Con il D.L. n. 138/2024, l’Italia ha assolto all’obbligo di recepire la NIS2 entro il 17/10/2024, scadenza stabilita dall’UE per gli Stati membri. Il rapporto tra NIS2 e supply chain è stretto: la normativa indica, infatti, che tra le strategie di cybersecurity nazionali vi siano quelle relative ai prodotti e ai servizi ICT presenti all’interno della supply chain. Entrando più nel merito, la NIS2 richiede, da un lato, che sia effettuato un “security risk assesment” per tutte le catene di approvvigionamento classificate come critiche; dall’altro, che tutti gli aspetti riguardanti la sicurezza siano presidiati non solo per i provider diretti della supply chain, ma anche per i loro fornitori. L’indicazione acquista ancor più significato se paragonata con la realtà del cyber-crime: il rapporto Clusit 2024 documenta come le tecniche degli attacchi cibernetici (stimati in decine di milioni al giorno a livello globale), siano quelle di individuare gli anelli deboli della supply chain e penetrare nei sistemi software, soprattutto attraverso le “backdoor” delle piattaforme opensource.
Cybersecurity in magazzino: cosa presidiare
Tra gli anelli deboli della catena vi è anche la sensoristica IoT, diffusa soprattutto nei magazzini automatici e semi-automatici. L’Internet of Things rappresenta un bersaglio privilegiato per l’attacco: il report Clusit evidenzia come negli ultimi mesi del periodo di rilevamento (2019 – primo semestre 2024) gli attacchi nel settore Manufacturing siano aumentati del 400%, molti dei quali attraverso la sensoristica IoT. Il presidio dell’Internet of Things è centrale per essere conformi alla NIS2 in ambito Supply Chain, ma le iniziative da introdurre sono più ampie e includono altri processi e tecnologie del magazzino.
Alcuni di questi attacchi, come quello contro Solarwinds ,sono stati particolarmente gravi e significativi dal punto di vista della sofisticazione delle tecniche usate (vedi https://www.linkedin.com/pulse/solarwinds-e-il-furto-del-secolo-stefano-ferroni-cism-itil-expert/)
Il tema della cybersecurity nella supply chain era già stato introdotto dalla normativa ISO28000, ma la NIS2 estende il perimetro ad altri processi:
- gestione gli attacchi informatici al WMS – Warehouse Management System ed ERP – Enterprise resource Planning;
- gestione degli attacchi ai sistemi IT - Information Technology, e OT - Operational Technology;
- controllo sui fornitori e tracciabilità digitale delle operazioni;
- protezione dei dati sensibili e delle transazioni digitali a livello intra-logistico;
- obbligo di notifica delle violazioni di sicurezza informatica.
La conformità alla NIS2 in ambito supply chain richiede, dunque, che l’evoluzione tecnologica delle piattaforme o lo sviluppo di nuove pratiche organizzative per ognuno degli aspetti interessati.
Conformità alla NIS2 e logistica di magazzino: come implementarla
Le piattaforme software che espongono superfici d’attacco critiche sono il WMS e l’ERP, per le quali è necessario implementare controlli software specifici:
- WMS ed ERP. Soprattutto se le piattaforme sono cloud-based, vanno implementati controlli di accesso rigorosi (gestione dei profili di accesso, autenticazione a più fattori, ecc.). Vanno implementate, inoltre, le protezioni contro cyber attack, quali, ad esempio, ransomware, malware o DDoS – Distributed Denial of Service, attraverso sistemi firewall e piattaforme IDPS - Intrusion Detection and Prevention Systems. Infine, bisogna prevedere procedure apposite di backup e disaster recovery per ripristinare i dati in caso di attacco.
- Sistemi IT e OT. Al fine di mitigare il rischio di attacco e diminuire le vulnerabilità, occorre segmentare le reti informatiche e impedire la diffusione di malware. Per i sistemi OT (ad esempio, PLC – Programmable Language Control, e SCADA - Supervisory Control and Data Acquisition) è essenziale l’aggiornamento software costante e il patch management.
- Servizi software esterni. Le transazioni digitali con fornitori esterni (via cloud API – Application Programmable Interface o altra tecnica) vanno sottoposte a controllo per individuare comportamenti inattesi, quali, ad esempio, flussi di dati anomali, che potrebbero indicare un attacco in corso. La NIS2 richiede, inoltre, che gli stessi provider siano sottoposti ad audit di sicurezza.
- Protezione dei dati. Nelle operazioni intra-logistiche vi è un’ampia serie di dati sensibili, soprattutto in settori altamente regolamentati, come, ad esempio, il Pharma o l’Automotive: lotti di produzione, inventario, anagrafiche dei clienti, o, infine, informazioni contrattuali. Nei magazzini automatici o semi-automatici, tali dati sono spesso trasmessi via RFID o IoT, che necessitano di protezione. Le aziende devono, dunque, implementare meccanismi di crittografazione dei dati e assicurare la comunicazione tra i device attraverso meccanismi di autenticazione.
Il cambio di passo, in termini sia tecnologici che organizzativi, che la NIS2 impone alla Supply Chain, si rende evidente con l’obbligo di notifica. In caso di violazione di sicurezza. L’azienda colpita deve, infatti, notificare l’incidente all’autorità preposta (CSIRT nazionale) entro 24 ore, e deve fornire un rapporto dettagliato dell’evento entro 72 ore, con la specifica delle contromisure adottate; la negligenza comporta sanzioni di carattere finanziario. La cybersecurity nella Supply Chain e nel magazzino è diventata un obbligo, ma tale imperativo assicura alle aziende la protezione del business e, perciò, la possibilità di sviluppo futuro.