentare le reti critiche e documentare ogni modifica. 

Se un gruppo ransomware compromettesse le credenziali di un fornitore e interferisse con la logica di controllo di una sottostazione, l’operatore sarebbe obbligato a inviare un avviso iniziale entro 24 ore e un rapporto dettagliato entro 72 ore, mentre contemporaneamente dovrebbe ripristinare le operazioni e gestire le conseguenze pubbliche. Senza un piano di risposta agli incidenti già collaudato, questi obblighi paralleli potrebbero sovraccaricare i team interni. 

La sfida per la manifattura 

I produttori di componenti critici per i settori aerospaziale, automobilistico o chimico sono ora classificati come “entità importanti” ai sensi della NIS2. Ciò comporta obblighi obbligatori di cyber security e di segnalazione sia per l’IT sia per la tecnologia operativa (OT). 

Si immagini un produttore multisito con centinaia di sensori IoT, sistemi robotici e una supply chain complessa. Secondo la NIS2 deve: 

• Separare le reti OT e IT e implementare sistemi di rilevamento delle intrusioni negli ambienti industriali. 

• Applicare patch e controlli delle modifiche, oppure documentare misure compensative quando le patch non sono possibili. 

• Richiedere ai fornitori di rispettare standard di sicurezza definiti, inserendo clausole contrattuali e diritti di audit. 

• Mantenere e testare regolarmente i piani di risposta agli incidenti e di continuità operativa. 

Se un fornitore venisse compromesso e inviasse un aggiornamento firmware malevolo a uno dei controller robotici, provocando un blocco della produzione, il produttore dovrebbe isolare le linee interessate, notificare tempestivamente le autorità e dimostrare di aver implementato controlli “appropriati e proporzionati”. I dirigenti sono responsabili di garantire che questo quadro sia operativo e testato. 

Responsabilità della direzione secondo la NIS2 

Uno dei cambiamenti più significativi introdotti dalla NIS2 riguarda la responsabilità della direzione. L’Articolo 20 della direttiva (Governance) stabilisce obblighi chiari per amministratori e dirigenti, rendendo la cyber security una responsabilità di leadership e non solo una questione tecnica. 

Gli organi di gestione hanno ora tre obblighi principali: 

• Approvare le misure di gestione del rischio – Gli amministratori devono approvare formalmente il quadro di gestione del rischio cyber dell’organizzazione, assicurandosi che sia allineato all’appetito di rischio e agli obblighi normativi dell’azienda. Non è più possibile delegare completamente questa responsabilità ai team IT o di sicurezza. 

• Supervisionare l’attuazione – I dirigenti devono seguire attivamente l’implementazione del quadro di cyber security, richiedendo report periodici, monitorando le prestazioni rispetto ai KPI e assicurando la responsabilità dei team. 

• Partecipare e promuovere la formazione – I membri del consiglio devono partecipare personalmente alla formazione in materia di cyber security e promuovere una cultura della sicurezza in tutta l’organizzazione. Si tratta di un cambiamento culturale, in cui la leadership deve dare l’esempio. 

Per molte aziende, in cui il rischio cyber è stato tradizionalmente visto come una questione tecnica e non di governance, questi obblighi rappresentano un vero cambio di mentalità. Le sanzioni e la responsabilità possono essere applicate non solo all’organizzazione ma, in alcuni casi, anche ai singoli dirigenti se questi doveri vengono trascurati. 

Come può aiutare Integrity360 

Poiché la NIS2 non è solo una sfida tecnica, ma anche di governance e di supply chain, le organizzazioni traggono vantaggio da competenze esterne che coprono entrambi gli ambiti. In Integrity360 collaboriamo con fornitori di energia e produttori in tutta Europa per: 

• Mappare e classificare i sistemi soggetti alla NIS2, incluse le operazioni transfrontaliere. 

• Valutare le lacune tra i controlli attuali e i requisiti nazionali della NIS2. 

• Progettare e implementare miglioramenti della sicurezza come MFA, segmentazione della rete, rilevamento degli endpoint e gestione delle esposizioni in ambienti IT e OT. 

• Potenziare la prontezza alla risposta agli incidenti con playbook, esercitazioni e monitoraggio 24/7. 

• Gestire il rischio dei terzi tramite due diligence, supporto contrattuale e valutazioni continue dei fornitori. 

• Fornire report a livello di consiglio, in modo che i dirigenti possano dimostrare la propria responsabilità. 

Combinando consulenza, servizi gestiti e competenze tecniche operative, aiutiamo le organizzazioni ad andare oltre la semplice conformità, costruendo una vera resilienza e riducendo la probabilità e l’impatto di incidenti dirompenti. 

Se la tua organizzazione opera nel settore energetico, manifatturiero o in qualsiasi altro settore coperto dalla NIS2, il momento di agire è ora. Anche nei Paesi in cui il recepimento nazionale è in ritardo, i regolatori si aspettano che le aziende siano già sulla strada della conformità. Un singolo incidente o una scadenza di segnalazione mancata possono comportare multe, danni reputazionali e interruzioni operative. 

Inizia mappando i tuoi obblighi in tutte le giurisdizioni, valutando i controlli e la supply chain e coinvolgendo il consiglio di amministrazione. Poi testa i tuoi piani prima che siano messi alla prova. Con l’approccio giusto e il partner giusto, la NIS2 può trasformarsi da un ostacolo di conformità a un catalizzatore per operazioni più solide e resilienti. 

Per scoprire come Integrity360 può supportare il tuo percorso di conformità alla NIS2, parla oggi stesso con uno dei nostri specialisti.