Negli ambienti manifatturieri, la cybersecurity non può più essere interpretata esclusivamente come un esercizio di conformità normativa. Essere compliant non equivale a essere protetti. Anche infrastrutture operative pienamente allineate ai requisiti regolatori possono subire attacchi informatici con conseguenze gravi e durature sulla continuità operativa, sulla sicurezza delle persone e sulla sostenibilità economica dell’azienda. Un messaggio chiaro emerge dalla State of ICS/OT Cybersecurity Survey 2025 pubblicata dal SANS Institute, organizzazione di riferimento a livello internazionale per la ricerca e la formazione in ambito cybersecurity: la conformità normativa, da sola, non è più sufficiente negli ambienti di operational technology. Con l’ampliamento dell’ambito e dell’applicazione dei requisiti regolatori, alle organizzazioni viene richiesto di dimostrare non solo l’aderenza alle regole, ma anche la capacità di resistere agli incidenti, di recuperare rapidamente e di continuare a operare anche in presenza di attacchi informatici o altri eventi in grado di causare interruzioni operative. In altre parole, di essere resilienti.
I dati del report delineano uno scenario articolato. Le capacità di rilevamento stanno migliorando in modo significativo, ma la preparazione a gestire l’impatto operativo degli incidenti e i tempi di ripristino restano inadeguati. Il rischio non è più tanto quello di non accorgersi di un attacco, quanto quello di non riuscire a tornare rapidamente alla piena operatività una volta che l’attacco ha avuto successo. Secondo stime di ABB, il costo medio del downtime nel settore manifatturiero raggiunge i 125.000 dollari all’ora, mentre quasi il 70% delle aziende subisce interruzioni non pianificate almeno una volta al mese. Il divario tra rilevamento e ripristino rappresenta oggi un rischio di business concreto.
Il report del SANS Institute mostra come oltre il 20% delle organizzazioni industriali abbia subito un incidente di cybersecurity nell’ultimo anno. In molti casi, tali eventi hanno causato interruzioni operative e tempi di recupero particolarmente lunghi, che in alcune situazioni hanno superato il mese o addirittura l’anno. Sebbene una parte significativa degli incidenti venga individuata entro 24 ore e contenuta entro 48, la fase di remediation continua a essere lenta. Questo scollamento evidenzia una comprensione ancora incompleta di cosa significhi realmente cyber resilience: investire nel rilevamento non basta se non si è in grado di recuperare in tempi compatibili con le esigenze operative.
Ancora più critico appare il quadro legato alla business continuity negli ambienti OT. Sebbene molte organizzazioni dichiarino di disporre di backup e sistemi di failover specifici per l’OT, solo una minoranza testa regolarmente i processi di ripristino o simula scenari di recovery. Una quota limitata dispone di playbook operativi a livello di sito, strumenti essenziali per dimostrare la capacità di recupero. In alcuni casi, manca del tutto una pianificazione strutturata della resilienza OT, un’assenza che espone le aziende a rischi non solo economici, ma anche operativi e di sicurezza fisica.
Le conseguenze di una resilienza insufficiente vanno ben oltre le sanzioni normative. I costi del downtime possono accumularsi rapidamente fino a raggiungere cifre difficilmente sostenibili, mentre le interruzioni prolungate compromettono la fiducia dei clienti, il rispetto delle tempistiche di consegna e la competitività sui mercati globali. In contesti produttivi complessi e fortemente interconnessi, l’incapacità di un singolo stabilimento di riprendersi rapidamente può generare effetti a catena lungo l’intera supply chain.
Il sondaggio evidenzia inoltre che il 7,5% degli incidenti ha generato rischi per la sicurezza fisica, un esito particolarmente critico in ambienti in cui sistemi di controllo compromessi possono mettere in pericolo le persone. Sul fronte normativo, il 26,1% delle organizzazioni soggette a requisiti di conformità obbligatori ha segnalato possibili violazioni a seguito di audit o auto segnalazioni, con un impatto più marcato sui programmi di conformità di dimensioni ridotte, compresi tra due e dieci siti produttivi.
Allo stesso tempo, l’analisi del SANS Institute offre un’indicazione incoraggiante. Le organizzazioni che adottano un approccio orientato alla resilienza ottengono risultati sensibilmente migliori. I siti soggetti a requisiti regolatori più stringenti non hanno registrato un numero inferiore di incidenti, ma hanno dimostrato una maggiore capacità di contenerli e di recuperare, con una riduzione significativa degli impatti economici e dei rischi per la sicurezza. Questo conferma che l’obiettivo delle misure di cybersecurity, soprattutto in ambito OT, deve essere la resilienza operativa. In questo contesto si inserisce Acronis Cyber Protect Local, una soluzione progettata per colmare il divario tra rilevamento e recupero negli ambienti manifatturieri. L’approccio parte da una constatazione realistica: nonostante gli investimenti in prevenzione, alcuni attacchi riusciranno comunque. La differenza la fa la rapidità con cui è possibile ripristinare sistemi e processi produttivi.
La piattaforma consente il ripristino con un solo clic, attivabile anche da personale locale privo di competenze IT avanzate, riducendo drasticamente i tempi di recupero. Questa caratteristica risulta particolarmente rilevante in contesti air-gapped o in siti remoti, dove l’intervento immediato di professionisti IT non è sempre possibile. L’integrazione nativa di cybersecurity, protezione dei dati e disaster recovery in un’unica console consente di semplificare la gestione e di supportare in modo concreto la continuità operativa.
Per il settore manifatturiero, la cyber resilience non può più essere considerata un’estensione della compliance, ma il suo naturale completamento. Proteggere la continuità produttiva, la sicurezza dei lavoratori e la solidità del business richiede un cambio di prospettiva: dalla sola prevenzione alla capacità di assorbire l’impatto degli incidenti e di ripartire rapidamente. È in questa direzione che si gioca oggi la reale efficacia delle strategie di cybersecurity negli ambienti OT.
A cura di Francisco Amadi, Partner Technology Evangelist EMEA di Acronis
