Negli eventi organizzati da NovaNext e Fortinet a Torino e a Milano, si è discusso in modo approfondito dell'incidenza della nuova Direttiva NIS2 2022/2555 sui panorami di cybersecurity, con un focus specifico sull'ambiente Operations (OT).
Mentre il testo definitivo attende la ratifica dei parlamenti nazionali entro la metà di ottobre 2024, è essenziale che le aziende coinvolte recepiscano le nuove sfide e opportunità delineate dalla Direttiva.
Dalla NIS alla NIS2: ampliamento dei soggetti e delle aree di focalizzazione
Originariamente, la Direttiva NIS identificava un numero relativamente ristretto di aziende italiane, classificate come operatori di servizi essenziali e fornitori di servizi digitali. Con l'introduzione della NIS2, il perimetro si estende a circa 10.000 entità, ora categorizzate come "essenziali" o "importanti".
I soggetti essenziali e i soggetti importanti secondo la Direttiva NIS2
| Soggetti essenziali | Pubblica amministrazione, Healthcare, Energia, Acqua potabile, Acque reflue, Banche, Trasporti, Organizzazioni finanziarie, Spazio, Infrastrutture digitali |
| Soggetti importanti | Chimica, Alimentari, Fornitori di servizi digitali, Servizi postali, Manifattura di dispositivi elettronici, macchinari, veicoli, Gestione dei rifiuti |
Inoltre, con la NIS2 si impongono regole più stringenti e una maggiore trasparenza nelle operazioni di cybersecurity, richiedendo un adattamento strategico da parte delle aziende. Le aziende dovranno considerare non solo le implicazioni tecniche ma anche le ripercussioni gestionali di tale conformità.
L'obbligo di segnalazione degli incidenti di sicurezza
Nel testo della Direttiva NIS2 redatto dal Parlamento Europeo, in particolare l’articolo 21 pone l’attenzione sull’obbligo di segnalazione degli incidenti di sicurezza al CSIRT (Computer Security Incident Response Team) nazionale.
L’initial warning, che deve essere notificato entro 24 ore, accentua l’importanza di un SOC (Security Operation Center) in grado di assicurare il monitoraggio continuo dell’infrastruttura.
L’introduzione di questi nuovi requisiti segna un incremento significativo delle responsabilità per le aziende. Esse infatti sono chiamate a garantire non solo la sicurezza ma anche la continuità operativa dei servizi, evitando sanzioni attraverso una efficace conformità agli audit. Solo una profonda conoscenza del rischio, infatti, permette di comprendere come la spesa in ambito cybersecurity non rappresenti in realtà un costo, bensì un vero e proprio investimento.
Tecnologie avanzate per la conformità alla Direttiva NIS2
Le reti IT vantano una consolidata esperienza nella cybersecurity. Al contrario, le reti OT, fondamentali per il controllo degli impianti di automazione e che comprendono dispositivi e sistemi come PLC, Scada e HMI, possono essere stati installati anni fa e non sempre ricevono aggiornamenti regolari. Di conseguenza, questi sistemi possono essere esposti a vulnerabilità intrinseche dovute all'impiego di protocolli e versioni software ormai obsoleti.
Fortinet ha sviluppato una gamma di soluzioni tecnologiche progettate per offrire una protezione completa, conforme agli standard della Direttiva NIS2. Tra queste soluzioni, troviamo il NGFW (Next Generation Firewall), utilizzato per la gestione efficace degli asset. Altri strumenti importanti sono MFA (Multi-Factor Authentication), NAC (Network Access Control) e PAM (Privileged Access Monitor). Questi strumenti garantiscono un controllo degli accessi sicuro e rigoroso. Inoltre, NGFW, switch e AP (Access Point) impiegano il protocollo FortiLink per una segmentazione della rete efficace che rafforza ulteriormente la sicurezza.
Le tecnologie SOAR (Security Orchestration, Automation and Response) sono essenziali per l'integrazione e l'automazione dei processi di sicurezza. Contribuiscono a migliorare la risposta agli incidenti e la gestione delle minacce in tempo reale.
In parallelo, le tecnologie di deception come i sistemi Deceptor creano esche digitali per analizzare l'attività degli attaccanti in un ambiente controllato. La Sandbox, utilizzata per l'analisi di e-mail e file, è fondamentale per un monitoraggio e un logging continuo. Infine, Recon, un servizio di protezione dal rischio digitale, offre una visuale completa sui potenziali pericoli esterni, supportando una gestione del rischio più efficace.
La Direttiva NIS2: come mettere in sicurezza una rete OT
NovaNext, system integrator che opera in Italia da oltre 35 anni, ha ottenuto diverse certificazioni nell’ambito della sicurezza industriale. Si avvale di vendor altamente innovativi e leader di mercato, come Fortinet, per realizzare soluzioni di sicurezza integrate.
L’azienda rende disponibile un OT SOC (Security Operation Center) operativo H24. Il centro è costituito da un team di analisti di security specializzati nella gestione di eventi correlati alle reti OT.
Tramite apposite sonde di ispezione del traffico, ad esempio, è possibile capire cosa stia accadendo all’interno della rete industriale. Si può anche monitorare il flusso comunicativo tra i vari dispositivi e, quindi, individuare le possibili vulnerabilità. L’adozione delle sonde, inoltre, consente di intervenire tempestivamente in caso di attacco, evitando che questo si propaghi in rete.
Dall’assessment all’analisi del rischio
La fase iniziale della messa in sicurezza di una rete ICS si basa su un'accurata valutazione (assessment). Questo step permette di comprendere in dettaglio la struttura e lo stato attuale della rete, essenziale per pianificare gli aggiornamenti delle soluzioni di sicurezza.
Dopo l'assessment iniziale, segue l'analisi del rischio, una fase critica che va oltre la semplice identificazione delle vulnerabilità. Durante questo processo, viene valutato il potenziale impatto di eventuali incidenti di sicurezza, permettendo alle aziende di prioritizzare le misure di mitigazione basate sul rischio. Questo approccio strategico assicura che le risorse siano allocate in modo efficiente, concentrandosi sulle aree di maggiore criticità.
La Direttiva NIS2 evidenzia l'importanza di questa analisi per un efficace programma di sicurezza. Il programma deve comprendere non solo la protezione delle infrastrutture critiche, ma anche la formazione e la sensibilizzazione del personale (security awareness). Questo approccio integrato e olistico è fondamentale per costruire una cultura di sicurezza robusta e resiliente all'interno delle organizzazioni.
