Tempo di lettura: 5 minuti Difficoltà: AdvancedLa norma volontaria IEC 62443 è un framework per l’applicazione della Direttiva NIS 2, perché offre un insieme di strumenti pratici e specifici che aiutano a implementare le misure di sicurezza richieste dalla Direttiva NIS 2. Vediamo come.
La norma volontaria IEC 62443 è un framework per l’applicazione della Direttiva NIS 2, perché offre un insieme di strumenti pratici e specifici che aiutano a implementare le misure di sicurezza richieste dalla Direttiva NIS 2. Vediamo come.
Sinergia e complementarietà
Nonostante le due normative operino su livelli e contesti diversi, lo standard internazionale IEC 62443 (specifico per i sistemi di automazione e controllo industriale) aiuta a tradurre in azioni concrete e tecnicamente dettagliate i requisiti generali della Direttiva NIS 2, sviluppata per proteggere le reti e i sistemi informativi dei settori critici in Europa.
Infatti, poiché molti dei settori coperti dalla NIS 2, come energia, trasporti e manifatturiero, utilizzano ampiamente sistemi di controllo industriale, IEC 62443 può essere la soluzione per soddisfare i requisiti di sicurezza imposti dalla NIS 2 in questi settori specifici.
Ciò rappresenta una guida pratica per le organizzazioni che operano in settori critici e che devono proteggere i loro sistemi da minacce informatiche, con obbligatorietà a partire da ottobre 2024. Continua a leggere l’articolo per conoscere i dettagli.
Hai bisogno di maggiori informazioni su come soddisfare i requisiti NIS 2?
Principali integrazioni
Come detto, la sinergia fra le due norme permette alle organizzazioni di garantire la conformità dei sistemi industriali, migliorando al contempo la business continuity dei servizi essenziali.
Nella pratica siamo in presenza di:
1) Allineamento degli obiettivi di sicurezza dettati dalle due norme, allo scopo di migliorare la resilienza complessiva contro le minacce cyber
2) Approccio strutturato alla gestione del rischio, dove le best practices IEC 62443 rappresentano il riferimento assoluto per ogni azienda che intenda approcciarsi correttamente al Cybersecurity Risk Assessment
3) Integrazione nei processi di conformità, dove i processi di audit e certificazione secondo gli schemi IEC 62443 possono dimostrare la conformità con i requisiti NIS 2, se inseriti in un programma di cybersecurity complessivo
Vuoi saperne di più sulle opzioni di valutazione e certificazione secondo gli schemi IEC 62443?
Punti di implementazione specifici NIS 2
Per soddisfare i requisiti NIS 2 elencati all’Articolo 21, comma 2, in definitiva possiamo fare riferimento alla parte 2-1 dello standard IEC (ossia IEC 62443-2-1).
Di seguito trovi elencati i primi punti dai quali partire per adempiere ai requisiti richiesti dalla Direttiva Europea attraverso le best practices IEC 62443.
1) Politiche di analisi dei rischi e di sicurezza dei sistemi informatici
Obiettivo NIS 2: adottare misure proporzionate ai rischi che devono essere valutati in relazione al servizio essenziale, per implementare un approccio “Risk Based”.
Riferimenti IEC 62443-2-1:
• 4.2.2 Business Rationale
• 4.2.3 Risk identification, classification and assessment
• 4.3.2.3 Organizing for security
• 4.3.2.6 Security policies and procedures
• 4.3.4.2 Risk management and implementation
• 4.3.4.3 System development and maintenance
• 4.4.3 Review, improve and maintain the Cyber Security Management System
2) Gestione degli incidenti, procedure e strumenti per la notifica
Obiettivo NIS 2: adottare un piano per il contenimento di eventuali incidenti coordinandosi con le autorità preposte.
Riferimenti IEC 62443-2-1:
• 4.3.4.5 Incident planning and response
3) Continuità operativa, gestione del backup in caso di disastro
Obiettivo NIS 2: avere un piano per riprendere al meglio l’erogazione del servizio.
Riferimenti IEC 62443-2-1:
• 4.3.2.5 Business Continuity Plan
4) Sicurezza della supply chain
Obiettivo NIS 2: gestire in sicurezza la catena dei fornitori per minimizzare il rischio di attacco.
Riferimenti IEC 62443-2-1:
• 4.3.2.2 Cyber Security Management System scope
• 4.3.2.3 Organizing for security
• 4.3.2.6 Security policies and procedures
• 4.3.4.3 System development and maintenance
• 4.4.3 Review, improve and maintain the Cyber Security Management System
5) Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi, compresa la gestione e la divulgazione delle vulnerabilità
Obiettivo NIS 2: gestione della sicurezza nel cambiamento, gestione delle vulnerabilità e aggiornamento dei sistemi.
Riferimenti IEC 62443-2-1:
• 4.2.3 Risk identification, classification and assessment
• 4.3.2.2 Cyber Security Management System scope
• 4.3.2.6 Security policies and procedures
• 4.3.4.3 System development and maintenance.
• 4.4.3 Review, improve and maintain the Cyber Security Management System
Tanti altri requisiti popolano le richieste della Direttiva NIS 2, in merito, per esempio, alle procedure per la gestione dei rischi, alla formazione del personale e alle politiche attuate per la crittografia, la cifratura, il controllo degli accessi e l’autenticazione; con altrettanti riferimenti in IEC 62443 che possono aiutarvi a soddisfare consapevolmente i requisiti di conformità attraverso analisi, training e piani di formazione mirati.
Possiamo affiancare la tua organizzazione nel percorso di avanzamento delle pratiche di cybersecurity con servizi che vanno dritti all’obiettivo. Dai un’occhiata.
Per attivarti subito, e proteggere le infrastrutture dagli attacchi cyber
Torna all'elenco degli articoli