La NIS2 impone alle aziende nei settori critici un approccio alla sicurezza che supera la distinzione tra protezione informatica e protezione fisica. ISEO Ultimate Access Technologies, multinazionale bresciana specializzata in soluzioni per la gestione degli accessi, ha pubblicato un decalogo operativo che sintetizza le indicazioni pratiche per allineare i sistemi di controllo accessi ai requisiti della direttiva. Il documento è rivolto ai responsabili della sicurezza di infrastrutture critiche nei settori energia, telecomunicazioni, trasporti e sanità.

Il punto di partenza è un rischio spesso sottovalutato. Molte organizzazioni hanno investito in misure di rilevamento e contrasto delle intrusioni digitali trascurando la sicurezza fisica, che la NIS2 riconosce esplicitamente come parte integrante della gestione del rischio. La direttiva prevede un approccio All-Hazards che include la protezione dell'ambiente fisico dei sistemi informatici da accesso non autorizzato, furto, incendio e guasti infrastrutturali.

ENISA, l'agenzia europea per la cybersicurezza, ha ribadito questo principio nella sua Technical Implementation Guidance alla NIS2: un accesso fisico non controllato può rappresentare la vulnerabilità di ingresso per attacchi cyber-fisici. Un attaccante che ottiene accesso fisico a un data center o a un server rack può bypassare le protezioni digitali, installare dispositivi di intercettazione o sabotare direttamente le infrastrutture, con conseguenze potenzialmente equivalenti a quelle di un attacco informatico sofisticato.

Le dieci indicazioni operative coprono l'intera catena della sicurezza fisica. Sul fronte architetturale, il decalogo raccomanda di strutturare la protezione secondo il modello a strati definito dallo standard EN 50600, con livelli di sicurezza crescenti dall'esterno verso le aree critiche, ciascuno dotato di controlli adeguati al grado di criticità. Sul fronte tecnologico, indica la dismissione dei sistemi meccanici con brevetti scaduti, sui quali la duplicazione delle chiavi avviene senza possibilità di verifica e la tracciabilità degli accessi è praticamente impossibile, a favore di soluzioni digitali e connesse.

Due requisiti ricorrono con particolare insistenza: tracciabilità e revocabilità. I sistemi adottati devono registrare ogni evento di accesso con log dettagliati che consentano di ricostruire chi ha avuto accesso, dove, quando e con quale autorizzazione; la NIS2 richiede questa capacità di verifica a posteriori per finalità investigative e di compliance. Le credenziali devono inoltre poter essere revocate immediatamente in caso di smarrimento, cessazione del rapporto di lavoro o compromissione, un requisito che i sistemi meccanici non sono in grado di soddisfare senza la sostituzione fisica delle serrature.

Il decalogo affronta anche la continuità operativa, raccomandando sistemi che funzionino anche in caso di blackout o interruzioni di rete, e la gestione centralizzata delle credenziali, che consente di rispondere rapidamente a emergenze e cambi di ruolo. Per le aree di massima criticità, classificate come Classe 4 nello standard EN 50600, l'autenticazione multifattore è indicata come requisito minimo, con la possibilità di combinare smart key, RFID, mobile key e PIN in base al livello di rischio.