L'evento tenutosi a Bologna questo martedì 28 gennaio dal titolo "CYBERSECURITY – NIS E LE SFIDE DEL NUOVO SCENARIO” organizzato insieme a PILZ Italia, ha visto la partecipazione in presenza e online di molte Organizzazioni interessate agli argomenti trattati perché soggetti essenziali/importanti o ricadenti nella catena di fornitura di un soggetto e/i.
Numerose in particolare le organizzazioni del comparto manifatturiero, che hanno partecipato attivamente all’incontro, rivolgendo stimolanti domande agli speaker, segno del grande fermento e interesse intorno ai temi della cybersicurezza; tema oggi alla ribalta grazie anche alle norme cogenti (prima tra tutte la NIS2), che hanno permesso anche a settori tradizionalmente poco inclini a pensare alla Sicurezza (nel senso di “Secure”, non certo di Safety!) di approfondire il tema e cominciare a porsi domande “salvifiche”: Come possiamo evitare di subire una violazione? Cosa significa e/o comporta un’analisi dei rischi? Quali misure di sicurezza serviranno alle nostre aziende?
Abbiamo provato tutti insieme a dare risposte a tali quesiti, tentando di trasmettere il reale valore degli strumenti normativi cogenti e volontaristici; questi ultimi in particolare rivestono per le Organizzazioni un ruolo sostanziale di guida e di vero “partner”, al contempo, nell’obiettivo di elevare il livello interno di sicurezza, in un’ottica di rafforzamento sistemico (aperto e solidale anche con le altre Organizzazioni, in pieno spirito NIS).
Tema emerso con particolare vigore: il necessario cambio di approccio (una specie di rivoluzione copernicana, ci sembra) quando si parla di OT e IT. Non due mondi separati, ma sempre più connessi, interdipendenti, da “affrontare” con un approccio olistico, evitando fratture e lacune che potrebbero rendere davvero facile fallire gli obiettivi di sicurezza che ci si pone.
In questo scenario un sistema di gestione basato sulla ISO27001, che “guarda” alla Sicurezza delle Informazioni e alla Cybersecurity in maniera trasversale ai settori aziendali – dunque una sicurezza che non si focalizza solo sulla macchina o sul sistema informativo, ma sulla Governance, sui processi – può certamente contribuire a questo cambio culturale, oggi più che mai necessario e urgente. E non solo perché ce lo chiedono le leggi cogenti o il mercato, ma perché il panorama di minacce che ci circonda ci invia segnali inequivocabili in tal senso. Il report Clusit del primo semestre 2024 individua il settore manifatturiero come in assoluto il più colpito dagli attacchi cyber (ben il 19% degli incidenti totali) e da anni ormai è palese come il fattore umano rappresenti il principale fattore di rischio alla sicurezza delle informazioni e dei dati. Lo sguardo che è vitale assumere, dunque, deve spaziare a 360 gradi sull’intero contesto aziendale, abbandonare i caratteri della settorialità e della compartimentazione stagna, per reparti e BU, solo così potrà aspirare a una reale efficacia.
Abbiamo affrontato anche le recenti novità sulla regolamentazione europea che impatterà il settore industriale e dell’automazione. Tra i temi centrali, il Regolamento Macchine 2023/1230 e la serie di norme IEC 62443 hanno suscitato grande interesse tra gli esperti di sicurezza e conformità.
Il Regolamento Macchine (UE) 2023/1230, entrato in vigore il 19 luglio 2023, mira a migliorare la sicurezza delle macchine industriali, tenendo conto delle sfide poste dalla digitalizzazione e dall’intelligenza artificiale. In particolare, il regolamento introduce specifiche prescrizioni per la protezione dalle minacce informatiche, in linea con la serie di norme IEC 62443 che fornisce un quadro di riferimento per la protezione dei sistemi di controllo industriale (ICS), riducendo il rischio di attacchi informatici.
Durante l’evento, gli esperti hanno evidenziato come il nuovo Regolamento Macchine 2023/1230 e la IEC 62443 rappresentino un passo avanti fondamentale per garantire la sicurezza delle macchine e delle infrastrutture industriali in Europa. Tuttavia, per le aziende sarà essenziale adeguarsi rapidamente, aggiornando le proprie procedure e investendo nella cybersecurity.
Un’anteprima…
In chiusura di lavori, l’Ing. Davide Nardacci, referente di ACN, ha illustrato le modalità di registrazione sul portale ACN per i soggetti essenziali/importanti e risposto ai dubbi dei partecipanti; ha inoltre anticipato che ACN sta lavorando a una agevole guida per l’adozione degli obblighi di base, secondo i dieci ambiti di applicazione delle misure di sicurezza, la cui uscita è prevista per aprile 2025. Ricordiamo che i soggetti NIS dovranno recepire e adottare tali obblighi entro ottobre 2026, come già evidenziato nella timeline di ACN. Sembra dunque che si possa scegliere tra numerosi buoni strumenti per raggiungere “un elevato livello di sicurezza in ambito nazionale” così come richiesto dal Dlgs 138/2024 (decreto di recepimento italiano della NIS2).