Secondo il rapporto Clusit 2026, gli attacchi al settore manifatturiero italiano sono aumentati del 25% rispetto al 2024, con il 68% degli incidenti che ha coinvolto direttamente i sistemi OT (Operational Technology) delle linee produttive. Con l'entrata in vigore del D.Lgs. 138/2024 che recepisce la direttiva europea NIS2, le aziende manifatturiere con più di 50 dipendenti o fatturato superiore a 10 milioni di euro sono ora obbligate ad adeguare la sicurezza dei propri sistemi industriali. Le scadenze sono già partite e le sanzioni arrivano fino a 10 milioni di euro.
La NIS2 e il Settore Manifatturiero: Cosa Cambia
Partiamo dalle basi. La NIS2 (Direttiva UE 2022/2555), recepita in Italia con il Decreto Legislativo 138 del 4 settembre 2024, ha ampliato enormemente il perimetro delle aziende obbligate a rispettare requisiti stringenti di cybersecurity. E il manifatturiero — che nella vecchia NIS era rimasto sostanzialmente fuori — stavolta è dentro a pieno titolo.
Nella classificazione della NIS2, le aziende manifatturiere rientrano tra i soggetti importanti (Allegato II della direttiva). Questo include chi produce: macchinari, apparecchiature elettriche, veicoli a motore, prodotti chimici, dispositivi medici, prodotti alimentari, computer e apparecchiature elettroniche. In pratica, buona parte del tessuto industriale italiano.
Se poi la tua azienda è particolarmente grande o opera in settori strategici, potresti essere classificata come soggetto essenziale, con obblighi ancora più stringenti. Per capire meglio le differenze tra le due categorie, abbiamo scritto una guida completa alla NIS2 per le aziende italiane.
Perché i Sistemi OT Rientrano nel Perimetro NIS2
Qui arriviamo al punto che molti imprenditori sottovalutano. La NIS2 non parla solo di server, email e firewall. Parla di tutti i sistemi informativi e di rete che supportano le attività dell'organizzazione. E se un attacco informatico ai tuoi PLC, SCADA o HMI ferma la produzione, quei sistemi sono nel perimetro. Punto.
Pensiamoci un attimo: un ransomware che cripta il sistema SCADA della tua linea di produzione non è meno grave di uno che colpisce il gestionale. Anzi, il danno è spesso peggiore perché i fermi produttivi costano migliaia di euro all'ora. L'Agenzia per la Cybersicurezza Nazionale (ACN) ha chiarito che i sistemi OT interconnessi alla rete aziendale rientrano a tutti gli effetti nelle misure di gestione del rischio richieste dalla NIS2.
Il problema delle reti piatte
In molte aziende manifatturiere italiane, la rete IT e la rete OT sono sulla stessa VLAN, senza segmentazione. Questo significa che un attacco partito da una email di phishing può arrivare direttamente ai PLC delle linee produttive. Secondo i dati BullTech, il 73% delle aziende manifatturiere che abbiamo analizzato nel 2025 aveva reti completamente piatte, senza alcuna separazione IT/OT.
Le Scadenze per il Manifatturiero
Il calendario NIS2 è già in corso. Ecco le date che ogni azienda manifatturiera deve avere chiare:
Entro 28 Febbraio 2026
Scadenza per la registrazione sulla piattaforma dell'ACN. Se non ti sei ancora registrato, sei già in ritardo. L'ACN può comunque includerti d'ufficio nel perimetro.
Aprile 2026
L'ACN comunica l'elenco definitivo dei soggetti essenziali e importanti. Riceverai una notifica ufficiale se la tua azienda è stata inclusa.
Entro Gennaio 2027
Obbligo di conformità agli obblighi di notifica incidenti (24h/72h/1 mese) e di governance (il CDA deve approvare le misure di sicurezza e seguire formazione specifica).
Entro Ottobre 2027
Conformità completa a tutte le misure di gestione del rischio: analisi dei rischi OT, segmentazione IT/OT, incident response, sicurezza supply chain, patch management.
Le Sanzioni: Quanto Rischia un'Azienda Manifatturiera
Le sanzioni della NIS2 non sono simboliche. Per il settore manifatturiero:
- Soggetti importanti (la maggior parte delle aziende manifatturiere): fino a 7 milioni di euro o l'1,4% del fatturato mondiale annuo, il maggiore tra i due
- Soggetti essenziali (grandi aziende manifatturiere strategiche): fino a 10 milioni di euro o il 2% del fatturato mondiale annuo
- Responsabilità dei dirigenti: il management che non approva o non supervisiona le misure di sicurezza può essere temporaneamente sospeso dalle funzioni direttive
Per mettere le cose in prospettiva: un'azienda manifatturiera con un fatturato di 20 milioni di euro rischia una sanzione fino a 280.000 euro (1,4%) come soggetto importante. Molto più di quanto costerebbe l'intero percorso di adeguamento.
Cosa Deve Fare un'Azienda Manifatturiera: i 6 Pilastri
L'adeguamento NIS2 per il manifatturiero ha caratteristiche specifiche rispetto al settore IT puro. Ecco i 6 pilastri fondamentali:
1. Risk Assessment OT Completo
Il primo passo è sapere cosa hai in casa. Serve una mappatura completa degli asset OT: PLC, SCADA, HMI, sensori, attuatori, switch industriali, gateway IoT. Per ogni asset va identificato il firmware, le connessioni di rete, le vulnerabilità note e l'impatto di un eventuale compromissione sulla produzione. Questo non è un esercizio teorico: è la base su cui costruire tutto il resto.
2. Segmentazione IT/OT
La rete industriale deve essere separata dalla rete aziendale. Questo significa implementare firewall industriali, creare VLAN dedicate per i sistemi OT, definire una DMZ (zona demilitarizzata) tra IT e OT. Solo il traffico strettamente necessario deve passare tra le due reti, e deve essere monitorato e filtrato.
3. Monitoraggio Continuo della Rete OT
Non basta mettere un firewall e dimenticarsene. Serve un sistema di monitoraggio che analizzi il traffico sulla rete industriale in tempo reale, rilevi anomalie nei protocolli OT (Modbus, OPC-UA, Profinet, EtherNet/IP) e generi alert quando qualcosa non torna. Il nostro servizio di sicurezza IoT/OT usa tecnologie di monitoraggio passivo che non interferiscono con i processi produttivi.
4. Incident Response Specifico per OT
La NIS2 impone la notifica degli incidenti entro 24 ore (preallarme), 72 ore (notifica dettagliata) e 1 mese (relazione finale). Per il manifatturiero questo significa avere un piano di incident response che preveda anche scenari OT: cosa fai se un ransomware cripta lo SCADA? Come isoli la rete OT senza fermare tutta la produzione? Chi contatti e in che ordine?
5. Gestione della Supply Chain
La NIS2 chiede di valutare anche la sicurezza dei tuoi fornitori. Nel manifatturiero questo è particolarmente rilevante: i fornitori di macchinari spesso hanno accesso remoto ai sistemi OT per la manutenzione. Ogni accesso remoto deve essere controllato, monitorato e limitato allo stretto necessario.
6. Documentazione e Governance
Tutto deve essere documentato: policy di sicurezza OT, procedure di gestione degli incidenti, risultati dei risk assessment, piani di remediation. Il CDA deve approvare formalmente le misure di sicurezza e i dirigenti devono seguire formazione specifica. Non è più sufficiente delegare tutto al responsabile IT: la sicurezza informatica è una responsabilità del management.
| Requisito NIS2 | Applicazione IT | Applicazione OT |
|---|---|---|
| Risk Assessment | Server, endpoint, cloud | PLC, SCADA, HMI, sensori |
| Segmentazione rete | VLAN, microsegmentazione | DMZ IT/OT, firewall industriali |
| Monitoraggio | SIEM, EDR, log analysis | Monitoraggio passivo protocolli industriali |
| Patch management | Aggiornamenti regolari | Pianificati con finestre manutenzione |
| Incident response | Isolamento endpoint, forensics | Isolamento linea, continuity plan |
| Backup | Backup dati e configurazioni | Backup firmware e configurazioni PLC |
Come BullTech Ti Accompagna alla Conformità NIS2 OT
In BullTech lavoriamo con aziende manifatturiere dal 2009. Sappiamo che fermare una linea di produzione per "fare sicurezza" non è un'opzione. Per questo il nostro percorso di adeguamento NIS2 per il manifatturiero è progettato per funzionare senza interrompere la produzione.
Assessment OT Non Invasivo
Mappiamo tutti gli asset OT con tecniche di monitoraggio passivo. Nessuna sonda attiva, nessun rischio per i processi produttivi. Report completo in 5-10 giorni lavorativi.
Piano di Segmentazione
Progettiamo la separazione IT/OT su misura per il tuo impianto. Firewall industriali, VLAN dedicate, DMZ. Implementazione durante le fermate programmate.
Monitoraggio OT Continuo
Attiviamo il monitoraggio della rete industriale con rilevamento anomalie sui protocolli OT. Alert in tempo reale, zero impatto sulla produzione.
Documentazione NIS2 Completa
Prepariamo tutta la documentazione richiesta: policy di sicurezza OT, procedure di incident response, risk assessment, piani di remediation per l'ACN.
Il percorso completo — dall'assessment iniziale alla conformità piena — richiede tipicamente 6-12 mesi. Il nostro consiglio? Non aspettare ottobre 2027: prima inizi, più tempo hai per implementare le misure senza fretta e senza compromettere la produzione. Se vuoi capire anche gli aspetti tecnici della protezione dei sistemi industriali, leggi il nostro articolo su adeguamento NIS2.
Domande Frequenti: NIS2 e Sicurezza OT nel Manifatturiero
La mia azienda manifatturiera rientra nella NIS2?
Se hai più di 50 dipendenti o un fatturato superiore a 10 milioni di euro e operi nella fabbricazione di macchinari, apparecchiature elettriche, veicoli, prodotti chimici o alimentari, rientri tra i soggetti importanti. Anche aziende più piccole possono essere coinvolte come parte della supply chain di un soggetto essenziale. Nel dubbio, il modo più rapido per saperlo è fare una verifica con noi: bastano 15 minuti al telefono.
Quanto costa un assessment di sicurezza OT?
Un assessment iniziale costa tra 2.000 e 5.000 euro, a seconda del numero di linee produttive e della complessità della rete industriale. Include la mappatura degli asset OT, l'analisi delle vulnerabilità e un report con le priorità di intervento. Il percorso completo di adeguamento NIS2 per il manifatturiero richiede tipicamente 6-12 mesi e un investimento tra 8.000 e 25.000 euro.
Quali sanzioni rischio se non mi adeguo?
Come soggetto importante, fino a 7 milioni di euro o l'1,4% del fatturato mondiale annuo. Come soggetto essenziale, fino a 10 milioni o il 2%. A questo si aggiunge la responsabilità personale dei dirigenti: il management che non supervisiona le misure di sicurezza può essere temporaneamente sospeso dalle funzioni direttive.
Devo proteggere anche PLC e SCADA?
Sì, senza eccezioni. La NIS2 richiede misure per tutti i sistemi informativi che supportano le attività dell'organizzazione. Se un attacco a un PLC ferma la produzione, quel PLC è nel perimetro. In pratica: segmentazione IT/OT, monitoraggio della rete industriale, backup delle configurazioni PLC, procedure di incident response specifiche per l'ambiente OT.
L'assessment ferma la produzione?
No, zero downtime. L'assessment iniziale usa tecniche di monitoraggio passivo: analizziamo il traffico di rete senza inviare pacchetti ai dispositivi OT. Nessun rischio per i processi produttivi. Le eventuali modifiche (segmentazione, firewall) vengono pianificate durante le finestre di manutenzione programmata, in accordo con il responsabile di produzione.