NIS 2 segna un cambio di passo nel modo in cui il comparto manifatturiero affronta il tema della sicurezza informatica. La Direttiva europea ha infatti introdotto obblighi stringenti e maggiore responsabilità in un settore portante dell’economia nazionale, nonché uno dei più esposti agli attacchi cyber.
In questo articolo vedremo perché NIS 2 rappresenta una svolta per il settore manifatturiero, quali sfide si nascondono nel percorso di compliance e come affrontarlo in modo concreto ed efficace.
Key Points
-
Il manufacturing è tra i settori più colpiti dal cybercrime, con una quota del 12,6% degli incidenti in Italia e attacchi sempre più impattanti sulla continuità operativa.
-
La Direttiva NIS 2 introduce obblighi stringenti su governance, gestione del rischio e risposta agli incidenti, trasformando la cybersecurity in un processo continuo e strutturale.
-
La protezione dalle minacce cyber è complessa per la presenza di ambienti IT/OT integrati, sistemi legacy e filiere estese. Questo rende fondamentale il supporto di competenze specializzate.
Manufacturing sotto attacco: in Italia è il secondo settore più colpito
Secondo l’ultimo rapporto del Clusit, il settore manifatturiero resta saldamente sul podio dei settori più colpiti da attività cyber. A livello globale, nel 2025 gli attacchi verso il manufacturing sono cresciuti del 79% rispetto all’anno precedente, con un aumento significativo anche della loro gravità: quelli classificati come critici ed estremi sono passati dal 20% al 30% del totale.
Il dato assume un peso ancor maggiore nel contesto italiano. In un Paese a forte vocazione industriale, dove la produzione rappresenta il pilastro dell’economia, il manufacturing è il secondo settore più colpito, con il 12,6% degli incidenti complessivi registrati. Ma perché è così esposto?
-
Elevata strategicità del settore
Colpire un’azienda manifatturiera significa impattare direttamente sulla produzione, sulla supply chain e, in alcuni casi, su interi ecosistemi industriali. -
Fermi operativi ad altissimo costo
Anche poche ore di downtime possono generare perdite economiche rilevanti, rendendo le aziende più esposte a ricatti e ransomware. -
Ecosistemi IT e OT complessi
La coesistenza di sistemi informativi tradizionali e tecnologie operative (OT) crea superfici di attacco ampie e difficili da governare. -
Presenza di tecnologie legacy
Diversi ambienti produttivi si basano su sistemi datati e oggi difficili da aggiornare o sostituire.
NIS 2 nel manufacturing: le 5 aree chiave da presidiare
La direttiva NIS 2 impone un approccio continuo alla gestione della cybersecurity. Non è sufficiente adottare singole misure tecniche: occorre costruire un modello organizzativo capace di governare il rischio in modo sistemico, coinvolgendo processi, tecnologie e persone.
Governance e gestione del rischio
Con NIS 2, la cybersecurity entra stabilmente nell’agenda del top management, che assume una responsabilità diretta nella definizione delle policy e nella supervisione della loro efficacia. Questo non implica competenze tecniche operative, ma la capacità di indirizzare, decidere e verificare, definendo priorità, allocando risorse e valutando rischi e risultati. In questo modo, la sicurezza esce dal perimetro esclusivo dell’IT e diventa una leva di governo aziendale.
A questo si affianca un altro elemento centrale: la necessità di adottare un sistema strutturato di gestione del rischio cyber, ovvero un processo continuo di identificazione degli asset critici, analisi delle vulnerabilità, valutazione degli impatti potenziali e definizione di misure di mitigazione coerenti.
Convergenza IT/OT e sicurezza degli ambienti produttivi
Uno degli elementi chiave della digitalizzazione nel manufacturing è la convergenza tra IT e OT (Operational Technology), dove per OT si intendono i sistemi che governano direttamente la produzione, dai PLC ai sistemi SCADA, senza dimenticare i singoli attuatori e le linee completamente automatizzate. È un tratto distintivo del settore manifatturiero rispetto a molti altri e, allo stesso tempo, uno dei più complessi da gestire.
Gli ambienti OT non sono nati per essere esposti a minacce cyber. Sono stati progettati in contesti chiusi, con priorità assoluta alla continuità operativa, alla stabilità e alla sicurezza (fisica), non alla protezione da attacchi esterni. Oggi però, con l’integrazione crescente con i sistemi IT e le logiche di Industria 4.0, questi ambienti diventano parte di un ecosistema interconnesso, aumentando in modo significativo la superficie di attacco.
Modelli come il Purdue Model aiutano a strutturare questa complessità, definendo livelli e proponendo la segregazione tra ambienti IT e OT. Nella pratica, tuttavia, il tema non è solo architetturale: riguarda la gestione concreta delle interazioni tra sistemi, con logiche, priorità e cicli di vita diversi.
La NIS 2 non tratta in modo esplicito di OT, ma imponendo un approccio alla sicurezza a 360 gradi finisce inevitabilmente per coinvolgerlo. Ed è qui che si apre una delle sfide più rilevanti per il manifatturiero: proteggere ambienti critici senza comprometterne il funzionamento e, di riflesso, la sicurezza fisica degli operatori. Un equilibrio delicato, che richiede competenze specifiche di sicurezza industriale, ben oltre la cybersecurity tradizionale (IT).
Supply chain security
La NIS 2 estende il perimetro della sicurezza introducendo un principio chiave: la responsabilità non si limita alla propria postura cyber, ma si estende anche ai soggetti con cui l’organizzazione è interconnessa.
Per il settore manifatturiero, la sfida è complessa perché le aziende operano all’interno di filiere articolate, spesso globali, composte da fornitori, partner logistici, terzisti e integratori tecnologici. Ognuno di questi attori può rappresentare un potenziale punto di ingresso e di vulnerabilità per un attacco cyber.
La Direttiva UE impone di mappare, valutare e gestire il rischio lungo tutta la supply chain, introducendo criteri di sicurezza anche nei processi di selezione e gestione dei fornitori: richiedere standard minimi di sicurezza, verificare le misure adottate, monitorare nel tempo eventuali criticità.
Formazione continua e cultura della sicurezza
NIS 2 riconosce nella componente umana uno dei principali fattori di rischio e, allo stesso tempo, una leva per rafforzare la postura di sicurezza. Per questo, la Direttiva richiede alle aziende di strutturare percorsi di formazione continua, non limitati a iniziative sporadiche, ma integrati nei processi aziendali.
Incident response e obblighi di notifica
Un altro pilastro di NIS 2 è la capacità di gestire gli incidenti in modo tempestivo ed efficace. La direttiva introduce obblighi stringenti di notifica: un attacco significativo deve essere segnalato alle autorità competenti entro 24 ore dalla sua individuazione.
Questo requisito implica un cambio di approccio. Non è più sufficiente reagire in modo estemporaneo: è necessario disporre di processi strutturati di incident response, con ruoli definiti, procedure codificate e capacità di rilevare rapidamente gli eventi anomali.
Per le aziende manifatturiere, la sfida è duplice: da un lato, garantire visibilità su ambienti complessi e distribuiti; dall’altro, intervenire senza compromettere la continuità operativa.
NIS 2 nel manufacturing: come affrontare la compliance in modo efficace
Il percorso di adeguamento a NIS 2 è in fase operativa. Le organizzazioni coinvolte devono implementare tutte le misure tecniche e organizzative richieste entro il 1° ottobre 2026, rendendo il tema prioritario per molte di loro.
Al di là delle singole tappe previste, NIS 2 introduce un modello continuo di gestione della sicurezza. Per questo, nel manufacturing è fondamentale adottare un approccio graduale e progressivo, che tenga conto della complessità degli ambienti produttivi e delle reali priorità di business. Ecco alcuni suggerimenti.
-
Partire dal rischio, non dalla checklist
Un approccio puramente compliance-driven può portare a investire in modo inefficiente. È più efficace partire dalla mappatura dei processi critici, degli asset e dei potenziali impatti sul business, definendo priorità chiare e interventi progressivi. Successivamente, una gap analysis individuerà le aree di scostamento rispetto ai requisiti della Direttiva e permetterà di costruire un piano di adeguamento coerente. -
Coinvolgere subito il business, non solo l'IT
La NIS 2 richiede decisioni che impattano produzione, supply chain e organizzazione. Senza un coinvolgimento diretto e immediato delle funzioni aziendali e del management, il rischio è creare modelli difficili da applicare nella pratica e non del tutto compliant con la normativa europea. -
Valutare le capacità cyber attuali
Oltre alla mappatura di processi e asset, è fondamentale analizzare in modo oggettivo le misure di sicurezza in essere. Possono infatti emergere squilibri significativi: organizzazioni solide sul fronte della prevenzione, ma deboli nella rilevazione o nella risposta agli incidenti, oppure prive di piani di business continuity e disaster recovery realmente testati. -
Costruire competenze e scegliere i partner giusti
La complessità di NIS 2, soprattutto nel contesto manifatturiero, rende difficile affrontare il percorso esclusivamente con risorse interne. Per questo, affidarsi a partner con esperienza specifica nel settore industriale diventa un fattore fondamentale.
NIS 2 e manufacturing: il nostro supporto per aziende più solide e produttive
In Kirey, aiutiamo le imprese a rafforzare la propria postura di sicurezza e a garantire la conformità a normative generali e settoriali. Nel caso di NIS 2, il nostro obiettivo non è solo soddisfare le richieste del legislatore, ma costruire organizzazioni solide, resilienti e consapevoli, in grado di affrontare i rischi della digitalizzazione e di trasformarli in un vantaggio competitivo.
Contattaci per scoprire in che modo possiamo supportare la tua azienda verso una sicurezza più matura, efficace e sostenibile nel tempo.
