La data cerchiata in rosso è il 17 ottobre 2024. Entro quel giorno gli Stati membri della UE dovranno recepire la direttiva NIS2.
Trattandosi di una direttiva e non di un regolamento, ciascun Stato Membro dovrà trasporre le indicazioni date dalla UE all’interno del proprio quadro legislativo, per cui gli effetti della NIS2 potranno essere diversi a seconda del Paese.
“In realtà – commenta Giuseppe Massa, National Cybersecurity Officer di Cisco – l’Italia aveva già adottato un approccio piuttosto restrittivo con la NIS1, per cui non prevedo cambiamenti radicali in termini di obblighi e notifiche. Già con il DPCM 81 dell’aprile 2021, l’Italia si era dimostrata all’avanguardia, anticipando molti dei nuovi requisiti oggi nella NIS2, sia relativamente ai controlli di sicurezza obbligatori, sia definendo con chiarezza quali sono gli incidenti informatici da notificare allo CSIRT Italia e con che tempi”.
Obiettivi della NIS2
Ma cosa cambia con la NIS2 e quali sono gli impatti per le aziende del manufacturing? In estrema sintesi, gli obiettivi principali della NIS2 sono i seguenti:
- Migliorare la resilienza alla cybersecurity. La NIS2 mira a rafforzare la capacità degli Stati membri dell’Unione Europea e delle organizzazioni coinvolte di prevenire, rilevare e rispondere efficacemente alle minacce e agli incidenti informatici.
- Estendere il campo di applicazione. A differenza della NIS1, la NIS2 estende il suo ambito di applicazione a un maggior numero di settori e tipi di servizi. In questo perimetro rientrano, fra gli altri, settori critici come energia, trasporti, salute e fornitori di servizi digitali, oltre a organizzazioni, comprese alcune di dimensioni più piccole, che possono essere considerate di importanza critica
- Rafforzare la cooperazione tra gli Stati membri. La NIS2 punta a migliorare lo scambio di informazioni e la cooperazione tra gli Stati membri dell’UE, fornendo un quadro più solido per la condivisione di informazioni e best practice relative alla cybersecurity.
- Introduzione di misure di sicurezza rigorose. La direttiva stabilisce requisiti di sicurezza più stringenti per le organizzazioni. Questo include l’attuazione di politiche di gestione del rischio, misure di sicurezza fisica e informatica, e la notifica agli enti competenti in caso di incidenti di sicurezza significativi.
- Maggiore attenzione alla gestione del rischio nella supply chain. La NIS2 sottolinea l’importanza di valutare e mitigare i rischi associati alla catena di fornitura, richiedendo alle organizzazioni di adottare misure per garantire la sicurezza delle loro attività.
- Promuovere una “cultura” della sicurezza. L’obiettivo è anche quello di aumentare la consapevolezza e promuovere una “cultura” nei confronti della cybersecurity, promuovendo una migliore comprensione dei rischi informatici.
“Il vero impatto della NIS2 – commenta Massa – è l’estensione dell’applicabilità a nuovi settori. Precedentemente la NIS1 era limitata agli Operatori di Servizi Essenziali (sanità, trasporti, banche, infrastrutture digitali, acqua, energia) e ad alcune tipologie di digital service provider pubblici e privati strategicamente importanti per il Paese. La NIS2 include, invece, anche settori strategici prima non coperti, tra cui le case farmaceutiche, l’aerospace, i servizi postali, le aziende manifatturiere, il comparto alimentare e soprattutto estende la copertura alle amministrazioni pubbliche. Si stima che le organizzazioni all’interno del Perimetro Nazionale di Sicurezza Cibernetica passeranno dalle circa 350, stimate oggi a diverse migliaia”. Va comunque sottolineato che la NIS2 cerca anche di ridurre l’impatto sui soggetti più piccoli, indicando l’applicabilità a entità con almeno 50 dipendenti e un fatturato di 10 milioni di euro.
Per le aziende del manifatturiero, quali saranno gli impatti? In line di massima, potremmo ipotizzare un’estensione ai nuovi soggetti, che individuerà l’ACN entro aprile 2025, dei requisiti citati nel DPCM 81 (che include disposizioni in linea con la direttiva NIS1). Questo decreto già obbliga le entità oggi nel Perimetro Nazionale di Sicurezza Cibernetica a implementare precisi controlli di sicurezza e a seguire i requisiti definiti nel Framework Nazionale per la Cybersecurity e la Data Protection del CINI (il Consorzio Interuniversitario Nazionale per l’Informatica).
Per chi vuole prepararsi alla NIS2 ed è solo agli inizi del percorso di messa in sicurezza di processi, dati e infrastrutture IT/OT, il consiglio generale è proprio quello di seguire le indicazioni dei framework di sicurezza come quello del CINI e degli standard specifici del settore industriale.
Un approccio end to end
È importante adottare un approccio end to end e rivedere “tutti” i processi e policy aziendali e industriali, la gestione dei dati e delle infrastrutture e i rapporti con i fornitori in ’ottica “Zero Trust”. Ovvero “fidarsi mai, verificare sempre”, assegnando sempre privilegi minimi per l’accesso alle risorse digitali. Questo si applica sia agli utenti, sia a dispositivi e reti interne, sia ai fornitori, aumentando la sofisticazione e stratificazione dei controlli di sicurezza in base ai possibili rischi. Uno dei punti nuovi della NIS2 è infatti l’attenzione alla gestione del rischio nella supply chain, che è uno snodo cardine per le aziende produttive (si pensi ai rischi che possono arrivare da machine builder, contractors, fornitori di macchinari, ecc.) e uno dei punti deboli sfruttato frequentemente negli attacchi informatici.
“In Cisco – spiega Massa – abbiamo una fortissima attenzione nella gestione e sicurezza della supply chain, tanto è vero che siamo stati tra le prime aziende al mondo ad adottare strategie e policy di sicurezza in base al rischio verso i nostri fornitori. Gartner, anche per questo, ci posiziona al secondo posto fra le top 25 “supply chain” mondiali per il 2023. Questa esperienza e conoscenza, ovviamente, la trasferiamo nei prodotti, servizi e progetti per i nostri clienti. Per fare un esempio, tutti i prodotti di ultima generazione adottano tecnologie per garantire l’autenticità dei prodotti e il funzionamento solo con il software firmato da Cisco”.
Nell’adottare un approccio end to end, un buon punto di partenza è lo studio delle raccomandazioni del NIST (National Institute of Standards and Technology), punto di ispirazione del framework nazionale del CINI. Giunto alla seconda versione, il NIST Cybersecurity Framework è il riferimento principale usato dalle le aziende per creare e implementare una strategia di sicurezza end to end, andando a mappare i rischi di sicurezza secondo 5 macro aree:
- Identity (ID)
- Protect (PR)
- Detect (DE)
- Respond (RS)
- Recover (RC)
“Proprio per aiutare le aziende a seguire la logica del NIST Framework in Cisco abbiamo mappato la nosta offerta di prodotti e servizi rispetto alle funzioni e categorie definite dal NIST . Questo – continua Massa – mostra ai clienti l’ampia disponibilità di tecnologie di sicurezza del nostro portafoglio e, sottolinea uno dei punti di forza di Cisco: l’estensione delle funzionalità di sicurezza a tutti i sistemi di rete per massimizzare visibilità, integrazione ed efficacia della risposta”.
Lo standard ISA/IEC 62443
Più specificatamente per il settore industriale, occorre tenere in considerazione le linee guida indicate negli standard e technical report ISA/IEC 62443. Si tratta di una serie di norme internazionali che indicano, tra le altre cose, come creare, gestire e mettere in sicurezza i sistemi di automazione e controllo industriali (IACS, Industrial Automation and Control Systems).
Queste norme individuano le best practice di sicurezza (in primis richiedono una responsabilità condivisa tra operatori IT e OT come elemento essenziale della cybersecurity dell’automazione) e forniscono un modello per proteggere i sistemi industriali dalle minacce cyber e anche dagli incidenti.
“Cisco – spiega Massa – lavora da 15 anni alla digitalizzazione del settore industriale e delle utility, e le nostre architetture di rete per i sistemi IACS, le funzionalità di sicurezza dei dispositivi IoT e IIoT e anche il processo stesso di sviluppo prodotti adottato da Cisco (CSDL) sono conformi allo standard ISA/IEC 62443.
“Grazie anche all’esperienza acquisita nella cybersecurity IT, e alla collaborazione con Rockwell e aziende leader di vari settori industriali – conclude Massa – Cisco ha esteso le funzionalità di sicurezza e resilienza ai prodotti IoT e possiamo aiutare le aziende del manufacturing a raggiungere i più alti standard di sicurezza in linea con i requisiti della NIS2. Ad esempio Cisco Cyber Vision è di supporto nel risk assesment fornendo visibilità completa sulla rete industriale (asset discovery e tracking), con report dettagliati e punteggi di rischio dei dispositivi OT collegati; Cisco SEA Secure Equipment Access dal canto suo è in grado di garantire l’accesso remoto sicuro agli asset OT ed entrambe le soluzioni possono essere integrate con Cisco ISE (Identity Services Engine), che è in grado di autenticare dispositivi OT, oltre che IT, e di fornire accesso differenziato alla rete industriale controllato con policy zero trust ”.