La NIS2 non è una norma "solo IT". Per chi gestisce impianti industriali, linee produttive, infrastrutture di stabilimento o servizi essenziali, il punto centrale è semplice: la sicurezza deve coprire anche i sistemi che tengono in piedi l'operatività reale, quindi OT, PLC, HMI, SCADA, reti industriali, postazioni di engineering e accessi remoti.

La direttiva richiede misure tecniche, operative e organizzative proporzionate al rischio, con obblighi di governance, gestione degli incidenti e continuità operativa. In altre parole: non basta avere un firewall o un antivirus; serve un sistema di controllo del rischio documentato, verificabile e sostenibile nel tempo.

Quadro elettrico industriale con interruttori magnetotermici e cablaggio ordinato
Quadro elettrico industriale: protezioni, interruttori e cablaggio strutturato sono la base fisica su cui si innestano le misure di sicurezza OT. Foto: Pexels, licenza libera.
Cosa chiede davvero la NIS2
La NIS2 impone un approccio di risk management e di incident reporting per soggetti essenziali e importanti. A livello UE, la direttiva copre 18 settori critici; in Italia, il recepimento è avvenuto con il D.Lgs. 138/2024 e l'ACN è l'autorità competente NIS. Per i soggetti rientranti nel perimetro, la registrazione sul portale ACN è prevista dal 1° dicembre al 28 febbraio di ogni anno.

NIS2 e OT: dove nasce l'equivoco

L'errore più comune è pensare che la NIS2 riguardi soprattutto servizi cloud, data center e sistemi informativi classici. In realtà, per molte aziende industriali il rischio principale è l'impatto sul processo fisico: fermo linea, perdita di controllo, degrado della qualità, blocco della manutenzione, accessi remoti incontrollati, assenza di backup ripristinabili, modifiche non tracciate sui PLC.

La direttiva non prescrive un singolo standard né una specifica architettura di rete. Chiede però misure appropriate e proporzionate, basate su un approccio all-hazards, cioè capace di considerare incidenti cyber, errori operativi, dipendenze da fornitori, guasti e impatti sul servizio. Per l'OT questo significa portare la cybersecurity dentro i processi di impianto, non aggiungerla alla fine come strato separato.

Chi dovrebbe leggere questo articolo

  • Responsabili di stabilimento che dipendono da PLC, HMI, SCADA o reti industriali
  • System integrator e OEM che devono dimostrare maggiore maturità tecnica e organizzativa
  • Responsabili IT/OT che stanno costruendo una roadmap di adeguamento NIS2
  • Direzione e management chiamati ad approvare, supervisionare e sostenere le misure

Le 10 aree che la NIS2 mette al centro

L'articolo 21 della direttiva elenca le aree minime delle misure di gestione del rischio. Sono queste, tradotte in ottica operativa per l'industria:

1. Analisi del rischiocapire quali asset e processi OT sono davvero critici
2. Gestione incidentisapere chi fa cosa quando un impianto ha un problema cyber
3. Continuità operativabackup, disaster recovery, procedure di fermo e ripartenza
4. Supply chain securityvendor, manutentori remoti, integratori, software terzi
5. Sicurezza nel ciclo di vitaacquisizione, sviluppo, manutenzione, vulnerabilità e change
6. Verifica dell'efficaciaaudit, review, controlli periodici, evidenze
7. Cyber hygiene e formazioneregole base, consapevolezza, competenze
8. Crittografiadove ha senso, senza rompere operatività e compatibilità
9. HR security, accessi e assetutenti, ruoli, onboarding/offboarding, inventario asset
10. MFA e comunicazioni sicurein particolare per accessi remoti e funzioni ad alto impatto
Cavi in fibra ottica collegati a uno switch di rete in un armadio rack
Infrastruttura di rete: cavi in fibra ottica e switch in un armadio rack. La segmentazione e il controllo dei flussi di comunicazione sono tra le misure tecniche centrali della NIS2. Foto: Pexels (Brett Sayles), licenza libera.

Checklist pratica NIS2 per impianti industriali

Qui sotto non trovi una checklist “da audit cosmetico”, ma un elenco di controlli che hanno senso davvero su un impianto.

1. Inventario degli asset OT

  • Hai un elenco aggiornato di PLC, HMI, SCADA, switch industriali, firewall, engineering station, drive, IPC, access point industriali?
  • Per ogni asset conosci modello, firmware, funzione di impianto, criticità, proprietario tecnico, connessioni e dipendenze?
  • Sai distinguere gli asset che fermano la produzione da quelli secondari?

Senza inventario, il risk management resta teorico. In OT l'inventario deve includere non solo gli apparati ma anche flussi di comunicazione, software di engineering, collegamenti remoti e supporti di manutenzione.

2. Segmentazione di rete e separazione OT/IT

  • La rete OT è separata dalla rete office con regole chiare e documentate?
  • Esiste una DMZ industriale o almeno un punto di interscambio controllato?
  • Le linee o le celle critiche sono separate in zone o segmenti coerenti con il rischio?
  • I flussi consentiti tra SCADA, historian, engineering station e PLC sono ridotti al minimo necessario?

La segmentazione è una delle misure più concrete per ridurre il movimento laterale e contenere l'impatto di un incidente. In OT non significa “chiudere tutto”, ma progettare una comunicazione strettamente necessaria e verificabile.

Patch panel di rete con cavi in fibra ottica organizzati in un armadio di distribuzione
Patch panel e cablaggio strutturato in un armadio di rete. La separazione fisica e logica tra zone OT e IT parte dalla progettazione dell'infrastruttura di rete. Foto: Pexels (Brett Sayles), licenza libera.

3. Accesso remoto sicuro

  • Gli accessi remoti dei manutentori sono autorizzati per sessione oppure permanenti?
  • Usi MFA per VPN, jump host o portali di teleassistenza?
  • Le sessioni remote sono tracciate e, dove possibile, registrate?
  • Gli account vendor hanno scadenza, ruoli limitati e revisione periodica?

Molti impianti sono esposti non perché “bucati dall'esterno”, ma perché gli accessi remoti restano aperti nel tempo, con credenziali condivise o senza controllo reale della sessione.

4. Backup e ripristino realmente testati

  • Esistono backup offline o segregati di progetti PLC, HMI, SCADA, configurazioni di rete, utenze, certificati e postazioni di engineering?
  • Il ripristino è stato provato almeno su casi critici?
  • Sai in quanto tempo puoi ricostruire una cella o una linea in caso di compromissione?

La NIS2 cita esplicitamente backup management, disaster recovery e crisis management. In un impianto, la domanda giusta non è “facciamo backup?”, ma “siamo in grado di ripartire davvero?”.

”Sala
Sala server con armadi rack e postazione di monitoraggio. Il backup e il disaster recovery richiedono infrastruttura dedicata, test periodici e procedure di ripristino documentate. Foto: Pexels, licenza libera.

5. Gestione delle modifiche e versionamento

  • Ogni modifica a PLC, HMI, SCADA o rete industriale è approvata, registrata e reversibile?
  • Esiste una baseline del software in produzione?
  • Le postazioni di engineering usano processi di esportazione, review o versionamento coerenti?
  • Chiunque può caricare online una modifica, oppure esiste segregazione dei ruoli?

La NIS2 non nomina Git, TIA Portal o uno specifico tool. Però richiede misure su sviluppo, manutenzione, efficacia dei controlli e governance. In OT, il change management è una delle prove più concrete di maturità.

6. Vulnerability e patch management con logica OT

  • Hai un processo per valutare vulnerabilità, advisory dei vendor e priorità di intervento?
  • Le patch vengono testate prima sui sistemi critici?
  • Quando non puoi aggiornare subito, usi misure compensative come segmentazione, restrizioni di accesso o disattivazione di servizi non necessari?

In OT non sempre si aggiorna “appena esce la patch”. Ma non aggiornare non può essere la risposta automatica: serve una decisione documentata, basata su impatto, esposizione e contromisure.

7. Hardening delle engineering station

  • Le postazioni con TIA Portal, tool SCADA o software vendor sono dedicate e separate dall'uso office?
  • Gli utenti lavorano con privilegi minimi o tutti sono amministratori locali?
  • USB, browser, email, software non necessari e connessioni esterne sono governati?
  • Le engineering station sono incluse in backup, logging e controllo accessi?

La engineering station è spesso il punto più delicato dell'impianto: ha visibilità tecnica, privilegi elevati e capacità di modificare il processo. Trattarla come un normale PC office è un errore.

8. Logging, monitoraggio e capacità di rilevare anomalie

  • Raccogli eventi da firewall, VPN, jump host, server SCADA, historian e sistemi Windows critici?
  • Hai almeno una visibilità di base su login, cambi di configurazione, errori e collegamenti remoti?
  • Esistono soglie o alert per attività anomale?

La NIS2 non impone un SIEM specifico, ma un'organizzazione che non vede nulla difficilmente può dimostrare gestione efficace degli incidenti.

9. Fornitori e supply chain

  • I contratti con integratori, manutentori e fornitori software prevedono regole minime di sicurezza?
  • Conosci i collegamenti remoti attivi, i software di supporto, le dipendenze cloud e le responsabilità operative?
  • Hai una procedura per sospendere o limitare rapidamente l'accesso di un fornitore?

La supply chain è uno dei punti esplicitamente richiamati dalla direttiva. Per l'OT questo include anche chi fa assistenza, telemanutenzione, commissioning e aggiornamenti applicativi.

10. Piano di gestione incidenti con tempi realistici

  • Chi decide se un incidente OT è significativo?
  • Chi raccoglie le evidenze tecniche e chi gestisce la comunicazione verso management, CSIRT, autorità e clienti?
  • Hai una procedura che consente almeno di rispettare la logica delle notifiche: 24 ore, 72 ore, un mese?

La notifica non si improvvisa durante l'incidente. Va preparata prima, con ruoli, escalation, contatti e criteri minimi di classificazione.

I tre errori più frequenti negli impianti

Approccio debole

“Abbiamo il firewall, quindi siamo a posto”
“Le patch in OT non si fanno mai”
“L'accesso remoto del fornitore resta attivo, tanto serve”
“Il backup c'è, ma non l'abbiamo mai provato”
Approccio maturo

Controlli basati sul rischio e sulle dipendenze reali
Segmentazione, accessi remoti governati e baseline di impianto
Misure compensative quando non si può aggiornare subito
Ripristino testato e ruoli definiti per gli incidenti

Ruolo del management: non è un dettaglio

Uno degli aspetti più rilevanti della NIS2 è che i management bodies devono approvare le misure di cybersecurity, supervisionarne l'attuazione e ricevere formazione adeguata. Questo cambia il linguaggio del progetto: la cyber OT non è più solo un tema del reparto tecnico, ma una responsabilità di governo.

Tradotto in pratica: budget, priorità, fermate pianificate, regole per i fornitori, processi di change e risposta agli incidenti non possono restare decisioni informali.

Una roadmap minima in 90 giorni

Settimane 1-2mappa asset OT, accessi remoti, software di engineering e backup esistenti
Settimane 3-4classifica linee, celle e sistemi per criticità operativa
Settimane 5-6definisci segmentazione minima, jump host, MFA e regole vendor
Settimane 7-8formalizza backup/ripristino, change management e gestione incidenti
Settimane 9-10avvia logging di base e review delle engineering station
Settimane 11-12raccogli evidenze, responsabilità e documentazione per audit e governance

Checklist rapida finale

Se oggi vuoi fare un primo check serio, verifica subito questi 8 punti:
1. inventario asset OT aggiornato
2. segmentazione minima tra OT, IT e accessi remoti
3. MFA e approvazione sessione per vendor
4. backup ripristinabili di PLC/HMI/SCADA/engineering station
5. baseline e change log delle modifiche di impianto
6. processo vulnerabilità/patch con misure compensative
7. logging minimo su firewall, VPN, server e postazioni critiche
8. procedura incidenti pronta per 24h / 72h / 1 mese

Il nostro punto di vista

La NIS2, in ambito industriale, non va letta come una check-box normativa. È un'occasione per mettere ordine dove spesso si è cresciuti per stratificazione: reti poco separate, fornitori con accessi permanenti, backup non verificati, modifiche non tracciate, responsabilità poco chiare tra IT, manutenzione e automazione.

Le organizzazioni che ne trarranno più vantaggio non saranno quelle che “scrivono più policy”, ma quelle che collegano davvero governance, architettura OT, change management e continuità operativa.

Vuoi capire quanto il tuo impianto è già allineato ai requisiti NIS2 in ambito OT?

Contattaci per un assessment tecnico-pratico — analizziamo architettura, accessi remoti, postazioni di engineering, backup, logging e priorità di adeguamento.

Risorse ufficiali e guide utili