Stoorm5: “NIS2, due casi di studio concreti di aziende industriali”

“NIS2, due casi di studio concreti di aziende industriali”. Questo il titolo dell’incontro online organizzato lo scorso 12 febbraio da Stoorm5 nell’ambito dell’iniziativa Associati x Associati, tramite la quale Confindustria Emilia Area Centro mira a favorire occasioni di incontro e scambio di buone pratiche offrendo agli associati l’opportunità di far conoscere la propria realtà industriale e condividere progetti ed esperienze.

Il webinar ha mostrato come la direttiva NIS2 stia diventando, per molte imprese industriali, l’occasione per ripensare in profondità governance, sicurezza OT e continuità operativa, grazie anche alla condivisione delle esperienze concrete di Gruppo Amadori e Gruppo SGR.

Fin dall’inizio dell’incontro è stato chiarito un punto: NIS2 non è una norma “solo IT”, ma riguarda i processi aziendali e la continuità del servizio su tutte le reti rilevanti, comprese quelle di fabbrica. In ambito produttivo, infatti, non si possono applicare le stesse logiche dell’IT tradizionale: PC di linea, PLC e sistemi di controllo hanno vincoli tali da rendere impraticabili patch, agent e inserimento in dominio così come avviene negli uffici.

Al centro c’è la “responsabilità informata” del cda, chiamato a decidere sul rischio residuo sulla base di evidenze chiare e continue, non di una semplice conformità burocratica. Checklist e documenti non bastano: il vero obiettivo è la resilienza, cioè mantenere nel tempo un livello di rischio accettabile per il business. La modalità in cui si delega tutto al fornitore della macchina, o si separano rigidamente IT e produzione, non è più possibile per ottenere la business continuity: non permette di avere sicurezza conforme a NIS2.

Come sottolineato in occasione dell’incontro AxA, Stoorm5 propone un metodo strutturato, allineato alla IEC 62443: inventario degli asset OT, analisi dei rischi di processo, progettazione delle security zone, calcolo del rischio residuo, monitoraggio continuo e reportistica sia operativa sia direzionale. L'obbiettivo è proteggere il processo, limitando al minimo i canali di comunicazione tra zone, così da ridurre la superficie d’attacco.

Amadori e Gruppo SGR hanno confermato che il vero fattore critico è la governance: collaborazione stretta tra IT e operation, gestione strutturata dei fornitori, coinvolgimento diretto del cda nelle decisioni chiave e in procedure come l’incident management. “Stoorm5, con la piattaforma EDGE SDN, si propone come partner per trasformare l’obbligo NIS2 in un percorso di crescita culturale e competitiva della sicurezza industriale OT”, ha evidenziato Aldo Campi, founder & CEO di Stoorm5.