Cybersecurity integrata tra IT e OT: la chiave per la resilienza dell’industria manifatturiera

La trasformazione digitale delle imprese manifatturiere ha spalancato le porte a una nuova stagione di opportunità, ma anche di vulnerabilità.

In un’epoca in cui macchine, impianti e prodotti sono connessi e interdipendenti, la sicurezza informatica non può più essere considerata un comparto separato o una mera misura tecnica ma deve diventare un pilastro strategico dell’impresa, una condizione necessaria per la sua resilienza complessiva.

Durante un evento ospitato da Cefriel, dal titolo “L’insostenibile leggerezza dell’essere Cyber Vulnerabili nell’industria manifatturiera”, Massimiliano Colombo, Senior Cybersecurity Advisor Cefriel – Politecnico di Milano, ha proposto una visione che va oltre la semplice protezione dei dati: costruire un modello di Cybersecurity aziendale integrata, in grado di unire senza soluzione di continuità il mondo IT (Information Technology) e quello OT (Operational Technology), oggi sempre più fusi nelle fabbriche intelligenti.

Cybersecurity integrata tra IT e OT: due mondi che devono parlarsi

Nel tradizionale ecosistema aziendale, i domini IT e OT seguono logiche e priorità differenti.

L’IT si fonda sui principi di confidenzialità, integrità e disponibilità delle informazioni, in quest’ordine di importanza. L’OT, invece, vive di tempi reali e processi fisici: la priorità è la disponibilità del sistema, seguita da integrità e confidenzialità. «Le proprietà sono le stesse, ma la priorità è sostanzialmente l’opposto. E io aggiungerei anche un quarto elemento: il controllo», afferma Colombo di Cefriel.

Questa differenza di prospettiva ha storicamente generato silos di sicurezza e una scarsa comunicazione tra i reparti IT e quelli di produzione. Eppure, con l’avvento dell’Industrial Internet of Things e della fabbrica connessa, la linea di confine si è dissolta: ogni macchina è oggi un nodo della rete aziendale. La cybersecurity, dunque, deve abbracciare l’intera infrastruttura, dal software gestionale al robot di linea.

Dalla sicurezza alla resilienza

Colombo invita a compiere un cambio di paradigma: non considerare più la cybersecurity come un centro di costo, ma come un fattore abilitante della resilienza e della competitività.

«La cybersecurity deve essere vista non più come un centro di costo, ma come un elemento abilitante della resilienza complessiva dell’azienda», ha sottolineato Colombo.

Questo concetto si lega direttamente ai principi dell’Industry 5.0, la visione europea che pone al centro la persona, la sostenibilità e la resilienza. La sicurezza informatica, in questa prospettiva, non è solo difesa dagli attacchi: è capacità di adattamento, continuità e fiducia.

Una fabbrica resiliente è una fabbrica che, anche in caso di incidente o violazione, sa reagire, ripristinare e continuare a produrre. È un’impresa che non subisce la tecnologia, ma la governa con consapevolezza.

L’impatto dell’Intelligenza artificiale

Non si può parlare di sicurezza industriale senza citare l’impatto dell’Intelligenza artificiale.

L’AI è ormai ovunque: nelle macchine, nei sistemi di controllo, nei processi decisionali e, purtroppo, anche negli attacchi informatici.

«L’AI riduce il coefficiente di creatività necessario per costruire nuovi attacchi, facilitando la generazione automatica di campagne di phishing o di exploit personalizzati».

Se da un lato l’AI può potenziare la difesa predittiva, automatizzando l’analisi dei log o individuando pattern anomali prima che si trasformino in minacce, dall’altro lato essa alimenta un nuovo tipo di criminalità informatica adattiva, capace di evolversi e personalizzarsi con rapidità.

Nel mondo manifatturiero, dove la connessione fra sistemi IT e OT è ormai totale, l’AI rappresenta sia un potente alleato sia un moltiplicatore di rischio. Solo una cybersecurity integrata e una governance coordinata possono mitigare gli impatti di questa rivoluzione.

Cybersecurity: il labirinto normativo europeo

Il contesto normativo è diventato un fattore determinante per la sicurezza industriale.
Accanto alla Direttiva NIS2, che regola la sicurezza delle reti e dei sistemi informativi a livello aziendale, due provvedimenti europei sono destinati a cambiare radicalmente l’approccio delle imprese manifatturiere: il Cyber Resilience Act (CRA) e il nuovo Regolamento Macchine.

Il CRA stabilisce requisiti di cybersecurity trasversali per tutti i prodotti con elementi digitali, imponendo l’obbligo di gestione delle vulnerabilità, di aggiornamenti regolari e di notifiche di incidenti.

Il Regolamento Macchine, invece, introduce per la prima volta la sicurezza informatica come componente della sicurezza funzionale (safety), proteggendo operatori e ambienti produttivi da possibili manipolazioni digitali.

«Per un costruttore di macchine utensili connesse  – continua Colombo – sarà necessario applicare contemporaneamente ciò che richiede il CRA e ciò che stabilisce il Regolamento Macchine».

Queste normative, seppur complesse, spingono verso una maggiore maturità e responsabilità industriale. Non sono solo vincoli burocratici, ma strumenti per accrescere la fiducia del mercato e la qualità del prodotto europeo.

Dalla compliance alla maturità cyber

Rispettare la legge non basta. L’obiettivo deve essere quello di costruire sistemi realmente sicuri, non solo conformi.
Per farlo, le aziende possono attingere a una vasta gamma di standard internazionali: la famiglia ISO/IEC 27000 per la parte IT, la IEC 62443 per i sistemi industriali OT e il framework NIST, che aiuta a definire i livelli di maturità cyber.

«Questi strumenti esistono da anni, ma solo ora, con le normative cogenti, li stiamo riscoprendo come alleati concreti», afferma Colombo.

L’integrazione fra questi standard permette alle imprese di trasformare la sicurezza in un processo continuo, capace di adattarsi ai cambiamenti tecnologici e normativi, e di costruire un ecosistema industriale più solido e collaborativo.

La sicurezza come valore economico

Un aspetto spesso sottovalutato è quello finanziario.
Le banche e gli istituti di credito stanno iniziando a premiare le imprese più sicure, concedendo condizioni più favorevoli a chi dimostra un alto livello di cyber maturità.

«Le banche iniziano a premiare le imprese più sicure: la cybersecurity implica resilienza, e la resilienza è garanzia di continuità», precisa il rappresentante Cefriel.

Questo approccio, analogo a quello già in vigore per la sostenibilità ambientale, riconosce che la sicurezza digitale è un fattore di longevità aziendale. Un’azienda che investe in cybersecurity è un’azienda che sa gestire i rischi, proteggere i propri asset e assicurare continuità ai clienti e agli investitori.

Colombo richiama l’attenzione su un concetto chiave: la resilienza non è uno stato, ma un percorso.
La cybersecurity non si raggiunge una volta per tutte, ma si costruisce giorno dopo giorno, attraverso consapevolezza, formazione, aggiornamento e collaborazione tra tutti gli attori della filiera.

Per il settore manifatturiero, ciò significa sviluppare una cultura condivisa della sicurezza, in cui IT e OT lavorino insieme, le persone siano parte attiva del sistema e la tecnologia diventi un fattore di protezione, non di vulnerabilità.

Solo così la fabbrica del futuro potrà essere umanocentrica, sostenibile e realmente resiliente, come immagina l’Europa con l’Industry 5.0.