NIS2 e la trasformazione AI del settore manifatturiero: come OpenKBS garantisce la conformità al D.Lgs. 138/2024

Il Decreto Legislativo 4 settembre 2024, n. 138 (D.Lgs. 138/2024) recepisce la Direttiva (UE) 2022/2555 (NIS2) nell'ordinamento italiano ed è in vigore da ottobre 2024. L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità competente per l'attuazione e la vigilanza. Il decreto interessa circa 16.000 soggetti in Italia.

Le medie e grandi imprese manifatturiere rientrano nell'ambito di applicazione del decreto in qualità di "soggetti importanti" (imprese con almeno 50 dipendenti e un fatturato annuo di 10 milioni di euro, nei settori di cui all'Allegato II della Direttiva). Per queste organizzazioni, NIS2 pone una sfida concreta: come integrare soluzioni AI nei processi produttivi senza aumentare il rischio regolatorio e di cybersicurezza. La presente pubblicazione descrive come la piattaforma OpenKBS risponde ai requisiti del D.Lgs. 138/2024 per i propri clienti enterprise.

Sicurezza infrastrutturale tramite AWS

OpenKBS costruisce l'infrastruttura dei propri clienti interamente su Amazon Web Services (AWS). Questo non è semplicemente una scelta di hosting — comporta l'acquisizione di un ampio catalogo di certificazioni e attestazioni verificate in modo indipendente, tra cui:

  • ISO/IEC 27001 — sistema di gestione della sicurezza delle informazioni;
  • ISO/IEC 22301 — gestione della continuità operativa;
  • ISO/IEC 27017 — controlli di sicurezza per i servizi cloud;
  • SOC 2 Type II — controlli per sicurezza, disponibilità, integrità del trattamento, riservatezza e protezione dei dati personali;
  • C5 — catalogo di conformità per il cloud computing, sviluppato dal BSI tedesco.

AWS dispone di oltre 150 certificazioni di sicurezza verificate in modo indipendente a livello mondiale. Nel contesto del D.Lgs. 138/2024, ciò è rilevante poiché l'Art. 21, comma 1, della Direttiva (UE) 2022/2555 richiede che le misure di gestione del rischio riflettano lo "stato dell'arte" della tecnologia. L'utilizzo di un'infrastruttura certificata dimostra il rispetto di questo principio.

Modello di responsabilità condivisa

AWS applica il modello di responsabilità condivisa (Shared Responsibility Model):

  • AWS è responsabile della sicurezza dell'infrastruttura cloud — data center fisici, rete, hypervisor, servizi gestiti;
  • Il cliente è responsabile della sicurezza di ciò che costruisce nel cloud — codice applicativo, configurazioni, controllo degli accessi.

Per i clienti enterprise, ogni soluzione è sottoposta a un processo strutturato di audit e revisione della sicurezza prima della messa in produzione.

Account AWS dedicato per ogni cliente enterprise

Tra i requisiti centrali della NIS2 vi è la garanzia della continuità operativa e della gestione delle crisi (Art. 21, comma 2, lettera c) della Direttiva (UE) 2022/2555). La Direttiva pone inoltre l'accento sulla sicurezza della catena di approvvigionamento (Art. 21, comma 2, lettera d)), inclusa la gestione dei rischi derivanti da dipendenze verso fornitori tecnologici.

OpenKBS risponde a questi requisiti attraverso un modello di account AWS dedicati.

Funzionamento

Ogni cliente enterprise riceve un proprio account AWS, nel quale vengono allocate tutte le risorse:

RisorsaDescrizione
Funzioni LambdaElaborazione serverless per la logica di business (fino a 20 per progetto)
Storage S3Object storage per file e dati
Aurora PostgreSQLDatabase relazionale gestito con backup automatici e ripristino point-in-time
CloudFront CDNDistribuzione di contenuti con crittografia TLS
EventBridgeAttività pianificate e automazioni

Le risorse di un cliente sono fisicamente isolate da quelle di qualsiasi altro cliente a livello di account AWS. Non si tratta di una separazione logica (namespace, tag o rete virtuale), bensì di un confine rigido a livello di account, applicato da AWS Identity and Access Management (IAM).

Trasferimento dell'infrastruttura alla cessazione del contratto

Alla cessazione del contratto o in caso di necessità, l'account AWS dedicato può essere trasferito integralmente al cliente. Il processo prevede:

  1. Modifica dell'utente root dell'account verso un indirizzo e-mail del cliente;
  2. Conferma da parte del cliente e impostazione di una nuova password;
  3. Rimozione dell'account dall'AWS Organization di OpenKBS;
  4. Il cliente aggiunge un metodo di pagamento e assume il pieno controllo;
  5. Il cliente rimuove l'accesso di OpenKBS eliminando il ruolo IAM cross-account.

Non viene migrato nulla. Le funzioni Lambda continuano a funzionare, i dati in S3 e Aurora restano al loro posto, le distribuzioni CloudFront servono il traffico senza interruzione. Il cliente ottiene il pieno controllo sulla propria infrastruttura senza perdita di dati e senza downtime.

Tutte le risorse sono primitive AWS standard — nessun formato proprietario, nessun vendor lock-in. Il cliente può continuare a gestire la propria infrastruttura autonomamente o con un altro fornitore.

AWS Organizations consente la creazione di fino a 50.000 account all'interno di un'organizzazione, senza costi aggiuntivi per l'account stesso. Viene fatturato esclusivamente il consumo delle risorse all'interno dell'account.

Rilevanza per la conformità NIS2

  • Art. 21, comma 2, lettera c) (continuità operativa): L'infrastruttura non dipende dallo stato operativo di OpenKBS. In caso di cessazione dell'attività del fornitore, il cliente può continuare le operazioni.
  • Art. 21, comma 2, lettera d) (sicurezza della catena di approvvigionamento): Il rischio di dipendenza da un singolo fornitore è ridotto al minimo grazie alla possibilità garantita di trasferimento completo.
  • Clausola 5 dei requisiti contrattuali NIS2 (assistenza alla cessazione e sicurezza dei dati): Coperta by design — i dati si trovano già in un account che il cliente può assumere integralmente.

Localizzazione dei dati e architettura serverless

Hosting nell'Unione Europea

Tutte le risorse dei clienti enterprise sono allocate nella regione AWS eu-central-1 (Francoforte, Germania) per impostazione predefinita. Il database centrale della piattaforma (AWS Aurora DSQL) opera esclusivamente in eu-central-1.

I dati non lasciano il territorio dell'UE. Ogni progetto cliente riceve:

  • Storage S3 in eu-central-1;
  • Istanza Aurora PostgreSQL in eu-central-1;
  • Funzioni Lambda eseguite in eu-central-1;
  • Distribuzione CloudFront con edge location nell'UE.

La localizzazione dei dati è un fattore chiave nella valutazione del rischio ai sensi della NIS2. L'allocazione dell'infrastruttura nell'UE semplifica il rispetto dei requisiti di protezione dei dati e facilita l'interazione con le autorità nazionali di regolamentazione.

Architettura serverless e superficie di attacco ridotta

OpenKBS utilizza un'architettura interamente serverless per le risorse dei clienti. Ciò significa:

  • Nessun server da mantenere — nessun sistema operativo da aggiornare, nessun accesso SSH, nessuna porta aperta;
  • AWS gestisce l'ambiente di runtime — Node.js 24.x su Lambda, con aggiornamenti di sicurezza automatici;
  • Isolamento a livello di esecuzione — ogni funzione Lambda viene eseguita in un ambiente microVM separato;
  • TLS 1.2+ per tutte le comunicazioni — tramite CloudFront, senza eccezioni.

Dal punto di vista dell'Art. 21, comma 2, lettera e) della Direttiva (UE) 2022/2555 (sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi di rete e informazione), l'architettura serverless elimina un'intera classe di vulnerabilità — sistemi operativi non aggiornati, server mal configurati, accesso di rete non autorizzato.

Sicurezza del codice generato dall'AI

La realtà dello sviluppo moderno

Una quota significativa e crescente del codice nell'industria viene generata con l'ausilio di modelli AI. Questa tendenza è irreversibile. La questione non è se l'AI genererà il codice, ma quali processi ne garantiscono la qualità e la sicurezza.

Il codice generato dall'AI non è intrinsecamente insicuro. I moderni modelli linguistici (come Claude di Anthropic) individuano vulnerabilità nel codice in modo più efficiente della maggior parte delle revisioni manuali — comprese SQL injection, attacchi XSS, accesso non autorizzato, gestione errata delle sessioni e decine di altre categorie delle OWASP Top 10 e delle classificazioni CWE.

I rischi del codice generato dall'AI non derivano dal modello in sé, ma dalla mancanza di processi di audit e validazione. Un sistema in cui il codice generato viene distribuito direttamente senza revisione è rischioso — indipendentemente dal fatto che il codice sia stato scritto da un essere umano o da un'AI.

Il processo OpenKBS per i clienti enterprise

OpenKBS applica un processo strutturato di revisione della sicurezza per ogni nuova versione della soluzione del cliente:

Audit di sicurezza automatizzato per ogni versione:

  • Analisi statica del codice per vulnerabilità delle OWASP Top 10;
  • Verifica di SQL injection, XSS, CSRF, SSRF, command injection;
  • Analisi delle dipendenze (dependency audit) per vulnerabilità note (CVE);
  • Verifica della divulgazione di dati sensibili (credenziali hardcoded, chiavi API, connection string);
  • Validazione dei dati di input e controllo degli accessi;
  • Verifica della divulgazione non autorizzata di informazioni nelle risposte HTTP e nella gestione degli errori.

Revisione dell'infrastruttura:

  • Revisione delle policy IAM e del principio del minimo privilegio (least privilege);
  • Validazione della crittografia in transito (TLS) e a riposo (AES-256);
  • Verifica delle risorse accessibili pubblicamente (bucket S3, endpoint Lambda);
  • Audit della configurazione di rete e delle regole del firewall.

Report documentato:

  • Ogni audit genera un report documentato con risultanze e raccomandazioni;
  • Le vulnerabilità critiche vengono risolte prima del rilascio in produzione;
  • I report sono accessibili al cliente e possono essere forniti alle autorità di regolamentazione in sede di audit.

Questo processo risponde ai requisiti dell'Art. 21, comma 2, lettera e) (sicurezza nello sviluppo e manutenzione) e dell'Art. 21, comma 2, lettera f) (politiche e procedure per la valutazione dell'efficacia delle misure di gestione del rischio).

Consolidamento della catena di approvvigionamento AI

Un'organizzazione che intende utilizzare modelli AI di più fornitori (OpenAI, Anthropic, Google) deve stipulare contratti separati, effettuare valutazioni del rischio separate e garantire la conformità NIS2 per ciascuno di essi.

OpenKBS consolida l'accesso a più modelli AI attraverso un proxy unificato, operante nell'infrastruttura UE della piattaforma. Il cliente interagisce con un unico fornitore (OpenKBS), che gestisce l'integrazione con i vendor AI.

Ciò riduce:

  • il numero di fornitori soggetti a valutazione ai sensi dell'Art. 21, comma 2, lettera d) della NIS2;
  • il numero di contratti che devono contenere le cinque clausole obbligatorie sulla sicurezza della catena di approvvigionamento;
  • l'onere amministrativo nella revisione periodica dei fornitori.

Misure di conformità aggiuntive

Crittografia

In conformità con l'Art. 21, comma 2, lettera h) della Direttiva (UE) 2022/2555 (politiche per l'uso della crittografia):

  • In transito: TLS 1.2+ per tutte le comunicazioni, senza eccezioni;
  • A riposo: AES-256 per i dati sensibili (connection string, chiavi API), crittografia gestita da AWS per S3 e Aurora;
  • Token di accesso: Memorizzati come hash SHA-256, il testo originale non viene conservato;
  • Comunicazioni MQTT: Connessioni WebSocket firmate SigV4 con token di sessione STS temporanei (validità 15 minuti).

Controllo degli accessi

In conformità con l'Art. 21, comma 2, lettera i) (sicurezza delle risorse umane, controllo degli accessi):

  • Autenticazione basata su JWT (RS256) con durata di validità limitata;
  • Chiavi API per progetto con permessi esplicitamente definiti;
  • Rotazione automatica delle chiavi a ogni deployment;
  • STS session credentials con validità di 15 minuti per l'accesso cross-account.

Registro di audit

In conformità con l'Art. 21, comma 2, lettera f) (valutazione dell'efficacia delle misure):

  • Registro di audit amministrativo: tipo di azione, risorsa interessata, dettagli, indirizzo IP;
  • Tracciamento del consumo di risorse per progetto e periodo;
  • Metriche CloudWatch per ogni funzione (invocazioni, durata, errori).

Backup, ripristino e piano di disaster recovery

In conformità con l'Art. 21, comma 2, lettera c) (continuità operativa, gestione dei backup, disaster recovery e gestione delle crisi):

Database (Aurora PostgreSQL Serverless v2):

  • Backup continui automatici, gestiti da AWS;
  • Ripristino a un momento specifico (point-in-time restore) con precisione al secondo, per un periodo configurabile fino a 35 giorni;
  • I dati sono conservati in sei copie distribuite su tre zone di disponibilità (Availability Zones) nella regione eu-central-1;
  • In caso di guasto dell'istanza primaria, Aurora effettua automaticamente il failover su una replica di standby.

Object storage (S3):

  • Versionamento degli oggetti — ogni modifica o eliminazione conserva la versione precedente;
  • AWS S3 garantisce il 99,999999999% (11 nove) di durabilità dei dati;
  • I dati sono conservati in più zone di disponibilità nella regione.

Principi generali:

  • Soft delete di tutte le risorse — nessuna cancellazione irreversibile;
  • L'architettura serverless elimina la necessità di ripristino dei server — in caso di guasto di un'istanza Lambda, AWS ne avvia automaticamente una nuova;
  • CloudFront CDN garantisce la distribuzione del traffico anche in caso di indisponibilità parziale dell'origin server.

Riepilogo: copertura delle misure minime ex Art. 21 NIS2

Misura ex Art. 21, comma 2Come OpenKBS la indirizza
a) Analisi del rischio e politiche di sicurezzaProcesso di audit strutturato per ogni versione; report documentati
b) Gestione degli incidentiProcedura di risposta agli incidenti; preallarme al cliente entro 24 ore
c) Continuità operativaAccount AWS dedicato; Aurora PITR fino a 35 giorni; versionamento S3; 6 copie in 3 AZ
d) Sicurezza della catena di approvvigionamentoProxy AI consolidato; contratto unico; account trasferibile
e) Sicurezza nello sviluppo e manutenzioneAudit di sicurezza per ogni versione; architettura serverless
f) Valutazione dell'efficacia delle misureRegistro di audit; monitoraggio delle risorse; metriche CloudWatch
g) Formazione sulla cybersicurezzaConsulenza e documentazione per i team dei clienti
h) CrittografiaTLS 1.2+; AES-256; SHA-256 per i token; SigV4 per MQTT
i) Controllo degli accessiAutenticazione JWT; chiavi per progetto; rotazione automatica
j) MFA e comunicazioni crittografateConnessioni WebSocket crittografate; STS session credentials

Passo successivo

OpenKBS collabora con imprese manifatturiere in Italia e in Europa che implementano soluzioni AI nel rispetto dei requisiti della NIS2.

Se la vostra organizzazione rientra nell'ambito di applicazione del D.Lgs. 138/2024 e sta valutando una trasformazione AI, contattateci per una consulenza su:

  • valutazione della vostra infrastruttura attuale rispetto ai requisiti NIS2;
  • progettazione di una soluzione AI in un account AWS dedicato con EU Data Residency;
  • processi di audit della sicurezza per il codice generato dall'AI;
  • piano di continuità operativa e gestione delle crisi.

I servizi descritti — audit di sicurezza, account AWS dedicato e revisione del codice generato da AI — fanno parte del piano Enterprise di OpenKBS.

La presente pubblicazione ha carattere informativo e non costituisce consulenza legale. Per questioni specifiche sull'applicazione del D.Lgs. 138/2024, si consiglia di rivolgersi a un consulente legale qualificato.

Book a Strategy Call
NIS2D.Lgs. 138/2024ACNcybersicurezzamanifatturaproduzioneAWSAIsupply chainenterprise