La trasformazione digitale dell'industria manifatturiera, spinta da iniziative come l'Industria 4.0 e l'adozione dell'Industrial Internet of Things (IIoT), ha portato a una crescente convergenza tra Information Technology (IT) e Operational Technology (OT). 

Questa integrazione offre vantaggi significativi in termini di efficienza e produttività, ma introduce anche nuove sfide in ambito di sicurezza informatica

CIT. Satya Nadella, CEO di Microsoft

IT e OT: due mondi che si incontrano

Tradizionalmente, i sistemi IT e OT operavano in ambienti separati:

• l'IT gestiva dati e applicazioni aziendali

• l'OT controllava i processi fisici e le macchine industriali

Con l'avvento della digitalizzazione, questi due domini si stanno unificando, consentendo una maggiore automazione e controllo in tempo reale. 

Tuttavia, questa convergenza espone i sistemi OT a minacce informatiche precedentemente limitate all'ambito IT, rendendo necessaria una strategia di protezione integrata.

La necessità di una sicurezza integrata

La sicurezza dei sistemi OT è diventata una priorità, poiché un attacco informatico può causare interruzioni nella produzione, danni fisici alle infrastrutture e rischi per la sicurezza dei lavoratori.

Implementare una strategia di cybersecurity che consideri sia l'IT che l'OT è fondamentale per proteggere l'integrità operativa dell'azienda.

Standard internazionali come l'IEC 62443, NIST Cybersecurity Framework e ISO 27001 forniscono linee guida per la protezione dei sistemi di controllo industriale, promuovendo un approccio basato sulla valutazione del rischio e sulla gestione delle vulnerabilità.

Purtroppo, questi standard non possono essere considerati sufficienti per proteggere adeguatamente il settore industriale in quanto non rappresentano una normativa imposta da un’autorità statale e la loro adozione è volontaria.

Analogismi con il settore finanziario: il caso DORA

Il settore finanziario europeo ha recentemente adottato il Digital Operational Resilience Act (DORA), una normativa che impone requisiti stringenti per garantire la resilienza operativa digitale delle istituzioni finanziarie.

Ne abbiamo parlato in dettaglio in un nostro precedente articolo, intitolato "Direttiva DORA: rivoluzione nella resilienza cyber del settore finanziario europeo", dove abbiamo analizzato come DORA stabilisca obblighi in termini di governance, gestione dei rischi ICT, segnalazione degli incidenti e test di resilienza.

Sebbene DORA sia specifico per il settore finanziario, rappresenta un esempio per altri settori industriali, evidenziando l'importanza di una normativa armonizzata per affrontare le minacce informatiche.

Verso una normativa per l'industria manifatturiera

Ad oggi, il principale riferimento normativo in ambito industriale è rappresentato dal framework IEC 62443, una serie di standard internazionali per la sicurezza informatica (cybersecurity) dei sistemi di controllo industriale (Industrial Control Systems, ICS) e dell'automazione.

Il suo ambito comprende la gestione del rischio, l’implementazione di controlli di sicurezza tecnici come la segmentazione della rete, la gestione degli accessi, e la protezione dei componenti hardware e software tipici degli ambienti OT.

Come anticipato, questo standard non rappresenta una normativa ufficiale ed obbligatoria.

Paragonando la situazione del settore finanziario, è evidente che la normativa DORA tende ad essere più dettagliata e rigorosa, soprattutto perché traduce in obblighi normativi anche aspetti di governance, continuità operativa e collaborazioni tra autorità di vigilanza, mentre IEC 62443 si concentra su aspetti tecnici e organizzativi specifici per l’industria senza prevedere, di per sé, sanzioni legali obbligatorie.

La crescente interconnessione dei sistemi industriali richiederebbe un quadro normativo più rigoroso per il settore industriale, il quale dovrebbe includere:

• Gestione dei rischi: identificazione e mitigazione delle vulnerabilità nei sistemi IT e OT.

• Segnalazione degli incidenti: obbligo di comunicare tempestivamente alle autorità competenti eventuali violazioni della sicurezza.

• Test di resilienza: simulazioni regolari per valutare la capacità di risposta a incidenti informatici.

• Gestione dei fornitori: valutazione della sicurezza dei partner e dei fornitori di servizi critici.

• Regime sanzionatorio: sanzioni amministrative e/o penali per chi non adempie ai requisiti previsti

Adottare una normativa di questo tipo aiuterebbe le aziende manifatturiere a strutturare un sistema integrato di cybersecurity, proteggendo non solo i dati, ma anche la continuità operativa e la sicurezza fisica degli impianti.

Conclusione: sicurezza IT e OT, una sfida urgente

La convergenza tra IT e OT rappresenta una grande opportunità per l'industria manifatturiera, ma comporta anche alcune nuove criticità da dover gestire.

È essenziale che le aziende adottino un approccio proattivo, implementando strategie di cybersecurity integrate e conformandosi a standard internazionali.

Guardare alle esperienze di altri settori, come quello finanziario con l'introduzione di DORA, può fornire preziose indicazioni per sviluppare un quadro normativo adeguato alle sfide della nuova era industriale.