1. Cos'e la Direttiva NIS2
La Direttiva (UE) 2022/2555, universalmente nota come NIS2 (Network and Information Security Directive 2), e il pilastro normativo europeo sulla cybersecurity. Pubblicata il 27 dicembre 2022, sostituisce e amplia significativamente la precedente Direttiva NIS1 del 2016, che si era dimostrata insufficiente di fronte all'evoluzione delle minacce informatiche e alla crescente interconnessione dei sistemi industriali.
L'obiettivo della NIS2 e triplice: elevare il livello comune di cybersecurity in tutta l'Unione Europea, ridurre le divergenze tra Stati membri nell'applicazione delle misure di sicurezza e rafforzare la resilienza dei settori critici, tra cui il manifatturiero. La Direttiva introduce obblighi piu stringenti su gestione del rischio, segnalazione degli incidenti, governance aziendale e sicurezza della supply chain.
Per le aziende manifatturiere italiane la NIS2 rappresenta un cambio di paradigma. Se in passato la cybersecurity era percepita come un tema prevalentemente IT, la Direttiva impone di proteggere l'intero perimetro aziendale, incluse le reti OT (Operational Technology) che governano linee di produzione, robot e sistemi SCADA. Non si tratta piu di una scelta, ma di un obbligo di legge con sanzioni pesanti.
Punto chiave: La NIS2 non riguarda solo le grandi aziende. Molte PMI manifatturiere italiane, anche con 50-60 dipendenti, rientrano nell'ambito di applicazione e devono adeguarsi.
2. Chi e soggetto alla NIS2 nel manifatturiero
La NIS2 distingue due categorie di soggetti, con obblighi e sanzioni differenziate: i soggetti essenziali e i soggetti importanti. Il settore manifatturiero rientra prevalentemente nella categoria dei soggetti importanti, ma alcuni sotto-settori specifici possono essere classificati come essenziali.
Soggetti essenziali vs soggetti importanti
I soggetti essenziali (Allegato I della Direttiva) includono settori come energia, trasporti, sanita e infrastrutture digitali. I soggetti importanti (Allegato II) comprendono il manifatturiero, i servizi postali, la gestione dei rifiuti e il settore alimentare. La differenza principale riguarda il livello di vigilanza: i soggetti essenziali sono sottoposti a controlli proattivi, mentre i soggetti importanti a controlli reattivi (tipicamente a seguito di segnalazioni o incidenti).
Criteri dimensionali
La NIS2 si applica alle imprese che superano almeno una di queste soglie:
- Piu di 50 dipendenti
- Fatturato annuo superiore a 10 milioni di euro
- Totale di bilancio superiore a 10 milioni di euro
Attenzione: anche le imprese sotto queste soglie possono essere incluse se identificate come critiche dallo Stato membro o se sono fornitori di soggetti essenziali.
Settori ATECO coinvolti
Nel contesto italiano, i principali settori manifatturieri coinvolti dalla NIS2 includono:
| Settore | Codici ATECO indicativi | Esempi |
|---|---|---|
| Fabbricazione di computer ed elettronica | 26.x | Componentistica elettronica, semiconduttori |
| Fabbricazione di apparecchiature elettriche | 27.x | Motori elettrici, quadri, trasformatori |
| Fabbricazione di macchinari | 28.x | Macchine utensili, macchine per packaging |
| Fabbricazione di autoveicoli | 29.x | Componentistica automotive, carrozzerie |
| Fabbricazione di altri mezzi di trasporto | 30.x | Nautica, aerospaziale, ferroviario |
| Fabbricazione di dispositivi medici | 32.5 | Apparecchiature medicali e protesiche |
Esempi pratici di aziende italiane coinvolte
Per rendere concreto l'ambito di applicazione, ecco alcuni profili tipo di imprese italiane che rientrano nella NIS2:
- Un'azienda di Brescia con 75 dipendenti che produce componenti per presse idrauliche (ATECO 28.41). Con un fatturato di 14 milioni di euro, supera entrambe le soglie.
- Un produttore vicentino di quadri elettrici industriali con 55 dipendenti e 11 milioni di fatturato. Rientra come soggetto importante.
- Un'azienda bolognese di macchine per il packaging con 120 dipendenti. Oltre a essere soggetto NIS2, deve anche confrontarsi con il Regolamento Macchine 2023/1230.
- Una PMI modenese di componentistica automotive con 52 dipendenti, fornitore di un OEM classificato come soggetto essenziale. Potrebbe essere inclusa tramite la catena di fornitura.
Verifica rapida: La tua azienda ha piu di 50 dipendenti o fattura piu di 10 milioni? Opera in uno dei settori manifatturieri elencati? Se la risposta a entrambe le domande e si, sei quasi certamente soggetto alla NIS2. Usa il nostro Self-Assessment gratuito per una verifica piu approfondita.
3. I 10 obblighi principali
L'articolo 21 della Direttiva NIS2 elenca le misure di gestione del rischio che i soggetti devono adottare. Abbiamo sintetizzato questi obblighi in 10 punti con indicazioni pratiche per la realta manifatturiera italiana.
3.1 Governance e responsabilita del management
Il management aziendale deve approvare le misure di cybersecurity, supervisionarne l'attuazione e seguire formazione specifica. Questo significa che l'amministratore delegato, il consiglio di amministrazione e i dirigenti apicali sono direttamente responsabili. Non e piu sufficiente delegare tutto al reparto IT. La NIS2 prevede esplicitamente che i dirigenti possano essere ritenuti personalmente responsabili in caso di inadempienza, con possibilita di sospensione temporanea dalle funzioni direttive.
3.2 Gestione del rischio cyber
Le aziende devono adottare un approccio strutturato alla gestione del rischio informatico, basato su analisi periodiche delle minacce, delle vulnerabilita e degli impatti potenziali. Per il manifatturiero questo significa valutare non solo i rischi IT classici (ransomware, phishing, data breach), ma anche quelli specifici OT: compromissione dei PLC, manipolazione dei parametri di produzione, sabotaggio dei sistemi di sicurezza funzionale. L'analisi dei rischi deve essere documentata, aggiornata periodicamente e proporzionata alla criticita dei sistemi.
3.3 Notifica incidenti (24h/72h)
La NIS2 impone un regime di notifica degli incidenti articolato in piu fasi. Entro 24 ore dalla scoperta di un incidente significativo, l'azienda deve inviare un'allerta preliminare (early warning) all'autorita competente, in Italia l'ACN (Agenzia per la Cybersicurezza Nazionale). Entro 72 ore, deve seguire una notifica completa con la valutazione iniziale dell'incidente, la sua gravita e il suo impatto. Entro un mese, una relazione finale dettagliata. Per una fabbrica, un fermo produzione causato da un attacco ransomware e certamente un incidente significativo che attiva questi obblighi.
3.4 Business continuity
Le aziende devono predisporre piani di continuita operativa e disaster recovery specifici per gli scenari di incidenti cyber. Nel contesto manifatturiero, questo richiede di pianificare come mantenere la produzione (anche parzialmente) in caso di attacco informatico, come ripristinare i sistemi SCADA e MES, e quali procedure manuali di emergenza attivare. I piani devono essere testati periodicamente attraverso esercitazioni e simulazioni, non basta averli scritti in un cassetto.
3.5 Supply chain security
La sicurezza della catena di fornitura e uno dei punti piu innovativi della NIS2. Le aziende devono valutare i rischi cyber dei propri fornitori, includere requisiti di sicurezza nei contratti e monitorare nel tempo il livello di protezione dei partner. Per un'azienda manifatturiera, questo impatta direttamente sui rapporti con i fornitori di software industriale, i system integrator, i manutentori remoti delle macchine e i provider di servizi cloud per MES e ERP.
3.6 Vulnerability handling
Le aziende devono dotarsi di processi strutturati per la gestione delle vulnerabilita: identificazione, valutazione, prioritizzazione e remediation. Nel contesto OT, questo e particolarmente critico perche l'aggiornamento dei firmware dei PLC o dei sistemi SCADA richiede spesso finestre di manutenzione programmata e test di compatibilita. Serve un processo che bilanci la necessita di correggere le vulnerabilita con l'esigenza di non interrompere la produzione.
3.7 Formazione cybersecurity
Tutto il personale deve ricevere formazione sulla cybersecurity proporzionata al proprio ruolo. Questo include non solo il team IT, ma anche gli operatori di linea, i manutentori, i responsabili di reparto e, come visto, il management. La formazione deve essere continua, documentata e aggiornata in base all'evoluzione delle minacce. Per il manifatturiero, la formazione deve coprire anche gli aspetti specifici OT: riconoscere un comportamento anomalo di un HMI, non collegare chiavette USB non autorizzate ai terminali di produzione, segnalare tempestivamente anomalie.
3.8 Crittografia e autenticazione
La NIS2 richiede l'adozione di politiche sull'uso della crittografia e, dove appropriato, della cifratura end-to-end. Per le comunicazioni tra sistemi IT e OT, questo significa proteggere i canali di comunicazione, implementare l'autenticazione multi-fattore (MFA) per l'accesso ai sistemi critici e gestire in modo sicuro le credenziali. Nell'ambiente di fabbrica, dove spesso si trovano ancora password di default sui PLC e connessioni non cifrate, questo obbligo richiede interventi significativi.
3.9 Gestione asset
Non si puo proteggere cio che non si conosce. La NIS2 impone una gestione strutturata di tutti gli asset informativi e di rete. Per un'azienda manifatturiera questo richiede un inventario completo e aggiornato di tutti i dispositivi: server, client, switch di rete, ma anche PLC, HMI, sensori IoT, gateway industriali. Ogni asset deve essere classificato per criticita, deve avere un responsabile assegnato e deve essere sottoposto a politiche di manutenzione e aggiornamento.
3.10 Controllo accessi
Le aziende devono implementare politiche di controllo degli accessi sia fisici sia logici, basate sul principio del minimo privilegio. Nel contesto manifatturiero, questo riguarda l'accesso ai sistemi di controllo industriale (chi puo modificare i programmi PLC?), l'accesso remoto dei manutentori esterni (con VPN, sessioni monitorate e credenziali temporanee), e l'accesso fisico alle aree critiche dell'impianto dove risiedono i server e i quadri di automazione.
4. Le sanzioni
La NIS2 introduce un regime sanzionatorio severo, pensato per garantire che la cybersecurity venga trattata come una priorita aziendale e non come un costo rinviabile.
| Categoria | Sanzione massima | Alternativa (% fatturato) |
|---|---|---|
| Soggetti essenziali | 10.000.000 EUR | 2% del fatturato globale annuo |
| Soggetti importanti | 7.000.000 EUR | 1,4% del fatturato globale annuo |
Si applica sempre l'importo piu elevato tra la cifra fissa e la percentuale sul fatturato. Per un'azienda manifatturiera con un fatturato di 20 milioni di euro classificata come soggetto importante, la sanzione massima sarebbe di 7 milioni di euro (poiche l'1,4% del fatturato, pari a 280.000 euro, e inferiore al tetto fisso).
Responsabilita personale del management
Uno degli aspetti piu dirompenti della NIS2 e la responsabilita personale dei dirigenti. L'articolo 20 prevede che gli organi di gestione delle aziende soggette possano essere ritenuti direttamente responsabili per la mancata adozione delle misure di cybersecurity. Le conseguenze possono includere la sospensione temporanea dalle funzioni direttive. Questo rende la cybersecurity una questione che non puo piu restare confinata al reparto IT, ma deve entrare nell'agenda del consiglio di amministrazione.
Attenzione: Le sanzioni non riguardano solo la mancata adozione delle misure, ma anche il mancato rispetto degli obblighi di notifica degli incidenti. Anche non segnalare un incidente entro i termini previsti puo comportare sanzioni significative.
5. Timeline di recepimento in Italia
Il percorso normativo della NIS2 in Italia ha attraversato diverse fasi. Ecco le date chiave che ogni azienda manifatturiera deve conoscere.
27 Dicembre 2022
Pubblicazione della Direttiva (UE) 2022/2555 sulla Gazzetta Ufficiale dell'Unione Europea. Da questa data gli Stati membri hanno 21 mesi per il recepimento.
17 Ottobre 2024
Scadenza per il recepimento da parte degli Stati membri. L'Italia recepisce con il D.Lgs. 138/2024, pubblicato sulla Gazzetta Ufficiale il 1 ottobre 2024 ed entrato in vigore il 16 ottobre 2024.
Gennaio - Febbraio 2025
Apertura della piattaforma ACN per la registrazione dei soggetti. Le aziende che rientrano nell'ambito di applicazione devono registrarsi presso l'Agenzia per la Cybersicurezza Nazionale (ACN) e designare un punto di contatto.
Aprile 2025
ACN pubblica l'elenco dei soggetti NIS2 notificando formalmente alle aziende l'inclusione nella lista. Da questa data decorrono gli obblighi specifici.
2025 - 2026
Fase implementativa. Le aziende devono concretamente adeguarsi: gap analysis, implementazione delle misure tecniche e organizzative, formazione del personale, test dei piani di continuita operativa. L'ACN puo avviare verifiche e ispezioni.
2026 in poi
Regime a piena operativita. Obblighi di notifica, vigilanza e sanzioni pienamente operativi. Le aziende devono mantenere e aggiornare continuamente le misure adottate.
Situazione attuale (marzo 2026): Siamo nel pieno della fase implementativa. Le aziende che non hanno ancora avviato il percorso di adeguamento sono in ritardo e si espongono a rischi sanzionatori. L'ACN sta progressivamente intensificando le attivita di vigilanza.
6. NIS2 e convergenza OT/IT
Se c'e un aspetto della NIS2 che impatta il settore manifatturiero piu di qualsiasi altro settore, e quello della convergenza tra reti IT e reti OT. Le fabbriche moderne sono ecosistemi in cui ERP, MES, SCADA, PLC e sensori IoT sono sempre piu interconnessi, e questo crea una superficie di attacco vastissima e poco presidiata.
Il problema specifico delle reti OT
Le reti OT (Operational Technology) presentano caratteristiche che le rendono particolarmente vulnerabili e difficili da proteggere rispetto alle reti IT tradizionali:
- Cicli di vita lunghi: Un PLC puo restare in produzione 15-20 anni, molto oltre la fine del supporto software del produttore. Aggiornamenti e patch sono spesso impossibili o estremamente rischiosi.
- Protocolli non sicuri: Molti protocolli industriali (Modbus, EtherNet/IP, PROFINET) non sono stati progettati con la sicurezza in mente. Non prevedono autenticazione ne cifratura nativi.
- Priorita sulla disponibilita: In ambiente OT, il requisito fondamentale e l'uptime. Riavviare un PLC per applicare una patch puo significare fermare una linea di produzione con costi di decine di migliaia di euro all'ora.
- Visibilita limitata: Molte aziende non hanno un inventario completo dei dispositivi connessi alla rete OT, ne strumenti di monitoraggio del traffico industriale.
PLC, SCADA, HMI: i punti critici
I PLC (Programmable Logic Controller) sono il cuore dell'automazione industriale. Un attaccante che riesce a modificare il programma di un PLC puo alterare i parametri di produzione, causare difetti nei prodotti, danneggiare le macchine o, nei casi peggiori, mettere a rischio la sicurezza fisica degli operatori. I sistemi SCADA (Supervisory Control and Data Acquisition) e gli HMI (Human-Machine Interface), spesso basati su sistemi operativi obsoleti (Windows XP/7), rappresentano ulteriori punti di accesso per gli attaccanti.
IEC 62443 come framework di riferimento
Per implementare la NIS2 nell'ambito OT, il riferimento normativo piu rilevante e la serie di standard IEC 62443 (Industrial Automation and Control Systems Security). Questo framework fornisce un approccio strutturato alla sicurezza dei sistemi di automazione industriale, con livelli di sicurezza (Security Levels) che permettono di calibrare le misure in base alla criticita dei sistemi. La IEC 62443 e organizzata in quattro famiglie:
- IEC 62443-1: Concetti generali, terminologia e modelli
- IEC 62443-2: Policy e procedure (rilevante per la governance NIS2)
- IEC 62443-3: Requisiti per i sistemi (segmentazione di rete, zone e conduit)
- IEC 62443-4: Requisiti per i componenti (sviluppo sicuro, hardening)
L'adozione della IEC 62443 come riferimento per la parte OT della compliance NIS2 presenta un vantaggio pratico significativo: dimostra all'ACN che l'azienda ha adottato un approccio basato su standard riconosciuti internazionalmente, riducendo il rischio di contestazioni durante le ispezioni.
Dato di contesto: Secondo il Rapporto Clusit 2025, gli attacchi al settore manifatturiero in Italia sono aumentati del 25% rispetto all'anno precedente. Il 70% degli incidenti ha coinvolto sistemi OT non adeguatamente protetti. La NIS2 nasce esattamente per affrontare questa emergenza.
7. Il percorso di adeguamento in 6 step
Adeguarsi alla NIS2 non e un progetto che si risolve con un singolo acquisto tecnologico. Richiede un percorso strutturato che coinvolge aspetti organizzativi, procedurali e tecnici. Ecco i sei step che consigliamo alle aziende manifatturiere.
-
Gap analysis iniziale
Il primo passo e capire dove si trova l'azienda rispetto ai requisiti NIS2. La gap analysis confronta lo stato attuale della sicurezza con gli obblighi previsti dalla Direttiva e dal D.Lgs. 138/2024. Deve coprire sia l'ambito IT sia l'ambito OT, valutando policy esistenti, misure tecniche in essere, procedure di incident response e livello di formazione del personale. Il risultato e una mappa delle lacune con prioritizzazione degli interventi.
-
Asset inventory e risk assessment
Costruire un inventario completo di tutti gli asset IT e OT: server, workstation, switch, firewall, PLC, HMI, sensori, gateway IoT. Per ciascun asset, documentare sistema operativo, firmware, connessioni di rete, livello di criticita e responsabile. Sulla base dell'inventario, condurre una valutazione dei rischi che consideri le minacce specifiche per l'ambiente manifatturiero, le vulnerabilita note e l'impatto potenziale su produzione, sicurezza e dati.
-
Policy e procedure
Definire e formalizzare le policy di sicurezza: politica di gestione del rischio, procedura di gestione degli incidenti (con i tempi di notifica NIS2), piano di business continuity, politica di gestione dei fornitori, procedura di gestione delle vulnerabilita, policy di controllo accessi e uso della crittografia. Le policy devono essere approvate dal management e comunicate a tutto il personale coinvolto.
-
Implementazione misure tecniche
Mettere in atto le misure tecniche necessarie: segmentazione di rete IT/OT (zone e conduit secondo IEC 62443), implementazione di firewall industriali, sistemi di monitoraggio del traffico OT (IDS/IPS industriali), autenticazione multi-fattore per accessi critici, backup e ripristino dei programmi PLC, cifratura delle comunicazioni sensibili, hardening dei sistemi. Ogni intervento deve essere pianificato per minimizzare l'impatto sulla produzione.
-
Formazione e awareness
Pianificare programmi di formazione differenziati per ruolo: sessioni di awareness generali per tutti i dipendenti, formazione specifica per gli operatori di linea sulle minacce OT, training tecnico per il team IT/OT sulla gestione degli incidenti, e formazione per il management sui propri obblighi di governance NIS2. La formazione deve essere documentata e ripetuta almeno annualmente.
-
Audit e miglioramento continuo
Programmare audit periodici (almeno annuali) per verificare l'efficacia delle misure adottate. Condurre test di penetrazione sia sull'infrastruttura IT sia su quella OT. Eseguire simulazioni di incidenti per testare le procedure di risposta e i piani di business continuity. Rivedere e aggiornare la valutazione dei rischi in base ai risultati degli audit, ai nuovi scenari di minaccia e ai cambiamenti nell'infrastruttura aziendale.
Tempistica indicativa: Per una PMI manifatturiera di 50-150 dipendenti, il percorso completo richiede tipicamente 6-12 mesi. Le fasi 1-3 possono essere completate in 2-3 mesi, le fasi 4-5 richiedono 3-6 mesi, mentre la fase 6 e un processo continuo.
8. NIS2 e Regolamento Macchine 2023/1230
Per le aziende manifatturiere italiane, la NIS2 non e l'unica normativa che introduce obblighi di cybersecurity. Il Regolamento (UE) 2023/1230, che sostituira la Direttiva Macchine 2006/42/CE a partire dal 20 gennaio 2027, introduce per la prima volta requisiti espliciti di sicurezza informatica per i fabbricanti di macchine.
Come si intersecano le due normative
La NIS2 si rivolge agli utilizzatori di sistemi informativi e di rete: impone alle aziende di proteggere le proprie infrastrutture, incluse le reti OT. Il Regolamento Macchine 2023/1230 si rivolge ai fabbricanti di macchine: impone che i prodotti immessi sul mercato siano progettati per resistere a tentativi di compromissione informatica (Requisiti Essenziali di Sicurezza e Salute 1.1.9 e 1.2.1).
Le due normative creano un circolo virtuoso: se un'azienda manifatturiera e sia fabbricante (produce macchine) sia utilizzatore (usa macchine e sistemi OT nel proprio stabilimento), deve adeguarsi a entrambe. Questo e il caso di molte aziende italiane nel settore dei macchinari (ATECO 28.x).
Sinergie operative
Molte delle attivita necessarie per la compliance NIS2 sono propedeutiche o sovrapponibili a quelle richieste dal Regolamento Macchine 2023/1230:
- Risk assessment cyber: la valutazione dei rischi informatici richiesta dalla NIS2 puo essere estesa per coprire anche i requisiti del Regolamento Macchine.
- IEC 62443: lo stesso standard che supporta la compliance NIS2 in ambito OT e un riferimento chiave per i requisiti cyber del Regolamento Macchine.
- Gestione delle vulnerabilita: il processo di vulnerability handling richiesto dalla NIS2 soddisfa anche le esigenze di aggiornamento e manutenzione previste dal Regolamento Macchine.
- Documentazione: il fascicolo tecnico del Regolamento Macchine deve includere l'analisi dei rischi cyber, che si alimenta direttamente dal risk assessment NIS2.
Per un approfondimento completo sul Regolamento Macchine 2023/1230 e sui suoi impatti per le aziende italiane, consulta il nostro articolo dedicato: Regolamento Macchine 2023/1230: Guida Completa per le Aziende Italiane.
9. Domande frequenti
Con molta probabilita si. La NIS2 si applica alle imprese con piu di 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro che operano in settori considerati critici o importanti. Il manifatturiero rientra tra i settori importanti ai sensi dell'Allegato II della Direttiva. Il D.Lgs. 138/2024 di recepimento italiano conferma questi criteri dimensionali. Ti consigliamo di effettuare il nostro Self-Assessment gratuito per una verifica dettagliata.
Per i soggetti essenziali, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo (si applica l'importo maggiore). Per i soggetti importanti, il tetto e di 7 milioni di euro o l'1,4% del fatturato globale. La NIS2 introduce anche la responsabilita personale dei dirigenti, che possono essere temporaneamente sospesi dalle funzioni direttive in caso di inadempienza.
Il D.Lgs. 138/2024 e entrato in vigore il 16 ottobre 2024. Le aziende soggette devono registrarsi sulla piattaforma ACN e avviare l'implementazione delle misure di sicurezza. Il periodo 2025-2026 e la fase implementativa in cui le aziende devono concretamente adeguarsi. Non esiste una data unica di scadenza, ma e essenziale dimostrare di aver avviato un percorso concreto e documentato di adeguamento. Le aziende che non hanno ancora iniziato sono in ritardo.
Si, la NIS2 non fa distinzione tra reti IT e OT. Tutti i sistemi informativi e di rete utilizzati per fornire i servizi dell'azienda rientrano nell'ambito di applicazione. Questo include PLC, SCADA, HMI, reti industriali e qualsiasi sistema connesso che supporta i processi produttivi. Anzi, la protezione delle reti OT e spesso l'area dove si concentrano le maggiori criticita nelle aziende manifatturiere, proprio per le caratteristiche di questi ambienti (cicli di vita lunghi, protocolli non sicuri, priorita sull'uptime).
NIS2 e Regolamento Macchine 2023/1230 sono normative complementari. La NIS2 impone alle aziende di proteggere le proprie reti e sistemi informativi, inclusi quelli industriali. Il Regolamento Macchine 2023/1230 introduce per la prima volta requisiti espliciti di cybersecurity per i fabbricanti di macchine (RESS 1.1.9 e 1.2.1). Insieme, creano un quadro normativo in cui sia il produttore sia l'utilizzatore devono garantire la sicurezza informatica degli impianti. Leggi la nostra guida completa al Regolamento Macchine per approfondire.
Hai bisogno di supporto per la compliance NIS2?
RAVENG affianca le aziende manifatturiere italiane nel percorso di adeguamento alla NIS2, dalla gap analysis iniziale all'implementazione delle misure tecniche e organizzative, con competenza specifica sulle reti OT industriali.