NIS2 per le aziende manifatturiere
La fabbricazione di dispositivi medici, elettronica, apparecchiature elettriche, macchinari e veicoli rientra nell'ambito dell'allegato II di NIS2. Se la tua azienda ha 50+ dipendenti, ecco cosa richiede il BSIG e come affrontare la sfida OT/IT.
Perché NIS2 si applica al manifatturiero?
Il manifatturiero moderno dipende dalla convergenza di IT e OT (operational technology). I sistemi ERP guidano la pianificazione della produzione. Le piattaforme MES gestiscono l'esecuzione in officina. I sistemi SCADA controllano macchinari e automazione di processo. I sistemi CAD/CAM definiscono cosa viene costruito. Quando questi sistemi sono interconnessi - e nella maggior parte delle fabbriche lo sono - un attacco informatico su uno può propagarsi a cascata su tutta la catena di produzione. Un'infezione ransomware nella rete d'ufficio che raggiunge il MES può fermare le linee di produzione.
L'UE ha classificato il manifatturiero nell'allegato II della direttiva NIS2, coprendo: fabbricazione di dispositivi medici, fabbricazione di computer ed elettronica, fabbricazione di apparecchiature elettriche, fabbricazione di macchinari e apparecchiature, fabbricazione di autoveicoli e fabbricazione di altri mezzi di trasporto. Le aziende che raggiungono la soglia dimensionale (50+ dipendenti o oltre 10 milioni di euro di fatturato annuo) sono 'wichtige Einrichtungen' (soggetti importanti) ai sensi del §28(2) BSIG.
Il manifatturiero ha una sfida peculiare che la maggior parte degli altri settori NIS2 non affronta nella stessa misura: la sicurezza OT. Le apparecchiature di produzione spesso eseguono sistemi operativi specializzati, usano protocolli proprietari e hanno vincoli di ciclo di vita che rendono difficile l'applicazione delle patch. Una macchina CNC del 2015 può eseguire Windows 7 Embedded e non può essere aggiornata senza il coinvolgimento del produttore. NIS2 non ignora questa realtà: il §30 BSIG richiede misure 'proporzionate' al rischio. Ma devi documentare i rischi e i controlli compensativi.
Manufacturing Execution System (MES)
Il sistema che gestisce le operazioni in officina: pianificazione della produzione, esecuzione degli ordini di lavoro, tracciamento della qualità e monitoraggio delle prestazioni. Sistemi comuni includono SAP ME, MPDV HYDRA, Forcam o soluzioni personalizzate. Il MES si colloca tra l'ERP e il reparto produttivo. Se va fuori uso, perdi la visibilità sulla produzione e la pianificazione. Una voce asset per impianto.
SCADA e controlli industriali
Sistemi Supervisory Control and Data Acquisition, PLC (controllori logici programmabili), HMI (interfacce uomo-macchina) e controllori CNC. Controllano direttamente i processi produttivi fisici. Spesso eseguono sistemi operativi più datati con capacità di sicurezza limitate. Rappresentano il rischio a più alto impatto perché la compromissione può danneggiare le apparecchiature o causare incidenti per la sicurezza. Raggruppa per linea o cella di produzione.
Sistema ERP
Il sistema aziendale centrale per la gestione degli ordini, gli approvvigionamenti, le scorte, la finanza e la pianificazione della produzione. Comunemente SAP, proALPHA, Microsoft Dynamics o abas. L'ERP guida cosa viene prodotto e quando. La compromissione blocca l'elaborazione degli ordini, i pagamenti ai fornitori e le consegne ai clienti. Una voce asset.
CAD/CAM e progettazione
Sistemi Computer-Aided Design e Computer-Aided Manufacturing: SolidWorks, AutoCAD, Siemens NX, CATIA o simili. Contengono la tua proprietà intellettuale: progetti di prodotto, processi di fabbricazione, tolleranze. Una violazione qui può significare la perdita di segreti commerciali. Include anche il PLM (Product Lifecycle Management) se utilizzato. Una voce raggruppata.
Infrastruttura di rete
La rete che collega l'IT d'ufficio, la progettazione e il reparto produttivo. In modo critico include il confine IT/OT: firewall, segmenti DMZ e data diode tra la rete d'ufficio e la rete di reparto. Se le tue reti IT e OT sono piatte (nessuna segmentazione), questo è il tuo rischio a priorità più alta. Includi VPN e accesso remoto per la manutenzione dei fornitori.
Endpoint e IT d'ufficio
Laptop, desktop e dispositivi mobili per il personale d'ufficio, la progettazione e la gestione della produzione. Applicazioni d'ufficio standard, email, strumenti di collaborazione. Grundschutz consente il raggruppamento: '80 laptop Windows standard' è una voce. Includi anche i server (file, stampa, applicazioni) come voce raggruppata separata se rilevanti.
1. Registrati presso il BSI
Completa la tua registrazione ai sensi del §33 BSIG tramite muk.bsi.bund.de. Richiede da 30 a 60 minuti e ti mette agli atti. La sanzione per la mancata registrazione è fino a 500.000 euro. Se la scadenza è già passata, registrati subito.
2. Costruisci il tuo inventario degli asset (IT e OT)
È qui che il manifatturiero differisce dagli altri settori. Devi inventariare sia i sistemi IT (ERP, email, progettazione) sia i sistemi OT (MES, SCADA, PLC, macchine CNC). Per gli asset OT, documenta il sistema operativo, la versione del firmware, la connettività di rete e se il produttore fornisce aggiornamenti di sicurezza. Questo inventario è la base di tutto ciò che segue.
3. Valuta e segmenta la tua rete OT
La misura tecnica a più alto impatto per i produttori. Se l'IT d'ufficio e l'OT di produzione condividono una rete piatta, un'infezione ransomware in ufficio può raggiungere i tuoi controllori di produzione. Attua la segmentazione di rete: separa IT e OT in zone di rete distinte con un firewall tra di esse. Questo è il requisito Grundschutz IND.1 e la principale raccomandazione del BSI per gli ambienti industriali.
4. Imposta la notifica degli incidenti
Definisci cosa significa incidente significativo per le tue operazioni manifatturiere. Un attacco ransomware che ferma le linee di produzione è chiaramente significativo. Un'email di phishing tentata e bloccata non lo è. Stabilisci la catena di notifica, incluso chi ha l'autorità di presentare la notifica al BSI e come raggiungerlo fuori dall'orario di lavoro. Testa il processo con un'esercitazione tabletop.
5. Documenta i rapporti con i fornitori
Le aziende manifatturiere hanno spesso più fornitori OT con accesso remoto ai sistemi di produzione per manutenzione e aggiornamenti. Documenta ogni fornitore con accesso alla tua rete, cosa può raggiungere e quali misure di sicurezza assume. Le connessioni di manutenzione remota ai sistemi SCADA sono un vettore d'attacco comune: assicurati che siano adeguatamente protette e monitorate.
La sfida della convergenza IT/OT definisce la conformità NIS2 nel manifatturiero. Il tuo team IT d'ufficio conosce le patch, i controlli di accesso e la sicurezza di rete. Ma le apparecchiature di produzione operano secondo regole diverse: non puoi riavviare una macchina CNC durante una produzione per applicare le patch. I PLC possono eseguire firmware non aggiornato da anni perché il produttore non ha rilasciato aggiornamenti. I sistemi SCADA possono usare protocolli proprietari che gli strumenti di sicurezza IT standard non comprendono.
La soluzione non è imporre le pratiche di sicurezza IT all'OT. È costruire un modello di sicurezza che rispetti i vincoli. La segmentazione di rete isola l'OT dai rischi IT. Il monitoraggio rileva le anomalie senza richiedere agent sui controllori. I controlli compensativi (accesso fisico ristretto, reti di manutenzione dedicate, logging) forniscono protezione laddove i controlli IT tradizionali non sono praticabili. Documenta tutto: il BSI si aspetta misure 'proporzionate', e documentare perché hai scelto controlli compensativi anziché l'applicazione diretta delle patch è un approccio valido.
Le aziende manifatturiere affrontano anche un rischio per la proprietà intellettuale che altri settori potrebbero non avere. File CAD, processi di produzione, tolleranze e specifiche dei fornitori sono preziosi segreti commerciali. Una violazione che li espone non crea solo un problema di conformità: crea uno svantaggio competitivo. I controlli di accesso sui sistemi di progettazione e la cifratura per i file di progetto dovrebbero essere prioritari insieme al lavoro di segmentazione OT.
Domande frequenti
Le nostre macchine di produzione eseguono Windows 7 o versioni precedenti. NIS2 ci impone di aggiornare?
NIS2 non impone versioni specifiche del sistema operativo. Richiede una gestione dei rischi 'adeguata e proporzionata'. Per i sistemi OT più datati, ciò significa: documentare il rischio (sistema operativo non supportato, nessuna patch), attuare controlli compensativi (isolamento di rete, accesso ristretto, monitoraggio) e pianificare la sostituzione a fine ciclo di vita. Il BSI si aspetta che tu riconosca il rischio e lo gestisca, non che esegua aggiornamenti impossibili su apparecchiature che non possono essere aggiornate.
Dobbiamo separare le nostre reti IT e OT?
La segmentazione di rete tra IT e OT è la misura di sicurezza a più alto impatto per i produttori, ed è fortemente raccomandata sia dal BSI (Grundschutz IND.1) sia dal CIR 2024/2690. Se le tue reti sono attualmente piatte, questa dovrebbe essere la tua principale priorità tecnica. Come minimo, distribuisci un firewall tra la rete d'ufficio e la rete di produzione, limita il traffico solo a ciò che è necessario e registra tutte le connessioni tra zone.
Il nostro fornitore di macchine ha accesso remoto per la manutenzione. È un problema?
L'accesso di manutenzione remota è comune e necessario, ma è un significativo vettore di rischio. Ai sensi di NIS2 devi documentare questo accesso, includere requisiti di sicurezza nel contratto con il fornitore e attuare controlli: connessioni VPN dedicate (non porte aperte), accesso a tempo limitato (abilitato solo quando necessario), logging di tutte le sessioni remote e autenticazione a più fattori. Il fornitore entra a far parte della tua valutazione di sicurezza della catena di fornitura ai sensi del §30(2)(4) BSIG.
Siamo un fornitore automotive Tier 2. NIS2 si applica anche se il nostro OEM non ce lo ha chiesto?
Se fabbrichi autoveicoli, componenti o mezzi di trasporto e hai 50+ dipendenti, NIS2 si applica a te indipendentemente da ciò che richiede il tuo cliente OEM. La fabbricazione di autoveicoli e di altri mezzi di trasporto è esplicitamente elencata nell'allegato II. In pratica, gli OEM automotive richiederanno sempre più la conformità NIS2 alla loro catena di fornitura: TISAX copre già un ambito simile. Anticipare questo requisito è strategicamente intelligente.