Cybersecurity e l’evoluzione della normativa: quali le novità per le aziende

La trasformazione digitale delle imprese manifatturiere ha spalancato le porte a una nuova stagione di opportunità, ma anche di vulnerabilità e, sulla cybersecurity a livello industriale, c’è ancora tanto da fare.

In un’epoca in cui macchine, impianti e prodotti sono connessi e interdipendenti, la sicurezza informatica non può più essere considerata un comparto separato o una mera misura tecnica ma deve diventare un pilastro strategico dell’impresa, una condizione necessaria per la sua resilienza complessiva.

Durante l’evento ospitato preso la sede di Cefriel, dal titolo “L’insostenibile leggerezza dell’essere Cyber Vulnerabili nell’industria manifatturiera”, Massimiliano Colombo, Senior Cybersecurity Advisor Cefriel – Politecnico di Milano, ha proposto una visione che va oltre la semplice protezione dei dati: costruire un modello di Cybersecurity aziendale integrata, in grado di unire senza soluzione di continuità il mondo IT (Information Technology) e quello OT (Operational Technology), oggi sempre più fusi nelle fabbriche intelligenti.

Un altro capitolo importante, emerso durante le relazioni del primo panel, riguarda l’aspetto normativo e la sua evoluzione anche in ambito cybersecurity. Da vincolo, la normativa sta diventando, pian piano, motore di cambiamento.

La tesi di partenza è chiara: il quadro legislativo e regolatorio non è solo un insieme di obblighi, ma un abilitatore di trasformazione organizzativa e competitiva.

A testimoniarlo è l’esperienza di una scale-up italiana che produce software per l’industria che afferma: «L’acquisizione della ISO/IEC 27001 ha permesso alla nostra azienda di pensare ancora di più con l’approccio risk based», racconta Filippo Ghelfi, CTO e CISO di 40Factory. «All’inizio è stato un percorso “opportunistico”, per essere più appetibili sul mercato; ma la vera scoperta è stato il cambio completo di approccio allo sviluppo, al rilascio e alla gestione del software basato su ISO 27001 e sulle correlate 27017 (per il cloud). Oggi i clienti ci vedono come un’azienda qualificata e autorevole, capace di aiutarli nella propria trasformazione digitale».

L’impatto interno è altrettanto evidente: processi più strutturati, responsabilità chiare, una cultura del rischio che permea le decisioni quotidiane. «È stato un lavoro grosso per una realtà piccola come la nostra, ma lo rifarei anche senza ritorni commerciali, per come ha cambiato l’organizzazione», aggiunge Ghelfi.

CRA, nuovo Regolamento Macchine, NIS2: semplificare senza banalizzare

Nel mondo dell’automazione, le norme si intrecciano con l’ingegneria di prodotto. Alberto Ascoli, Product Manager ctrlX Automation di Bosch Rexroth Italia sottolinea il ruolo del fornitore nel rendere la sicurezza adottabile: «Il controllo è la prima cosa. Stiamo imparando tutti: la cybersecurity evolve giorno dopo giorno. Quello che cerchiamo di fare è portare conoscenze e semplicità ai costruttori di macchine e agli utilizzatori. Non è solo questione di comprare un prodotto: è un cambiamento culturale. Per questo puntiamo su soluzioni secure by design e secure by default, con certificazioni e policy integrate, così che i clienti possano essere compliant in modo più snello con CRA, nuovo Regolamento Macchine e NIS2».

La consapevolezza passa anche dai numeri e dai comportamenti: «Il 58% delle minacce arriva via email», ricorda Ascoli. Non bastano strumenti, serve disciplina.

Supply chain sotto attacco: identità, accessi e Zero Trust

Andrea Ferrazzi, Business Unit Director Cybesecurity IT & Cloud Efa Automazione – Relatech Group mette a fuoco il punto dolente: la governance della supply chain in un’epoca di accessi remoti, credenziali condivise e Initial Access Broker.

«Lo schema è semplice e pericoloso: l’amministratore usa credenziali del cliente su un dispositivo che poi naviga in Internet. Uno stealer ruba le credenziali, finiscono in un leak o in forum del dark web, e il danno è fatto. Nel 2024 Italia, Slovenia, Francia e Spagna sono state target importanti degli stealer. In più crescono gli IAB che rivendono accessi privilegiati, accorciando i tempi di attacco», spiega Ferrazzi.

La risposta? Segregazione degli accessi e Zero Trust: «Le piattaforme di accesso remoto dei principali vendor disaccoppiano il comportamento dell’amministratore dal dispositivo, riducendo il rischio. Con gli end user lavoriamo bene con Fortinet: l’approccio Zero Trust lungo la filiera è fondamentale perché governare gli endpoint è, di fatto, impossibile», conclude Ferrazzi.

Convergenza IT/OT: collaborazione, ruoli e competenze

La convergenza IT/OT non è uno slogan, ma un percorso difficile. Stefano Faccio, Head of Machinery Safety – Industry 4.0 & Digital Manufacturing di Marelli Automotive Lighting, lo vede quotidianamente in una rete di 80 fabbriche: «Sono due mondi diversi, con velocità diverse. Nell’OT c’è spesso carenza di competenze specifiche nei plant. Non puoi chiedere a un manutentore di fare patching su un sistema operativo di uno Scada: rischi di piantare l’impianto. Alcune aziende hanno provato a far fare all’IT patch in OT e hanno fatto disastri».

La figura chiave è il CISO come facilitatore e arbitro dei confini organizzativi: «Il CISO può abilitare l’azienda a capire che nell’OT servono competenze dedicate. L’IT non può reinventarsi OT dall’oggi al domani. Stabilire regole e perimetri di responsabilità è cruciale per mitigare i rischi», ribadisce Faccio.

AI in OT: tra casi d’uso concreti e nuovi rischi

Sul fronte AI generativa, le esperienze divergono ma convergono su un punto: siamo oltre l’hype, ma servono paletti. Per Ferrazzi, in ambito OT l’AI generativa oggi è un “add-on”: «Non è vero che l’OT non usi AI: la computer vision la usa da una vita, la chiama diversamente. Abbiamo implementato LLM in campo per permettere a un operatore di interrogare il libretto di istruzioni della macchina e ricevere risposte contestuali. È utile, ma non ancora strutturale».

Ghelfi porta esempi di integrazioni più spinte: «Nei nostri progetti, un sistema RAG si attiva quando scatta un allarme e fornisce spiegazioni e troubleshooting. In proof-of-concept su macchine utensili, il RAG ottimizza il tempo ciclo suggerendo modifiche al programma CNC. Tecnicamente si potrebbe arrivare a azioni dirette sul PLC tramite agenti AI, ma qui emerge un nuovo rischio informatico: allucinazioni ed errori che impattano la disponibilità. La mitigazione passa per validazioni e guard-rail, non per il divieto assoluto».

AI per la cyber: SOC, correlazione e automazione

Dal lato difesa, Emanuele Ermini, Business Development Manager – OT Cybersecurity Fortinet, sottolinea come NIS2 spinga verso SOC 24/7 e monitoraggio end-to-end: «La quantità di telemetrie è enorme. Servono orchestrazione e correlazione per ridurre il tempo di mitigazione: qui l’AI è fondamentale. Oggi supporta gli analisti e migliora i servizi sui dispositivi; domani l’intelligenza si sposterà in cloud/SASE e parte delle attività di livello 1 e 2 potrà essere automatizzata».

Sul mercato OT, Ermini osserva maturità diverse: «Il processo (oil & gas, water & wastewater) è più avanti del discreto (es. packaging). La richiesta dall’end-user è cresciuta di circa 30% anno su anno: alla fine è lui il responsabile dell’attuazione normativa». Matteo Marconi, General Director A.C.&E allarga l’orizzonte regolatorio mettendo il faro sulla RED (delegated act) entrata in vigore ad agosto: «Sulle macchine industriali proliferano HMI con Wi-Fi/Bluetooth, moduli RFID, sensori wireless. La RED copre gli equipaggiamenti radio, ma c’è una zona grigia sugli usi industriali. Un router Wi-Fi del pannello HMI è un radio equipment device? E una SIM per la connessione remota? Dobbiamo pretendere componenti con caratteristiche di security verificabili, come facciamo da anni con i Performance Level per la safety».

«Negli Stati Uniti in 18 Stati il NEC 2023 impone requisiti di cybersecurity sulle macchine. Si richiedono risk assessment, vulnerability management e patching per anni. Spesso l’85–98% delle macchine non è patchato: lì è obbligatorio fornire al costruttore finale un security level, un elenco software/firmware e indicazioni per la protezione infrastrutturale», richiama Marconi.

La conclusione è pragmatica: scelta dei componenti e supply chain sono leve decisive. «Il CRA ci obbligherà; la RED è già in vigore. Non possiamo aspettare linee guida perfette: serve criterio tecnico oggi», chiosa Marconi.

Il ruolo dei clienti nel far crescere i fornitori

Tornando alla catena del valore, Faccio descrive un approccio win-win con i costruttori di macchine: «Da anni chiediamo contrattualmente la copia dell’analisi dei rischi macchina: la dichiarazione di conformità da sola non basta. Stiamo replicando lo stesso modello sulla cybersecurity, soprattutto per gli impatti sulla safety. Se un fornitore non sa cos’è un Performance Level, chiediamo se valga la pena investire su di lui; se sì, lo formiamo e lo accompagniamo. Così riceviamo macchine sicure con evidenze formali e sostanziali. È dura, ma solo così si porta a casa il risultato».

La sicurezza come driver di fiducia è un tema sempre più vicino alla sostenibilità. Ascoli vede una traiettoria comune: «C’è anche una sostenibilità digitale: la sicurezza del dato. Un incidente nella supply chain può minare il brand tanto quanto un disallineamento ambientale. Sapere che un partner ha requisiti e policy di cybersecurity diventa criterio di scelta. Con Regolamento Macchine alle porte, chi arriva prima sarà avvantaggiato. Per le Pmi è il momento di muoversi».