La Direttiva NIS2 è stata recepita nel nostro Paese lo scorso 16 ottobre. Essa rappresenta un aggiornamento cruciale nella legislazione dell'Unione Europea per la sicurezza delle reti e delle informazioni.
In un mondo sempre più interconnesso e digitale, le minacce informatiche sono in costante evoluzione. La Direttiva NIS2 si propone di aggiornare il quadro normativo per far fronte ai nuovi rischi informatici e alle nuove sfide in ambito sicurezza informatica.
L’obiettivo della norma è elevare il livello medio di cybersecurity in tutta l'UE. In che modo? Migliorando la preparazione e la capacità di risposta agli “incidenti” nelle aziende e nelle istituzioni pubbliche, favorendo una cultura della sicurezza informatica nel Paese.
Esteso il campo di applicazione per la cybersecurity con la Direttiva NIS2
La Direttiva NIS2 ha ampliato l'ambito di applicazione rispetto alla precedente Direttiva NIS1, includendo nuovi settori, soggetti coinvolti e nuovi obblighi per la segnalazione di incidenti informatici. Si sofferma su alcune novità della nuova Direttiva Alberto Ascoli, Product Manager ctrlX AUTOMATION di Bosch Rexroth.
“La differenza di fondo tra la precedente Direttiva NIS1 e la nuova Direttiva NIS2 è che la seconda contempla le aziende del comparto industriale, definendo dimensioni e fatturato annuo delle aziende coinvolte”.
“È vero che la Direttiva NIS2 investe maggiormente gli end user e i loro sistemi informativi”, chiarisce Ascoli. "Ma è altrettanto vero che questa nuova Direttiva prevede da parte di questi ultimi una valutazione riguardo le policy di sicurezza informatica per l’intera supply chain. Questo incentiva gli OEM a fornire macchine già predisposte verso la cybersecurity per mantenere il vantaggio competitivo a livello europeo”.
Dalla Direttiva NIS2 al Nuovo Regolamento Macchine
“A proposito di requisiti di sicurezza, oltre alla Direttiva Europea, entra in gioco anche il Nuovo Regolamento Macchine approvato dall'UE già nel 2023 e che entrerà in vigore nel 2027”, aggiunge Ascoli. “L’obiettivo è migliorare la sicurezza delle persone nel mondo industriale, prevedendo procedure e implementazione di misure di sicurezza volte alla prevenzione di incidenti significativi e alla protezione da attacchi informatici. Attacchi che possono compromettere i sistemi di controllo dell’incolumità degli operatori”.
Il Product Manager di Bosch Rexroth segnala un punto fondamentale. “Questo si applica anche in caso di retrofit: la macchina andrà ricertificata implementando sistemi di sicurezza informatica come se fosse stata realizzata ex novo”.
Una piattaforma di automazione pronta per la cybersecurity: l'approccio security-by-design
Ragionando sempre di cybersecurity, Ascoli segnala l’importanza di dotarsi di “sistemi” già progettati per essere sicuri. “È il caso della piattaforma ctrlX AUTOMATION di Bosch Rexroth, progettata con un approccio che permette di rispondere nativamente alle esigenze dei costruttori di macchine in termini di sicurezza informatica”.
Il sistema operativo ctrlX OS è basato su un’architettura modulare, che sfrutta le potenzialità della tecnologia SNAP. Questorende sicuri e isolati tutti i servizi presenti sul sistema di controllo. L’utente ha inoltre la possibilità di gestire policy di sicurezza ad-hoc per la propria applicazione. Ad esempio, definire ad esempio la complessità della password, utenti e permessi, e di poter tracciare tutte le modifiche effettuate nel sistema.
Tutto questo viene poi garantito dalla certificazione IEC 62443 4-1 e 4-2. Essa stabilisce che il prodotto sia stato progettato e prodotto seguendo le più recenti linee guida in termini di cybersecurity industriale. Utilizzare un sistema secure-by-design può diventare quindi un vantaggio competitivo per l’utente. Egli può così concentrarsi a portare il proprio know-how nella progettazione della macchina.
Massima attenzione all'accesso da remoto
“Uno dei casi d’uso dove bisogna avere un occhio per la cybersecurity è sicuramente l’accesso da remoto”, aggiunge Ascoli. “Durante la pandemia, complice la diffusione di servizi digitali, c’è stato un incremento importante nell’utilizzo di questo strumento. Allo stesso tempo abbiamo aperto le porte delle macchine al mondo esterno. E con questa apertura, le abbiamo anche esposte a possibili minacce”.
Lo standard IEC 62443 definisce le linee guida per garantire la sicurezza nelle macchine. Si esprime in questo caso stabilendo che se un canale viene aperto per accedere da remoto, questo stesso canale deve essere monitorato. Dopo un tempo specifico stabilito dall’utente, deve essere chiuso per garantire la sicurezza.
Grazie all’architettura modulare di ctrlX OS, Bosch Rexroth è in grado di aprire la comunicazione da remoto tramite l’App VPN. Successivamente, può monitorarla tracciando le operazioni dell’utente. Dopo un tempo stabilito, è possibile chiudere il canale sfruttando le potenzialità del ctrlX Data Layer (anch’esso sicuro e protetto da certificati e password). Il tutto senza scrivere una riga di codice, solo configurando il sistema.
Cybersecurity: cresce la consapevolezza, ora servono le misure tecniche e le soluzioni giuste
Ma quale tipo di atteggiamento mostrano oggi i clienti di fronte alle novità normative alle quali doversi adeguare? “C’è consapevolezza e ormai se ne parla da tanto tempo e anche in ambiti non industriali”, risponde Ascoli.
“Percepiamo tuttavia da parte loro la necessità di essere guidati anche dai fornitori per trovare la soluzione giusta per le loro applicazioni e per potersi orientarsi nel panorama legislativo”.
Mettere in sicurezza anche macchine di vecchia generazione
Racconta poi il manager che già sono numerosi i casi in cui la società del Gruppo Bosch ha contribuito a migliorare la sicurezza informatica di macchine di “vecchia generazione”.
Su questo Ascoli segnala l'importanza dell'approccio olistico. “C’è un punto da sottolineare: la cybersecurity richiede un approccio olistico. Un prodotto singolo non è in grado di garantire la sicurezza o tutelare da incidenti significativi. Bisogna allargare la prospettiva e includere una mentalità critica in tutto il processo di sviluppo e di produzione. Serve inoltre ridurre qualsiasi comportamento rischioso tenuto, seppure in buona fede, all’interno dell’azienda. Bisogna quindi investire molto nella formazione delle proprie persone per diventare più consapevoli dei pericoli legati alla sicurezza informatica”.
