Entro il 17 ottobre 2024 gli Stati membri dell’UE dovranno recepire la Direttiva Ue 2022/2555 del Parlamento europeo e del Consiglio sulla sicurezza delle reti e delle informazioni (Direttiva NIS 2). A decorrere da questa data, anche le aziende del manifatturiero si troveranno ad affrontare nuove sfide e opportunità: ma quali sono gli impatti, le novità e le cose da sapere per garantire una maggiore sicurezza OT?
Sostanzialmente la NIS2 mira a rafforzare la resilienza in materia di cybersecurity migliorando la capacità di prevenire, rilevare e rispondere efficacemente alle minacce e agli incidenti informatici. La direttiva stabilisce requisiti di sicurezza più stringenti per le organizzazioni come l’attuazione di politiche di gestione del rischio, misure di sicurezza fisica e informatica, e la notifica agli enti competenti in caso di incidenti di sicurezza significativi. La NIS2 intende anche promuovere la condivisione di informazioni e la cooperazione tra gli Stati membri dell’UE, oltre ad aumentare la consapevolezza e promuovere una “cultura della sicurezza informatica”.
Per le aziende manifatturiere, l’impatto della NIS2 sarà significativo. La direttiva estende infatti la sua applicabilità a settori strategici precedentemente non coperti, come l’aerospace, le case farmaceutiche, i servizi postali e il comparto alimentare, includendo anche le amministrazioni pubbliche. Sarà dunque importante adottare un approccio end-to-end di revisione di tutti i processi e policy aziendali, dalla gestione dei dati e delle infrastrutture IT/OT, fino ai rapporti con i fornitori, in un’ottica di “Zero Trust” ossia “fidarsi mai, verificare sempre”, assegnando privilegi minimi per l’accesso alle risorse digitali.
Una delle novità della NIS2 è infatti l’attenzione alla valutazione e mitigazione dei rischi associati alla catena di fornitura, che è uno snodo cardine per le aziende produttive e uno dei punti deboli sfruttato frequentemente negli attacchi informatici che possono arrivare da machine builder, contractors, fornitori di macchinari, ecc.
Un buon punto di partenza è lo studio delle raccomandazioni del NIST (National Institute of Standards and Technology), riferimento principale per creare e implementare una strategia di sicurezza end to end, andando a mappare i rischi secondo 5 macro aree: Identity (ID), Protect (PR), Detect (DE), Respond (RS), Recover (RC).
Cisco ha mappato la propria offerta di prodotti e servizi rispetto alle funzioni e categorie definite dal NIST per mostrare ai clienti l’ampia disponibilità di tecnologie di sicurezza presenti nel portafoglio e l’estensione delle funzionalità di sicurezza a tutti i sistemi di rete per massimizzare visibilità, integrazione ed efficacia della risposta.
“Grazie anche all’esperienza acquisita nella cybersecurity IT, e alla collaborazione con Rockwell e aziende di riferimento in diverse industrie, Cisco ha esteso le funzionalità di sicurezza e resilienza ai prodotti IoT e possiamo aiutare le aziende del manufacturing a raggiungere i più alti standard di sicurezza in linea con i requisiti della NIS2” ha raccontato Giuseppe Massa, National Cybersecurity Officer di Cisco, in una intervista a Internet4Things.
Per saperne di più, ti invitiamo a leggere l’articolo su Intervent4Things