Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

nuove prospettive

Il punto cieco della NIS 2: l’articolo 24 del decreto e la sicurezza dei sistemi OT

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Quattro aree sottovalutate della NIS 2 sono da rivedere per costruire una postura realmente resiliente. Ecco perché l’articolo 24 impone una revisione radicale della governance interna, integrando gli OT nella postura NIS 2

Pubblicato il 9 dic 2025
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

Il punto cieco della NIS 2: l’articolo 24 del decreto e la sicurezza dei sistemi OT
1764672167_ServiTecno_WP_NIS2_iFrame

La NIS 2 ha cambiato il modo in cui le organizzazioni devono concepire la sicurezza digitale.

Tuttavia, c’è un’area che continua a sfuggire a molti: la sicurezza degli apparati industriali, dei sistemi Operational Technology (OT), dei PLC, delle macchine che fanno funzionare le attività reali.

L’articolo 24 del D.lgs. 138/2024, letto con competenza tecnica e visione strategica, ribalta la tradizionale distinzione tra IT e Operations, imponendo una revisione radicale della governance interna.

La nuova tetralogia è dedicata a quattro aree sottovalutate della NIS 2:

  • la vera portata dell’articolo 24 e della sicurezza OT;
  • il nuovo obbligo di classificazione delle attività e dei servizi (art. 30 del decreto NIS);
  • la revisione periodica delle procedure e delle politiche (Determinazione ACN 10/04/2025);
  • l’integrazione tra IT, OT e governance per costruire una postura realmente resiliente.

Quattro prospettive complementari, pensate per dirigenti, DPO, CISO, membri del CdA e responsabili di funzioni critiche, per leggere la NIS 2 come un sistema di comando e non come un insieme di adempimenti.

NIS 2 come sicurezza misurabile: come riconoscere un incidente significativo

Gli OT vanno integrati nella postura NIS 2

La NIS 2 è stata discussa, analizzata, commentata sotto ogni angolazione. Si è parlato di perimetri, obblighi, livelli di rischio, incidenti, responsabilità degli organi apicali.

Eppure, sotto questa superficie affollata, esiste un substrato normativo che molti continuano a non vedere e che si trova nell’articolo 24 del D.lgs. 138/2024.

È un articolo che sembra chiaro, persino ovvio e invece è uno spartiacque perché al paragrafo 1 dispone che i soggetti essenziali e importanti debbano adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi che minacciano i loro sistemi informativi e di rete nonché prevenire o ridurre al minimo l’impatto degli incidenti sui propri servizi e su quelli collegati.

Ora, nella definizione di servizi informativi e di rete rientra un mondo immenso e di solito escluso dalle logiche di cyber security: i sistemi di Operational Technology (OT).

Sono i macchinari che fanno funzionare un ospedale, gli impianti di un’azienda alimentare, gli strumenti diagnostici di un laboratorio, i nastri trasportatori di un centro logistico, i Programmable Logic Controller (PLC) che regolano pressioni, dosaggi, imballaggi, sanificazioni, sterilizzazioni.

Sono i sistemi che, se si fermano, non compromettono soltanto l’integrità dei dati, ma anche il regolare sviluppo dei processi e dei servizi.

Questo primo articolo della tetralogia è dedicato proprio a loro: ai sistemi OT, al loro ruolo nella resilienza reale, e all’obbligo – non più eludibile – di integrarli nella postura NIS 2.

L’articolo 24 del decreto NIS: il perimetro che nessuno aveva visto arrivare

L’articolo 24 del decreto 138/2024 recita: “I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate, secondo le modalità e i termini di cui agli articoli 30, 31 e 32, alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi”.

Non si limita a parlare di server, firewall, database, applicazioni. Parla di attività e servizi, di ciò che permette a un’organizzazione essenziale o importante di funzionare.
E se un processo essenziale funziona grazie a un apparato industriale, un sistema di Operational Technology, allora quell’apparato è certamente oggetto della normativa NIS.

La NIS 2, pertanto, è una normativa che estende l’attenzione dall’infrastruttura IT alla funzione operativa e alla connessa capacità di erogare un servizio.

Quindi la vecchia separazione tra IT, manutenzione e stabilimento non ha più ragion d’essere.

IT vs OT: la separazione che non può più esistere

La maggior parte delle organizzazioni opera ancora con due mondi paralleli:

  • IT, responsabile dei sistemi informativi tradizionali;
  • Operations, responsabile dei macchinari, delle linee ed apparati industriali, dei PLC.

Due mondi che spesso non comunicano e che hanno culture e priorità diverse nonché linguaggi diversi.

La NIS 2 demolisce questa barriera, perché un ransomware che colpisce un PLC di una linea di confezionamento non è diverso, per la legge, da quello che colpisce un server del data center.

Quindi, se blocca la produzione o compromette un servizio essenziale o, ancora, interrompe la catena di valore, è certamente un incidente NIS.

Questo cambia:

  • la governance interna;
  • il risk assessment;
  • la definizione di “sistema critico”;
  • l’architettura di sicurezza;
  • la distribuzione delle responsabilità.

Perché gli OT sono più vulnerabili degli IT

Molti PLC e sistemi di controllo industriale (cc.dd. ICS: Industrial Control System) sono progettati, in genere, per funzionare 20 anni.

Sono macchine robuste, affidabili, stabili ma anche estremamente esposte, per i seguenti motivi:

  • protocollo e firmware obsoleti, spesso non aggiornabili;
  • assenza di autenticazione forte nelle logiche di controllo;
  • connettività aggiunta nel tempo (remote maintenance, iot, teleassistenza);
  • sistemi operativi embedded non più supportati;
  • mancanza di monitoraggio continuo.

Gli attaccanti lo sanno e sanno che colpire un apparato OT ha un impatto immediato e devastante.

Per il legislatore, questa vulnerabilità non è un dettaglio tecnico ma un vero pe proprio rischio sistemico.

Cosa impone la NIS 2 alla sicurezza industriale

Mettere gli OT dentro il perimetro dei “sistemi informativi e di rete” significa applicare loro:

  • backup adeguati e testati, anche su sistemi embedded;
  • piani di disaster recovery coerenti con il ciclo produttivo;
  • contratti di assistenza con SLA formalizzati;
  • architetture di rete segmentate e protette;
  • gestione delle vulnerabilità estesa anche ai macchinari;
  • continuità operativa e piani di ripristino;
  • logiche zero-trust adattate al mondo OT;
  • controllo delle manutenzioni e delle supply chain tecniche.

Significa anche affrontare un mondo in cui spesso i fornitori detengono password, firmware, diagnostica, accessi remoti (frequentemente non controllati) con la conseguente necessità di ricondurre queste realtà dentro una governance unica, chiara e misurabile.

Ma esistono anche vulnerabilità meno visibili, come per esempio:

  • il rischio legato a questi apparati che spesso non viene riconosciuto, quasi fossero elementi neutri del processo produttivo;
  • il personale che li utilizza o li supervisiona, il quale, pur essendo competente sulle attività di produzione o di erogazione del servizio, non dispone delle conoscenze tecniche necessarie per comprenderne l’esposizione e gestirla con consapevolezza;
  • la loro gestione che finisce così per essere affidata, senza un vero modello organizzativo, a funzioni interne o a soggetti esterni, con una frammentazione che indebolisce il controllo e apre varchi operativi ed espositivi.

Esempi concreti di impatto OT in diversi settori

Sanità: la compromissione di un’autoclave o di un sistema di diagnostica può bloccare un reparto.

Agroalimentare: un PLC che gestisce la sterilizzazione o il dosaggio può compromettere partite intere.

Logistica: linee automatiche di smistamento diventano immobili.

Farmaceutico: un guasto o una manipolazione danneggia l’integrità del lotto.

Utilities: sensori e attuatori determinano pressioni, dosaggi chimici, flussi.

Sono tutti, senza eccezione, “sistemi informativi e di rete la cui compromissione comporterebbe un impatto significativo”.

Il legame tecnico-giuridico con l’articolo 30 del decreto NIS

L’articolo 24 del decreto NIS è la porta d’ingresso, mentre il successivo articolo 30 è la mappa interna. Uno stabilisce cosa proteggere, l’altro come classificarlo e dimostrare di averlo identificato.

Molte organizzazioni non hanno ancora compreso questo collegamento e potrebbero pagare questa miopia durante le prossime ispezioni delle Autorità di controllo.

L’articolo 24 della NIS 2 è comporta un cambio culturale perché costringe le organizzazioni a guardare l’infrastruttura industriale come parte integrante della propria resilienza digitale.

È una norma che impiega un linguaggio semplice, ma con conseguenze enormi su governance, responsabilità, risk management, supply chain e continuità operativa.
Ciò che molti non vedono determinerà il livello reale di compliance e resilienza delle organizzazioni.
Nel prossimo capitolo, entreremo nel cuore dell’articolo 30 del D.lgs.138/2024, per capire come si classificano attività e servizi ai fini NIS 2 e perché questo obbligo annuale è uno strumento di comando e non una formalità amministrativa.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Modello Pay or consent: le implicazioni privacy delle sanzioni della Commissione Ue

  • Unione europea

    L'Enisa NIS360 ci dice a che punto siamo nella compliance NIS2

    10 Mar 2025

    di Federica Maria Rita Livelli

    Condividi
  • NordVPN

  • LA SOLUZIONE

    NordVPN, proteggere la connessione a Internet e la privacy in Rete: gli strumenti

    08 Nov 2025

    di redazione affiliazioni Nextwork360

    Condividi
  • GDPR AI assicurazioni

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Gdpr e DORA: sinergie e differenze tra i pilastri regolatori dell’Europa digitale

  • normative

    GDPR e DORA: sinergie e differenze tra i pilastri regolatori dell’Europa digitale

    11 Set 2025

    di Marco Toiati

    Condividi
0
Lascia un commento, la tua opinione conta.x