Per anni, in fabbrica, la cybersicurezza è stata un problema "dell'ufficio IT". I PLC erano isolati, lo SCADA girava su una rete dedicata, e nessuno guardava davvero a quelle reti come a un perimetro da difendere. Quel mondo è finito. Il D.Lgs. 138/2024, che ha recepito la Direttiva europea NIS2 in Italia, ha cambiato per sempre il modo in cui dobbiamo pensare i nostri impianti. E lo ha fatto inserendo, nero su bianco, anche i sistemi di Operational Technology dentro il perimetro della cybersicurezza obbligatoria.
Tra meno di cinque mesi scattano le scadenze più dure. A ottobre 2026 arriva l'obbligo di conformità piena. E i numeri delle sanzioni non lasciano spazio all'improvvisazione: fino a 10 milioni di euro o il 2% del fatturato annuo mondiale per i soggetti essenziali, fino a 7 milioni di euro per i soggetti importanti. La manifattura, in larga parte, ricade in quest'ultima categoria.
Vogliamo dirlo chiaramente, da tecnici che da oltre vent'anni mettono le mani nei quadri e nei sistemi di supervisione: chi pensa di affrontare questo tema "nelle ultime settimane" non sa cosa lo aspetta.
Il punto cieco di NIS2: i tuoi impianti
NIS2 è entrata in vigore in Italia il 16 ottobre 2024. Le aziende interessate hanno già ricevuto dall'Agenzia per la Cybersicurezza Nazionale (ACN) la conferma di essere incluse nell'elenco dei soggetti essenziali o importanti. Da quel momento è partito il countdown.
Le scadenze concrete sono tre. Una è già operativa da gennaio, le altre due arrivano tra pochi mesi:
- 1 gennaio 2026 (in vigore): obbligo di notifica degli incidenti significativi previsto dall'art. 25. Devi già oggi avere un processo strutturato per riconoscere, classificare e segnalare un incidente entro le finestre temporali stringenti previste dalla norma (24 ore, 72 ore, un mese).
- 30 settembre 2026: conformità alle misure tecniche di sicurezza.
- 1 ottobre 2026: conformità strutturale piena agli articoli 23 (governance e responsabilità del management), 24 (misure di gestione del rischio cyber) e 29 (banca dati DNS).
Il problema, per chi gestisce un impianto produttivo, non è la teoria. È che l'articolo 24 chiede di "adottare misure tecniche, operative e organizzative adeguate e proporzionate" per gestire i rischi sui sistemi informatici e di rete. E i sistemi di rete, in una fabbrica moderna, includono i PLC, gli SCADA, gli HMI, i gateway IoT, le reti Profinet o EtherNet/IP, i convertitori di protocollo, i web server custom che abbiamo installato per dialogare con macchine particolari. Tutto.
Morsettiere, cablaggi e pulsante di emergenza di una linea automatizzata: la parte di impianto che NIS2 chiede oggi di proteggere.
È la parte di mondo che, fino a ieri, nessun penetration test aveva mai guardato con attenzione. Ed è la parte di mondo dove, in un attacco riuscito, si ferma davvero la produzione.
Perché l'OT è un caso a sé (e non basta "estendere l'IT")
Lo diciamo ai nostri clienti da sempre, e oggi diventa una questione normativa: la cybersicurezza in ambiente OT non è la cybersicurezza dell'ufficio applicata ai PLC. Sono due mondi con vincoli diversi.
Un PLC non lo riavvii alle tre del pomeriggio per installare una patch. Uno SCADA che protegge la linea di produzione non può tollerare la latenza di un firewall mal configurato. Un protocollo come Modbus TCP, nato negli anni '70, non ha autenticazione: se non lo isoli correttamente, chiunque sia nella rete può scrivere setpoint a piacere. Molti impianti italiani, anche di clienti seri e strutturati, hanno ancora oggi reti piatte, con il PC dell'ufficio produzione che parla diretto con il PLC di linea perché "è sempre stato così". Quel "è sempre stato così" oggi è una non conformità sanzionabile.
Le misure tecniche minime che NIS2 chiede di portare a casa entro fine settembre 2026, e che noi vediamo spesso assenti negli impianti che andiamo a visitare per la prima volta, sono, in concreto:
- Segmentazione di rete tra IT e OT, con DMZ industriale e regole di traffico esplicite. Non basta una VLAN: serve un'architettura ragionata, tipicamente impostata sul modello Purdue.
- Asset inventory completo del parco OT, perché non puoi proteggere ciò che non sai di avere. È sorprendente quante aziende non sappiano elencare con precisione PLC, drive, HMI e gateway presenti nei loro stabilimenti.
- Autenticazione multifattore sugli accessi remoti, soprattutto verso le postazioni di supervisione e i sistemi di teleassistenza.
- Backup verificati di configurazioni PLC, ricette di processo, immagini macchina virtuale degli SCADA. E procedure di ripristino testate, non solo dichiarate.
- Gestione vulnerabilità sul parco firmware: monitorare i bollettini dei vendor (Siemens, Mitsubishi, Schneider, Rockwell), valutare l'esposizione e decidere consapevolmente quando e come applicare gli aggiornamenti.
- Logging e monitoraggio delle reti OT con strumenti che parlino i protocolli industriali, non solo HTTP e TCP.
- Sicurezza della supply chain, perché molte aziende oggi rispondono di vulnerabilità introdotte da componenti, integratori e fornitori terzi.
A questo si aggiunge la parte di governance dell'articolo 23: il top management deve essere formato e diventa direttamente responsabile delle misure adottate. Non più solo l'IT manager. L'amministratore delegato firma, e risponde.
Le settimane che ci restano
Quando facciamo i conti, da maggio 2026 a ottobre 2026 sono circa 21 settimane. Sembrano tante. Non lo sono affatto.
Un percorso di adeguamento serio su un impianto di medie dimensioni, diciamo dai 5 ai 20 PLC, un sistema SCADA, qualche linea robotizzata e una teleassistenza attiva, richiede tipicamente:
1. Una fase di assessment (2-4 settimane) per mappare la rete reale, inventariare gli asset OT, individuare i gap rispetto a NIS2. 2. Un piano di rientro prioritizzato per rischio (1-2 settimane di lavoro fianco a fianco con il management). 3. Gli interventi tecnici: segmentazione, hardening dei PC industriali, riconfigurazione delle teleassistenze, deploy di soluzioni di monitoring OT, backup verificati. Qui i tempi dipendono dallo stato di partenza, ma raramente parliamo di meno di 8-12 settimane. 4. La formazione del personale tecnico e del management, le procedure di incident response, le esercitazioni. 5. La documentazione richiesta in caso di ispezione ACN.
Chi inizia oggi arriva a ottobre con margine. Chi inizia a settembre arriva alla scadenza in apnea, con la sola opzione di mettere "pezze" non strutturate che però, in caso di incidente o ispezione, non costituiscono "misure adeguate e proporzionate" ai sensi dell'articolo 24.
Cosa facciamo noi di Contech
Verifica di un quadro PLC con tablet alla mano: il livello di dettaglio richiesto da un assessment di cybersicurezza OT.
Negli ultimi vent'anni abbiamo messo le mani in centinaia di impianti, distribuiti su nove settori industriali e in oltre venti paesi. I PLC li programmiamo, gli SCADA li disegniamo, le reti industriali le abbiamo posate e configurate in più cabine elettriche di quante ne ricordiamo. Sappiamo dove sono, davvero, i punti deboli: quelli che nessun consulente solo "lato IT" sa vedere.
Per i nostri clienti abbiamo strutturato un percorso NIS2 specifico per ambienti OT, che parte sempre dal sopralluogo tecnico gratuito. In quella prima visita facciamo una cosa apparentemente banale, ma che cambia tutto: guardiamo la fabbrica con gli occhi di chi deve proteggerla, non solo di chi deve farla funzionare. Misuriamo la distanza reale tra dove sei oggi e dove la norma ti chiede di essere a ottobre. Ti consegniamo una valutazione concreta, senza fuffa, con priorità chiare e una stima di tempi e costi.
Da lì in poi, se decidi di camminare con noi, costruiamo insieme l'architettura di rete, ridisegniamo le teleassistenze, deployamo le contromisure tecniche, scriviamo le procedure operative, formiamo i team. Lavoriamo a quattro mani con il tuo IT manager e, dove serve, ci confrontiamo direttamente con il tuo board.
L'invito
Se gestisci un impianto produttivo e non sei sicuro di dove ti collochi rispetto a NIS2, parliamone adesso. Il primo sopralluogo è gratuito, lo è sempre stato, e in questo momento è probabilmente la cosa più utile che puoi fare per non arrivare a ottobre con l'acqua alla gola.
Scrivici dalla pagina contatti: il tempo, su NIS2, è la variabile più scarsa che hai.
Argomenti trattati
