La conformità alla Direttiva NIS 2 per le imprese di costruzioni. Opportunità e sfide per il futuro

Sebbene il settore delle costruzioni non figuri esplicitamente tra i soggetti definiti essenziali o importanti ai sensi degli allegati I e II della NIS 2, la sua partecipazione nella realizzazione di infrastrutture critiche e lo stretto rapporto che le società di costruzioni potranno avere con soggetti essenziali o importanti è probabile che generi obblighi indiretti a carico delle stesse.

La Direttiva NIS 2 si pone quindi come un banco di prova per le imprese di costruzioni, costrette a confrontarsi con una nuova dimensione di sicurezza e di responsabilità organizzativa, ma allo stesso tempo incentivate a cogliere un’opportunità strategica per migliorare la propria resilienza e competitività.

 

L’ambito di applicazione e le conseguenze per il settore edilizio

L’introduzione della NIS 2 opera una grande rivoluzione nella normativa di riferimento poiché, a differenza della NIS 1, non solo estende il proprio ambito di applicazione a tutte quelle entità pubbliche e private di medie e grandi dimensioni che operano in settori – già individuati o la cui individuazione è demandata ai singoli membri – di importanza vitale per la sicurezza e la stabilità dei singoli stati e quindi dell’Unione, ma altresì prevede un attento controllo sui subfornitori di questi soggetti.

È evidente, pertanto, come qualsiasi impresa di costruzioni – ancorché non essenziale o importante – coinvolta in progetti che supportano le infrastrutture critiche, specialmente quelle di cui all’allegato I ovvero energetiche, di trasporto e di telecomunicazione, si troverà presto soggetta ad alti standard di sicurezza informatica per proteggere non solo i propri sistemi ma anche quelli di tutti i partner commerciali.

Questo aspetto è ulteriormente rilevante per le imprese di costruzioni che collaborano con settori regolamentati o che implementano tecnologie avanzate di gestione dei dati, come il BIM, che centralizzano informazioni sensibili e progettuali all’interno di un’unica piattaforma condivisa.

L’implementazione di queste piattaforme digitali richiede anche alle imprese edili una protezione sistematica – sia analogica che informatica – delle proprie risorse. Ed invero, l’utilizzo diffuso e capillare di strumenti digitali se, da un lato, permette lo sfruttamento della potenza di calcolo di tali piattaforme, dall’altro lato espone l’ente che le utilizza al rischio di un attacco cibernetico.

Da qui, come è agevole comprendere, nasce la necessità – avvertita sia a livello comunitario che nazionale – di rinforzare la sicurezza informatica di tutti i soggetti partecipi di determinate filiere produttive, introducendo strumenti di difesa informatica, di monitoraggio dei sistemi e di mitigazione dei rischi cibernetici.

 

Le sfide di cybersecurity per la filiera dell’edilizia e la gestione dei rischi

La digitalizzazione crescente del settore delle costruzioni, caratterizzata dall’integrazione di tecnologie come l’Internet of Things (IoT) e l’intelligenza artificiale (IA) nei processi di costruzione e gestione, come abbiamo già evidenziato ha reso questa industria, sicuramente in precedenza molto analogica e non esposta a rischi cyber, vulnerabile a una gamma numerosa e varia di minacce informatiche.

Nel settore oggetto di analisi, ovvero quello delle costruzioni, si ritiene che i rischi maggiori si concentrino sul furto di dati, sugli attacchi ransomware nonché sui sabotaggi digitali che potrebbero minare non solo la segretezza e l’integrità del progetto, ma altresì ambiti di pubblica sicurezza. La Direttiva richiede quindi a tutti i soggetti – ivi comprese le imprese di costruzioni – di essere maggiormente sensibili al tema della cybersicurezza ed affinare la capacità di prevedere, contenere, monitorare le vulnerabilità derivanti dall’utilizzo di strumenti informatici.

L’obbligo di verifica in capo ai soggetti essenziali o importanti dello stato della sicurezza informatica dei propri fornitori implica una rivisitazione dei contratti di fornitura che saranno adeguatamente aggiornati e prevederanno clausole esplicite in tema di sicurezza cibernetica per rendere tutta la supply chain compliance ai requisiti previsti dalla NIS 2.

L’adeguamento ai nuovi ed elevati standard previsti dalla Direttiva implica altresì la previsione di misure volte a garantire la continuità operativa, il recupero dei dati e, più in generale, la resilienza degli enti contro gli attacchi informatici. Non sarà, pertanto, necessario esclusivamente prevedere una serie di misure volte a minimizzare il rischio di incidenti informatici ma sarà anche obbligatorio implementare misure che consentano una rapida ripresa delle attività dopo un attacco.

Da ultimo, la Direttiva in parola prevede che i dirigenti deputati dalla governance aziendale a verificare la compliance dell’ente alla NIS 2 possano essere considerati responsabili in proprio per eventuali omissioni o lacune.

 

Conclusioni e opportunità strategiche della conformità alla NIS 2

La NIS 2 offre alle imprese del settore edilizio una preziosa opportunità per rafforzare la propria posizione sul mercato. Oltre a rispettare gli obblighi normativi, le imprese che investono in cybersecurity possono differenziarsi dalla concorrenza, guadagnando la fiducia di clienti e partner. In un contesto sempre più digitale, la capacità di prevenire e gestire le minacce informatiche diventa un asset strategico, soprattutto in progetti complessi che coinvolgono infrastrutture critiche. Collaborando attivamente con i fornitori e promuovendo un ecosistema digitale sicuro, le aziende edili contribuiscono a costruire un futuro più sicuro per tutti.