Con il NIS 2, migliaia di aziende italiane dovranno rafforzare la propria sicurezza informatica entro il 2024
Nel 2024, un’azienda che produce brioches e impiega 251 persone, con un fatturato annuo di 51 milioni di euro, rientrerà nel campo di applicazione della direttiva NIS 2. Dovrà rafforzare il suo arsenale di cyber-sicurezza e partecipare così allo sforzo di difesa europeo. Dovrà rafforzare il suo arsenale di sicurezza informatica, partecipando così a uno sforzo di difesa europeo.
La direttiva NIS2 (testo originale in italiane) mira a raggiungere una maturità informatica comune a tutta l’Unione europea.
E poiché sulla sicurezza non si scherza, in caso di incidente di sicurezza e di rifiuto di collaborare con le autorità, la NIS 2 dà ai governi il diritto di emettere ingiunzioni. Gli Stati europei potranno multare le aziende tra l’1,4% e il 2% del loro fatturato.
Accesso remoto e sicurezza informatica
Il collegamento in rete delle apparecchiature industriali ha reso possibile una gestione molto più precisa e reattiva delle operazioni.
D’altro canto, ha aperto le porte agli attacchi informatici.
Si tratta di una questione cruciale, dato che, secondo alcune stime, dal 30% al 40% delle apparecchiature industriali del mondo è già collegato a una rete. E questa cifra è in continuo aumento.
Quali sono gli obiettivi della direttiva NIS 2?
Gli obiettivi della direttiva NIS2 sono quelli di rafforzare la sicurezza delle reti e dei sistemi informativi nell’Unione europea. La direttiva mira a migliorare la cooperazione tra gli Stati membri dell’UE in materia di sicurezza informatica e a garantire un elevato livello di sicurezza delle reti e dei sistemi informativi in tutta l’Unione europea. La direttiva impone inoltre ai fornitori di servizi digitali e agli operatori di infrastrutture critiche l’obbligo di garantire la sicurezza delle loro reti e dei loro sistemi informativi.
Quali settori sono coperti dalla direttiva NIS 2?
La direttiva NIS2 si applica a una gamma molto più ampia di imprese e settori rispetto alla precedente direttiva NIS1. Copre le amministrazioni pubbliche, il settore spaziale, i fornitori di servizi digitali, le reti di gestione delle acque reflue e dei rifiuti, i servizi postali, l’industria alimentare e i produttori chimici e farmaceutici. Il numero di settori interessati dalla NIS2 è passato da 19 a 35.
Quante aziende sono interessate dalla direttiva NIS2? EE o EI
Secondo La Tribune, in Italia sono 150.000 le aziende interessate dalla direttiva NIS2.
La NIS 2 prevede un meccanismo di proporzionalità che distingue due categorie di entità regolamentate in base al loro livello di criticità: EE (entità essenziali) ed EI (entità importanti).
I soggetti essenziali saranno definiti come quelli che hanno un impatto maggiore in caso di interruzione del servizio rispetto ai soggetti importanti.
Quando sarà attuata la direttiva NIS 2?
La NIS 2 entrerà in vigore in Italia al più tardi nella seconda metà del 2024. Alcuni requisiti si applicheranno direttamente, mentre altri saranno soggetti a una scadenza di conformità.
In Italia, l’Agenzia Nazionale per la Sicurezza dei Sistemi Informativi (Anssi) sarà responsabile della conformità.
Come possono prepararsi le aziende?
Le aziende possono prepararsi alla direttiva NIS2 adottando misure di sicurezza per proteggere i loro sistemi informativi e le loro reti. Le misure di sicurezza comprendono
i 10 comandamenti della direttiva NIS2
- installazione di sistemi di rilevamento delle intrusioni
- aggiornamento regolare di software e sistemi operativi
- formazione dei dipendenti in materia di sicurezza informatica
- creazione di piani di continuità aziendale.
- segmentazione della rete
- autenticazione forte
- controllo degli accessi
- rilevamento delle intrusioni
- gestione delle vulnerabilità
- resilienza, ecc.
Sebbene la direttiva NIS 2 non specifichi gli standard da rispettare, l’ENISA, l’agenzia europea per la sicurezza informatica, ha pubblicato alcuni preziosi documenti sulle migliori pratiche da seguire.
Come si può rafforzare la sicurezza informatica industriale?
Le infrastrutture industriali possono essere protette adottando la norma IEC 62443. Questo standard copre vari aspetti della sicurezza, tra cui la gestione del rischio, la politica di sicurezza, la progettazione sicura, l’implementazione delle misure di sicurezza, il monitoraggio e la manutenzione continua.
Standard internazionale per la cybersecurity industriale sviluppato dalla Commissione Elettrotecnica Internazionale (IEC), lo standard IEC 62443 fornisce linee guida e raccomandazioni per la sicurezza dei sistemi di controllo e automazione industriale, in particolare in settori come l’energia, l’automazione industriale, i trasporti e l’industria chimica.
Si compone di diverse parti che trattano vari aspetti della cybersecurity industriale, tra cui :
IEC 62443-4-1: Requisiti tecnici per i sistemi di controllo industriale
IEC 62443-4-2: Requisiti tecnici per i sistemi di rete.
Per migliorare la sicurezza, Sphinx Italia raccomanda le stazioni bianche HOGO certificate ANSSI e le soluzioni MOXA certificate IEC-62443-4-2 per le reti IoT.
Per costruire una rete informatica IoT conforme alla norma IEC62443-4-2, SPHINX raccomanda, ad esempio:
– Punti di accesso MOXA AWK-3252A, AWK-4252A e AWK-1151C (disponibili nel secondo trimestre del 2023).
– router industriali sicuri, come il Moxa EDR-9010, che incorpora uno switch di livello 2 gestibile
– switch MOXA per montaggio su guida, come l’EDS-G4008, o switch industriali per montaggio su rack, come l’RKS-G4028
