- NORMATIVE · CONFORMITÀ OT
Normative coperte da MON5.
Una piattaforma OT-native, una sola fonte di verità per audit, requisiti e remediation. Mappa le evidenze richieste da NIS2, IEC 62443, CRA, NIST CSF, ISO 27001 / 27019, DORA e ISO 22301 - senza re-installare nulla.
PERCHÉ MON5
Una piattaforma. Più audit.
I requisiti di sicurezza OT non vivono in silos: NIS2 chiede inventario asset, IEC 62443 chiede segmentazione di zone e conduit, CRA chiede gestione vulnerabilità, ISO 27001 chiede misure tecniche documentate. MON5 produce le evidenze tecniche - asset inventory, topologia di rete, detection di anomalie, correlazione CVE/EPSS - una sola volta, e tu le riusi su più framework. Ti diciamo per ogni normativa cosa copriamo direttamente e dove serve attività complementare.
Quale feature MON5 per quale normativa.
Una sola piattaforma, evidenze tecniche riusabili su otto framework. Pieno = MON5 copre direttamente. Vuoto = richiede attività complementare di governance, processi o documentazione.
| Normativa | Asset Inventory | Network Topology | CVE + EPSS | Anomaly Detection | Audit Reporting |
|---|---|---|---|---|---|
| NIS2 | ✓ | ✓ | ✓ | ✓ | ✓ |
| IEC 62443 | ✓ | ✓ | ✓ | ✓ | ✓ |
| CRA | ✓ | — | ✓ | — | ✓ |
| NIST CSF 2.0 | ✓ | ✓ | ✓ | ✓ | ✓ |
| ISO/IEC 27001 | ✓ | ✓ | ✓ | ✓ | ✓ |
| ISO/IEC 27019 | ✓ | ✓ | ✓ | ✓ | ✓ |
| DORA | ✓ | ✓ | — | ✓ | ✓ |
| ISO 22301 | ✓ | ✓ | — | ✓ | — |
NIS2
Direttiva NIS2 (UE 2022/2555)
Obbliga soggetti essenziali e importanti (energia, manifattura, food, trasporti, sanità, digital infrastructure...) a misure di gestione del rischio cyber, governance, segnalazione incidenti e continuità operativa. Recepita in Italia con D.Lgs. 138/2024, in vigore dal 16/10/2024.
- 01Inventario degli asset e gestione del rischio (art. 21)
- 02Misure tecniche: crittografia, controllo accessi, segmentazione, MFA
- 03Detection di incidenti e notifica entro 24h / 72h / 1 mese
- 04Business continuity, backup, gestione delle crisi
- 05Sicurezza della supply chain e dei fornitori OT/ICS
MON5 produce in modo continuo le evidenze tecniche che NIS2 richiede su rete e asset OT: discovery passiva non invasiva, inventario aggiornato, mappa delle comunicazioni, detection di anomalie e correlazione CVE/EPSS. Il reporting NIS2 pronto da ESSENTIAL in su accelera la preparazione dell'audit e la notifica incidenti.
- →Asset discovery e inventario continuo OT
- →Topologia di rete e identificazione comunicazioni anomale
- →Detection real-time + correlazione vulnerabilità CVE/EPSS
- →Report NIS2 esportabile, riusabile come evidenza in audit
- →Tracciamento eventi a supporto della notifica entro 24/72h
IEC 62443
IEC 62443 - Industrial Automation and Control Systems Security
Standard di riferimento per la cybersecurity dei sistemi di automazione industriale (IACS). Definisce zone, conduit, security level (SL 1-4) e requisiti per asset owner, system integrator e component supplier. Applicabile a impianti produttivi, energy, oil & gas, water, building automation.
- 01Segmentazione in zone e conduit (62443-3-2)
- 02Foundational Requirements (FR1-FR7): identificazione, controllo uso, integrità dati, riservatezza, restrizione flussi, risposta eventi, disponibilità
- 03Risk assessment e definizione del Security Level Target
- 04Patch management e gestione vulnerabilità documentata
- 05Monitoraggio continuo dell'integrità della rete OT
MON5 nasce OT-native: riconosce protocolli industriali (Modbus, S7, EtherNet/IP, OPC UA, IEC 61850, DNP3 e altri), individua zone e conduit reali a partire dal traffico osservato, e fornisce evidenze tecniche su FR1-FR7. Da PROTECT in su, la correlazione CVE/EPSS e l'anomaly detection avanzata supportano SL-T più alti su asset critici.
- →Riconoscimento protocolli OT / ICS nativo
- →Mappa di zone e conduit basata su traffico reale
- →Evidenze tecniche per FR1-FR7 documentabili
- →Patch management informato da CVE + scoring EPSS
- →Reporting IEC 62443 (advanced nel tier ADVANCED)
CRA
Cyber Resilience Act (Reg. UE 2024/2847)
Regolamento UE che impone requisiti di cybersecurity ai produttori, importatori e distributori di prodotti con elementi digitali immessi sul mercato europeo. Pieno effetto dall'11/12/2027. Tocca direttamente OEM, system integrator e fornitori di componenti OT/IoT.
- 01Security by design lungo l'intero ciclo di vita del prodotto
- 02Vulnerability handling e disclosure coordinata
- 03Gestione delle componenti software, incluso SBOM
- 04Notifica di vulnerabilità sfruttate attivamente entro 24h
- 05Aggiornamenti di sicurezza durante il periodo di supporto dichiarato
Per asset owner industriali, MON5 fornisce visibilità sui prodotti CRA-relevant installati in impianto: firmware, versioni, vulnerabilità note, esposizione di rete. Ti permette di verificare che i fornitori stiano rispettando gli obblighi di vulnerability handling e di gestire l'inventario di software/firmware come richiesto dai requisiti di supply chain.
- →Inventario firmware e versioni per dispositivi OT/IoT
- →Correlazione CVE su componenti installati
- →EPSS scoring per prioritizzare patching
- →Evidenza dell'esposizione di rete dei prodotti CRA-relevant
- →Audit trail per verificare la responsiveness dei fornitori
NIST CSF 2.0
NIST Cybersecurity Framework 2.0
Framework volontario di NIST adottato a livello globale come linguaggio comune per descrivere maturità e capacità di cybersecurity. La versione 2.0 (2024) introduce la funzione GOVERN e amplia la copertura a tutte le organizzazioni - non solo critical infrastructure US.
- 01GOVERN: governance, risk strategy, ruoli e responsabilità
- 02IDENTIFY: asset management, business environment, risk assessment
- 03PROTECT: access control, data security, protective technology
- 04DETECT: anomalie, monitoring continuo, processi di detection
- 05RESPOND + RECOVER: pianificazione, comunicazione, mitigazione, ripristino
MON5 copre direttamente le funzioni IDENTIFY (asset management, comunicazioni, vulnerability identification) e DETECT (anomaly detection, continuous monitoring) sul perimetro OT. Le evidenze prodotte supportano GOVERN (reporting al management) e RESPOND (correlazione eventi, prioritizzazione tramite EPSS).
- →ID.AM - Asset Management su rete OT
- →ID.RA - Risk Assessment basato su CVE + EPSS
- →DE.CM - Continuous monitoring del traffico industriale
- →DE.AE - Anomaly detection real-time
- →Dashboard e report a supporto di GOVERN e RESPOND
ISO/IEC 27001
ISO/IEC 27001:2022 - Information Security Management Systems
Standard certificabile per la gestione della sicurezza delle informazioni. Insieme all'Annex A:2022 (93 controlli organizzati in 4 temi: organizational, people, physical, technological), è il benchmark più richiesto in gare, contratti enterprise e supply chain.
- 01Definizione del Statement of Applicability (SoA) e dello scope
- 02Risk assessment e risk treatment plan documentati
- 03Implementazione dei controlli Annex A applicabili
- 04Internal audit, management review e miglioramento continuo
- 05Controlli tecnici: A.8 (Technological), inclusi A.8.7 protezione malware, A.8.8 vulnerability management, A.8.16 monitoring activities
MON5 fornisce evidenze tecniche oggettive per molti controlli Annex A:2022 applicati al perimetro OT - tipicamente l'area meno coperta dagli ISMS pensati per IT. Il monitoring continuo (A.8.16), il vulnerability management (A.8.8), l'asset inventory (A.5.9) e la gestione delle reti (A.8.20-A.8.23) sono documentati in automatico.
- →A.5.9 Inventory of information and other associated assets
- →A.8.8 Management of technical vulnerabilities (CVE + EPSS)
- →A.8.16 Monitoring activities su rete OT
- →A.8.20-23 Network security e segregazione (zone/conduit)
- →Report esportabili come evidenze per audit di certificazione
ISO/IEC 27019
ISO/IEC 27019:2017 - Energy utility industry
Estensione di ISO/IEC 27002 specifica per le utility del settore energia: generazione, trasmissione, distribuzione, stoccaggio. Definisce controlli aggiuntivi per i sistemi di controllo di processo e i Process Control Domain (PCD) che gestiscono l'infrastruttura energetica.
- 01Estensione dell'ISMS al Process Control Domain (PCD)
- 02Segregazione tra IT corporate, IT di processo e sistemi di controllo
- 03Hardening e monitoring dei sistemi SCADA / DMS / EMS
- 04Gestione del ciclo di vita di asset legacy con vincoli operativi
- 05Resilienza e continuità dei processi energetici critici
Per utility energetiche e operatori del settore, MON5 vede in modo passivo il traffico SCADA/DMS/EMS, riconosce protocolli specifici (IEC 61850, DNP3, IEC 60870-5-104), individua segregazioni mancanti tra PCD e IT corporate e monitora asset legacy senza richiedere installazioni invasive su PLC/RTU.
- →Riconoscimento protocolli energy (IEC 61850, DNP3, IEC 60870-5-104)
- →Mappa segregazione PCD / IT / OT
- →Asset inventory su RTU, PLC, IED, gateway
- →Anomaly detection compatibile con vincoli operativi su sistemi legacy
- →Evidenze per controlli ENE-specifici dell'Annex A esteso
DORA
Digital Operational Resilience Act (Reg. UE 2022/2554)
Regolamento UE applicabile dal 17/01/2025 alle entità finanziarie (banche, assicurazioni, payment, crypto, fund management) e ai loro fornitori ICT critici. Tocca anche operatori OT che forniscono servizi a queste entità o che gestiscono infrastrutture data center / impianti tecnologici a supporto.
- 01ICT risk management framework integrato e documentato
- 02Incident reporting verso le autorità competenti
- 03Digital operational resilience testing (incluso threat-led penetration testing)
- 04Gestione del rischio sui fornitori ICT terzi (TPRM)
- 05Information sharing su cyber threat intelligence
Per entità finanziarie con infrastrutture tecnologiche e data center, e per fornitori ICT che operano su ambienti misti IT/OT, MON5 fornisce monitoring continuo della componente di rete, asset inventory e detection di anomalie - elementi che alimentano l'ICT risk management framework e l'incident reporting richiesti da DORA.
- →Continuous monitoring per ICT risk management
- →Asset inventory per il TPRM sui sistemi forniti
- →Detection eventi a supporto dell'incident reporting
- →Evidenze tecniche per resilience testing
- →Audit trail riusabile per autorità di vigilanza
ISO 22301
ISO 22301:2019 - Business Continuity Management Systems
Standard certificabile per il Business Continuity Management. Spesso richiesto in combinazione con ISO 27001 e citato esplicitamente da NIS2 (art. 21) e DORA per la parte di continuità operativa. Rilevante per qualsiasi organizzazione la cui interruzione di servizio comporti impatto materiale.
- 01Business Impact Analysis (BIA) sui processi critici
- 02Definizione di RTO e RPO per ogni servizio
- 03Strategie e piani di continuità documentati
- 04Esercitazioni e test periodici dei piani
- 05Monitoring delle dipendenze tecnologiche
La continuità OT dipende dalla salute della rete industriale. MON5 monitora in modo continuo le comunicazioni tra asset critici, rileva degradi prima che diventino fermi impianto, e fornisce alla BIA una fotografia oggettiva delle dipendenze tecnologiche reali - non solo quelle dichiarate.
- →Mappa dipendenze tra asset OT critici
- →Detection di degradi e anomalie precoci
- →Evidenze per BIA basate su traffico reale
- →Storico riusabile per RCA dopo eventi
- →Supporto al monitoraggio delle SLA tecnologiche
Risposte rapide.
Capiamo insieme cosa ti serve davvero.
Mostraci il perimetro OT e i requisiti normativi da coprire: ti diciamo cosa MON5 documenta direttamente, cosa richiede attività complementare, e da quale livello partire - senza vendite forzate.