Nel contesto attuale di minacce informatiche in rapida evoluzione, la sicurezza delle infrastrutture critiche è diventata una priorità imperativa per l’Unione Europea. La recente adozione della Direttiva sulla sicurezza delle reti e dei sistemi informativi, nota come NIS2, segna un passo decisivo verso il rafforzamento della resilienza e della sicurezza informatica a livello continentale.

La Direttiva NIS (Network and Information Security) è un regolamento dell’Unione Europea volto a garantire un livello elevato comune di sicurezza delle reti e delle informazioni in tutti gli Stati membri e l’incremento della resilienza cibernetica nei settori essenziali. La Direttiva NIS (Direttiva UE 2016/1148) è stata recepita in Italia con il Decreto Legislativo 18 maggio 2018, n. 65, che è entrato in vigore il 16 giugno 2018.

Lo standard NIS2 è l’aggiornamento della Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS). Questa nuova direttiva estende il campo di applicazione della versione precedente, includendo una gamma più ampia di settori e aziende, enfatizzando l’importanza di un approccio proattivo alla sicurezza informatica.

La NIS2, in sintesi, impone nuovi obblighi di conformità a un ampio spettro di organizzazioni, ponendo particolare enfasi sulle reti industriali e i sistemi OT, pilastri fondamentali per la stabilità economica e sociale dell’Europa.

L’Obbligo di Conformità

La NIS2 estende l’ambito di applicazione ai nuovi settori e aumenta le responsabilità per le organizzazioni, sottolineando l’importanza di un approccio proattivo alla gestione dei rischi cyber. Tutte le entità operanti nei settori identificati come critici, nonché i loro fornitori, dovranno adottare misure ben precise per garantire la sicurezza delle proprie operazioni e delle catene di fornitura.

Innanzitutto, la Direttiva NIS2 si applica alle organizzazioni pubbliche e private che gestiscono servizi essenziali per la società, come ad esempio:

• Fornitori di servizi essenziali:
  1. società di produzione e distribuzione energia;
  2. servizi sanitari;
  3. trasporti;
  4. infrastrutture di comunicazione;
  5. servizi bancari e finanziari…

A questi si aggiunge una nuova tipologia di settori che vengono definiti “altri settori critici” o servizi importanti qui elencati:

• servizi postali;
• Pubbliche Amministrazioni;
• gestione dei rifiuti;
• fabbricazione, produzione e distribuzione di sostanze chimiche;
• produzione, trasformazione e distribuzione di alimenti;
• fabbricazione di dispositivi medici e di dispositivi medico-diagnostici;
• fabbricazione di computer e prodotti di elettronica e ottica;
• fabbricazione di apparecchiature elettriche;
• fabbricazione di macchinari e apparecchiature n.c.a.;
• fabbricazione di autoveicoli, rimorchi e semirimorchi;
• fabbricazione di altri specifici mezzi di trasporto;
• fornitori di servizi per le piattaforme digitali;
• organizzazioni di ricerca.

Inoltre, la Direttiva NIS2, si applica anche ai fornitori di servizi digitali. Questi ultimi includono le piattaforme online.

• Fornitori di servizi digitali:
  1. e-commerce;
  2. motori di ricerca;
  3. cloud computing;
  4. gestione dei servizi ICT.

Le autorità nazionali avranno il potere di imporre sanzioni significative in caso di mancata conformità, ciò sottolinea la serietà con cui l’UE persegue l’obiettivo di una rete europea più sicura.

Punti Fondamentali della Direttiva NIS2

La Direttiva NIS2 mira a colmare le lacune identificate nella prima versione e a rispondere meglio alle sfide emergenti nel panorama della sicurezza informatica. Ecco un breve excursus con i punti chiave:

1. Estensione dei settori coperti: oltre ai settori già considerati critici, NIS2 amplia la sua portata includendo i settori sopracitati.
2. Maggiore chiarezza sui requisiti di sicurezza: Stabilisce requisiti di sicurezza più dettagliati a partire dai Vulnerability Assessment fino ad arrivare ai test di Disaster Recovery.
3. Rapporti di incidenti: Impone alle organizzazioni di segnalare gli incidenti di sicurezza in modo tempestivo e dettagliato, migliorando la capacità di risposta e la collaborazione tra i vari attori.
4. Misure di risposta agli incidenti: enfatizza l’importanza di avere piani di risposta agli incidenti ben definiti e procedure di recupero per minimizzare l’impatto degli attacchi informatici.
5. Supervisione e sanzioni: introduce una supervisione più stringente e un quadro di sanzioni per garantire il rispetto dei requisiti da parte delle organizzazioni.

Soluzioni CISCO per le Reti Industriali e i Sistemi OT

Le reti industriali e i sistemi di Operational Technology (OT) sono il cuore pulsante di molte infrastrutture critiche, come impianti di produzione, impianti di distribuzione, reti elettriche, sistemi di controllo del traffico, ecc… Queste tecnologie, tradizionalmente isolate dal mondo esterno, oggi sono sempre più interconnesse con sistemi IT e Internet, esponendole a vulnerabilità e attacchi cyber che possono avere conseguenze devastanti non solo virtuali ma anche fisiche.

Per le organizzazioni che operano nel dominio industriale, la Direttiva NIS2 non solo rappresenta una serie di requisiti legali ma offre anche una guida preziosa per rafforzare la sicurezza delle infrastrutture. Ecco alcune delle azioni chiave richieste:

1. Valutazione e Gestione dei Rischi Cyber

Identificare e classificare i rischi è fondamentale per una difesa efficace. Strumenti avanzati come Cisco Cyber Vision possono facilitare questo processo, offrendo visibilità e controllo sulla sicurezza delle reti industriali. Questa soluzione sfrutta anche i punteggi di Cisco Vulnerability Management per dare priorità alle vulnerabilità critiche o più probabilmente sfruttate nel tuo settore.

2. Adozione di Componenti OT Certificati

La conformità inizia dalla base: ogni componente della rete OT deve essere selezionato e implementato con la massima attenzione per la sicurezza. Le certificazioni secondo gli standard ISA/IEC 62443 rappresentano un punto di riferimento affidabile per valutare la robustezza dei dispositivi OT. Tutti i prodotti Cisco sono sviluppati secondo un processo del ciclo di vita certificato. Gli switch industriali Cisco sono certificati per la conformità agli standard sopracitati.

3. Implementazione del Modello Zero-Trust

Superare il paradigma delle reti piatte attraverso la segmentazione e l’adozione di politiche di zero-trust interne è essenziale per limitare il potenziale impatto di un’incursione malevola. Cyber Vision insieme a Cisco Identity Services Engine (ISE) può creare policy di segmentazione zero-trust e collaborare con le apparecchiature di rete industriale Cisco per applicarle senza la necessità di hardware aggiuntivo.

4. Migrazione a Soluzioni di Accesso Remoto Zero-Trust

L’accesso remoto ai sistemi OT è una necessità operativa ma introduce significativi rischi di sicurezza. Soluzioni come Cisco Secure Equipment Access (SEA) offrono un approccio zero-trust all’accesso remoto, combinando autenticazione multifattore e controlli rigorosi.

6. Implementazione di politiche di gestione della continuità operativa e security awareness

Un efficace piano di Business Continuity inizia con una mappatura accurata di tutte le risorse IT e OT, identificando le funzioni critiche e le dipendenze e/o interdipendenze. Successivamente, si definiscono i livelli di tolleranza al rischio e si sviluppano strategie di mitigazione che includono backup regolari, soluzioni di failover e processi di ripristino. Infine, la formazione del personale e la conduzione di simulazioni periodiche di incidenti assicurano che l’organizzazione sia preparata a rispondere efficacemente, minimizzando l’impatto sulle operazioni e garantendo la continuità del business.

5. Rilevazione e Segnalazione degli Incidenti

Infine, la capacità di rilevare rapidamente gli incidenti e di rispondere in modo efficace è cruciale. Strumenti come Cisco XDR possono fornire una visione integrata delle minacce, migliorando la capacità di individuazione e mitigazione degli attacchi.

Come muoversi sul terreno della OT Security

L’adozione della Direttiva NIS2 solleva importanti questioni sulla compliance, specialmente per ciò che riguarda la Tecnologia Operativa (OT). Come abbiamo visto, le aziende devono navigare attraverso il processo di adeguamento ai requisiti di NIS 2, orientandosi verso un approccio basato sul rischio, in linea con alcuni dei principali standard internazionali come il NIST Cybersecurity Framework e lo standard ISA/IEC 62443.

Il NIST, attraverso la Special Publication 800-82 Rev. 3, offre un framework comprensivo per la sicurezza dei sistemi OT, delineando le minacce, le vulnerabilità e le strategie di gestione del rischio. D’altro canto, la serie di standard IEC 62443 estende le pratiche di sicurezza IT alle Operational Technologies, stabilendo requisiti precisi per la sicurezza elettronica dei sistemi di automazione e controllo industriale, nonché metodi per valutarne l’efficacia.

Nel contesto pratico, diventa cruciale selezionare un partner affidabile come Security Architect srl che possa guidare l’azienda verso la conformità con NIS 2, coprendo tutti gli aspetti della sicurezza informatica, dalle reti e sistemi di controllo industriali (ICS), agli ambienti IT tradizionali. È essenziale riconoscere che le soluzioni di OT Security richiedono competenze specifiche, una profonda conoscenza degli ecosistemi industriali e strumenti dedicati.

La scelta del partner giusto influenzerà non solo la produttività e la continuità operativa dell’azienda, ma garantirà anche il rispetto di una normativa destinata a giocare un ruolo chiave nel panorama della sicurezza informatica europea per gli anni a venire.

Conclusione

La Direttiva NIS2 rappresenta un’opportunità per le organizzazioni di elevare la propria security posture e di proteggere le infrastrutture critiche dalle crescenti minacce cyber. Sebbene l’adeguamento possa sembrare oneroso, i benefici in termini di resilienza operativa e fiducia degli stakeholder e dei clienti sono inestimabili.

Con un approccio metodico alla conformità e l’adozione di tecnologie all’avanguardia, Security Architect e il partner Cisco portano le reti industriali e i sistemi OT della tua azienda a soddisfare i requisiti normativi e diventare baluardi contro gli attacchi cyber, contribuendo alla sicurezza e alla prosperità dell’Unione Europea.