Direttiva NIS 2 e come soddisfare i requisiti dell’Articolo 21

Tempo di Lettura: 8 minuti - Livello di Difficoltà: avanzato

Se sei un fornitore di servizi essenziali o operi su infrastrutture critiche, sul tuo calendario è sicuramente già segnata la data del 18 ottobre 2024, ossia l’entrata in vigore della Direttiva NIS 2. Gli Stati membri dell’UE ne devono recepire il contenuto, ma in che modo le organizzazioni possono soddisfare i requisiti di cybersecurity indicati dall’Articolo 21? Ti suggeriamo alcune delle tecnologie Siemens più adeguate all’impresa.

Applicazione della Direttiva NIS 2

La Direttiva NIS 2 si rivolge a una vasta lista di soggetti, suddivisi, in base alla criticità della fornitura, in essenziali oppure importanti. L’obbligo comune è quello di adottare strategie di cybersecurity in risposta ai possibili incidenti informatici che affliggono le infrastrutture.

Ricordiamo che essenziali sono, secondo l’Allegato I NIS 2, i fornitori – già regolati dalla Direttiva NIS del 2018 – di:

  • Energia (elettrica, petrolio, gas)
  • Trasporto (aereo, ferroviario, via acqua, via strada)
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Pubblica Amministrazione
  • Spazio

 

Come introdotto in un precedente articolo, la NIS 2 estende gli obblighi di protezione informatica alla categoria dei soggetti importanti, indicati nell’Allegato II, ossia:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro
  • Fabbricazione di computer e prodotti di elettronica e ottica
  • Fabbricazione di apparecchiature elettriche
  • Fabbricazione di macchinari e apparecchiature n.c.a.
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto

 

La scelta europea di ampliare il campo di applicazione della Direttiva per la Network and Information Security deriva dall’evidenza secondo cui un sempre maggior numero di settori si fa portatore della trasformazione digitale, e con essa dei rischi di cybersecurity.

 

Un suggerimento in più:

 

Come adempiere l’Articolo 21, comma 2

La Direttiva NIS 2 incoraggia i soggetti (essenziali ed importanti) a collaborare con gli organi istituzionali, introducendo l’obbligo di notifica degli incidenti di cybersecurity, ed indica nell’Articolo 21 comma 2 le misure per la gestione del rischio:

  • Politiche di analisi dei rischi e di sicurezza dei sistemi
  • Gestione degli incidenti
  • Continuità operativa
  • Sicurezza della supply chain
  • Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi
  • Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi
  • Pratiche di igiene informatica di base e formazione
  • Sicurezza delle risorse umane, strategie di controllo accessi e gestione asset
  • Uso di soluzioni di autenticazione a più fattori o di autenticazione continua

 

Quello che suggeriamo di fare per mettere in atto quanto richiesto dall’UE è analizzare in profondità le vostre attuali modalità di risposta agli incidenti informatici, in modo da comprendere su quali misure di adeguamento focalizzarvi. Scopri il nostro servizio di consulenza dedicato ai soggetti NIS 2.

 

Sapevi che la IEC 62443 è un possibile framework applicativo per la Direttiva NIS 2? Leggi qui oppure contattaci per saperne di più.

 

Tecnologie consigliate per la conformità NIS 2

Se è chiaro che per la tua organizzazione è necessario rivedere le misure di cybersecurity per rispondere ai requisiti NIS 2, il passo successivo è scegliere delle soluzioni tecnologiche che rispondano a questo bisogno.

Un esempio è il portfolio Siemens; esso comprende una vasta gamma di applicazioni per la gestione della sicurezza informatica, te ne presentiamo alcune che soddisfano i requisiti dell’Articolo 21.

Siemens, come fondatore della Charter of Trust e con il Cyber Emergency Response Team, garantisce la massima protezione di clienti e fabbriche. I processi di sviluppo e di produzione certificati consentono di offrire prodotti di alta qualità; in aggiunta, l’impegno si estende oltre la fase iniziale di rilascio, poiché vengono fornite con diligenza patch e aggiornamenti per un periodo prolungato, assicurando che i prodotti in mano ai clienti rimangano sicuri e sempre aggiornati.

 

  • Garantisci la continuità aziendale con la gestione dei backup e l’accesso remoto sicuro per il ripristino

Le industrie, spesso distribuite oltre i confini nazionali, richiedono una gestione efficiente durante le fasi operative e di ottimizzazione. La manutenzione e il ripristino da eventuali incidenti in impianti industriali e macchinari devono essere eseguiti tempestivamente per evitare interruzioni prolungate nelle attività e nei servizi. I sistemi di disaster recovery, quali backup e ripristino, costituiscono componenti essenziali per ridurre i tempi di recupero da giorni a pochi minuti. Siemens offre soluzioni complete di disaster recovery, con opzioni di backup online/offline e una vasta gamma di alternative locali ed esterne, come ad esempio SIMATIC DCS SCADA Infrastructure.

 

 

Facilitare la creazione di connessioni remote sicure è un processo semplice grazie alla piattaforma di gestione VPN SINEMA Remote Connect e alla piattaforma di servizi remoti cRSP. Il tecnico di manutenzione utilizza un client SINEMA Remote Connect o cRSP, mentre il sistema è dotato di un dispositivo di sicurezza industriale SCALANCE S, un router industriale SCALANCE M o un Industrial Next Generation Firewall. Sia il tecnico che la macchina stabiliscono connessioni on-demand (controllate) verso un server SINEMA Remote Connect o cRSP, dove l’identità dei partecipanti è verificata tramite lo scambio di certificati. Solo in questo modo viene concesso l’accesso remoto.

 

  • Rafforza la sicurezza attraverso una gestione avanzata degli asset

Per affrontare in modo completo le sfide della sicurezza informatica, è essenziale avere la capacità di individuare, monitorare, operare e gestire gli asset critici nell’ambito dell’Operational Technology. Nel corso del ciclo di vita della sicurezza informatica, una visione dettagliata degli asset OT è fondamentale per una gestione efficace e per ridurre la superficie di attacco. Tuttavia, le infrastrutture industriali contengono spesso una varietà di asset provenienti da diversi fornitori, con inventari e documentazioni spesso obsoleti. Non tutti gli asset sono dotati dell’ultimo aggiornamento del firmware, generando potenziali rischi per la sicurezza informatica.

 

 

La soluzione si avvale dei sistemi centralizzati SINEC NMS (Network Management System), SMC (SIMATIC Management Console) e PRONETA per offrire monitoraggio della rete, scoperta della topologia, diagnostica e gestione del firmware. Inoltre, SINEC Security Inspector esegue scansioni ad alte prestazioni, non invasive e indipendenti dal fornitore, generando una panoramica di installazione facilmente gestibile.

 

  • Gestisci gli incidenti con rilevamento di anomalie e intrusioni

Come risaputo, i reparti produttivi hanno subito una trasformazione, passando da isole disconnesse a reti altamente complesse, con una limitata visibilità sugli asset e sulle comunicazioni tra di essi. Gli schemi di attacco zero-day si verificano regolarmente durante le fasi di operazione e ottimizzazione; e la mancanza di visibilità sugli asset e sui protocolli di comunicazione nei sistemi di controllo industriale aumenta il rischio. La ritardata individuazione degli incidenti di sicurezza informatica industriale si traduce in tempi di fermo impianto e sforzi aggiuntivi per effettuare ripristino. La Direttiva NIS 2 definisce i requisiti di segnalazione per le entità, essenziali o importanti, e la capacità di segnalare dipende dalla efficacia del rilevamento.

 

 

Industrial Anomaly Detection offre una visione dettagliata sugli asset collegati e sugli scambi di dati, identificando in modo continuo e proattivo le modifiche nel sistema. Grazie all’AI, il software analizza il traffico di rete durante una fase di apprendimento e valuta il traffico attuale per individuare anomalie, come intrusioni da parte di hacker o furti di dati. Questa soluzione di monitoraggio, completamente passiva, si integra perfettamente nelle reti industriali e nei sistemi di controllo.

 

  • Riduci al minimo i rischi informatici cifrando la comunicazione nelle reti OT

In un contesto di produzione sempre più dinamico, l’accesso ai dati lungo l’intero ciclo di vita del prodotto diventa cruciale. Dispositivi, sistemi e utenti scambiano dati in modo continuo o su richiesta, spesso senza una gestione adeguata dell’accesso ai dati o senza meccanismi di identificazione. In assenza di salvaguardie, chiunque può connettersi alla rete, rendendo il sistema vulnerabile ad attacchi di tipo man-in-the-middle. Poiché i dati sono in chiaro, risultano esposti a rischi quali furti, manipolazioni, spionaggio e sabotaggi. Uno degli obblighi di gestione dei rischi di sicurezza informatica della NIS 2 consiste, se opportuno, nell’adozione di crittografia e cifratura.

 

 

La cifratura end-to-end tra TIA Portal, S7-1500/1200 controllers e HMI  grazie a una comunicazione sicura basata su Transport Layer Security (TLS) V1.3 assicura l’integrità del sistema. Ciò si basa sulla disponibilità degli endpoint, misura fondamentale per proteggere i sistemi dai rischi associati ai malware. Siemens offre soluzioni testate e approvate, con una gamma diversificata di opzioni sia per la firma che per i meccanismi di rilevamento e prevenzione basati su anomalie, tra cui Endpoint Detection and Response (EDR), software antivirus Next-Gen e soluzioni tradizionali air-gapped.

 

  • Aumenta la sicurezza e la disponibilità degli asset gestendo vulnerabilità ed aggiornamenti

Durante le fasi di operazione e ottimizzazione, è essenziale aggiornare regolarmente i sistemi. Nuove vulnerabilità vengono segnalate quotidianamente, e possono essere sfruttate dagli attaccanti in assenza di adeguate misure di mitigazione. Identificare tempestivamente nuove vulnerabilità e ridurre al minimo il tempo necessario per l’applicazione degli aggiornamenti è di vitale importanza, oltre a rappresentare uno degli obblighi NIS 2.

 

 

I servizi di vulnerabilità di Vilocify vi consentono di proteggere l’infrastruttura attraverso informazioni dettagliate riguardo alle vulnerabilità presenti e avvisi personalizzati. SINEC Security Inspector esegue controlli nella rete per individuare potenziali vulnerabilità che potrebbero essere sfruttate per attacchi informatici. La gestione degli aggiornamenti ti assiste nell’amministrazione degli aggiornamenti critici dei prodotti Microsoft.

 

  • Gestisci facilmente e centralmente utenti, ruoli e diritti di accesso

Prevenire l’accesso non autorizzato a programmi utente, al sistema di automazione e ai dati durante le fasi di progettazione e manutenzione richiede una configurazione dei privilegi utente e della gestione dell’accesso. Spesso, la gestione degli utenti non è centralizzata durante l’ingegnerizzazione e soprattutto durante l’operatività, mentre gli accessi individuali devono rispecchiare i ruoli degli utenti, seppur generando ulteriore impegno per mantenere la coerenza e aggiornare i progetti in caso di modifiche degli utenti.

 

 

Implementare una gestione centralizzata degli utenti richiede solo pochi passaggi importando utenti e gruppi da Microsoft Active Directory al server UMC e collegando la stazione di ingegneria TIA Portal al server UMC. Importate poi utenti e gruppi dal server UMC a TIA Portal, e infine, assegnate diritti e ruoli a livello locale.

 

Ora che questo viaggio nel mondo delle tecnologie si è concluso, pensi di avere a disposizione le informazioni necessarie per attivarti in ambito NIS 2, e raggiungere gli obiettivi di conformità? Passa alla pratica: richiedi una consulenza preliminare.

 

 

Domande? Commenti?

 

Inviaci il tuo feedback

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Torna all'elenco degli articoli
Send this to a friend