La direttiva NIS2. Compliance per gli OT systems (Operational Technology systems)

-

Gli OT systems (Operational Technology systems) sono sistemi e tecnologie utilizzati per monitorare e controllare dispositivi, processi e operazioni fisiche all’interno di infrastrutture industriali. Questi sistemi sono fondamentali per settori come la produzione, la gestione delle risorse energetiche, il trasporto e altre industrie critiche.

Gli OT systems includono componenti come:
PLC (Programmable Logic Controller): controllori programmabili che gestiscono i processi industriali.
SCADA (Supervisory Control and Data Acquisition): sistemi che permettono di monitorare e controllare a distanza le operazioni industriali.
DCS (Distributed Control Systems): sistemi utilizzati per controllare impianti complessi e distribuiti come raffinerie o centrali elettriche.

A differenza dei sistemi IT (Information Technology), che si concentrano su dati e applicazioni, gli OT systems si focalizzano sul funzionamento sicuro ed efficiente delle apparecchiature fisiche. In questi sistemi, la cybersecurity è diventata sempre più importante, poiché le infrastrutture OT stanno diventando più connesse e vulnerabili agli attacchi cibernetici.

La direttiva NIS2

La direttiva NIS2 è una legge UE sulla sicurezza informatica aggiornata che si basa sulla direttiva NIS originale (NISD). Gli obiettivi della NIS2 sono di aumentare la sicurezza OT, semplificare la segnalazione e creare regole e sanzioni coerenti in tutta l’UE. Ampliando il suo ambito, la NIS2 richiede a più aziende e settori di adottare misure di sicurezza informatica, con l’obiettivo finale di migliorare la sicurezza informatica dell’Europa a lungo termine. Con regole più severe per superare le limitazioni precedenti, la NIS2 ha un impatto su una gamma più ampia di settori. Le diverse realtà, ai sensi della NIS2, sono classificate come essenziali o importanti e la direttiva delinea i requisiti di sicurezza nonché un processo per la segnalazione degli incidenti.


Timeline della direttiva NIS2 
(fonte: waterfall-security.com)

NIS2 Directive timeline

Italia tra i primi paesi Ue a recepire la direttiva

L’approvazione del Decreto di recepimento del giugno scorso rappresenta un passo importante per l’Italia. La direttiva, infatti, pubblicata ufficialmente il 27 dicembre 2022, dispone che questa debba essere recepita dai Paesi membri dell’Unione Europea entro il 18 ottobre 2024. La norma europea, nota anche come “Direttiva 2022/2555 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione”, sostituisce la precedente Direttiva NIS e introduce obblighi più stringenti per le imprese e le pubbliche amministrazioni.

Soggetti essenziali e soggetti importanti

I “soggetti essenziali” comprendono operatori che forniscono servizi di importanza vitale per il funzionamento della società e dell’economia, come quelli nei settori dell’energia, della sanità, dei trasporti, delle infrastrutture digitali e dei servizi finanziari. Questi operatori sono considerati fondamentali per la resilienza complessiva del sistema Paese e, per esteso, dell’Unione Europea. Pertanto, sono soggetti a requisiti di sicurezza più stringenti e rigorosi.

I “soggetti importanti” includono operatori che, sebbene siano attivi in settori essenziali per il benessere della società, non sono classificati come vitali per il mantenimento delle funzioni sociali ed economiche di base. Questi settori possono comprendere la gestione dei rifiuti, la produzione alimentare, l’industria manifatturiera, e altre aree rilevanti che, pur essendo meno critiche, richiedono comunque un’attenzione significativa per garantire la sicurezza informatica e la protezione contro le minacce cyber.