Nella terza parte, vedremo in maggiore dettaglio in che modo queste leggi e regolamenti possono migliorare la resilienza, limitando l’impatto degli incidenti di sicurezza e rafforzando il processo di risposta.
La crescente convergenza e interconnessione tra Information Technology (IT) e Operational Technology (OT) ha innalzato la suscettibilità dell’OT alle minacce informatiche. Questo è particolarmente evidente nell’industria degli alimenti e delle bevande, che è sempre più spesso oggetto di gravi attacchi con ransomware capaci di interrompere le operazioni di produzione e trasporto. Queste interruzioni riguardano anche l’elaborazione degli ordini dei clienti, con conseguenti perdite finanziarie significative e potenziali danni reputazionali. La situazione evidenzia l’esigenza critica di robuste misure di cibersicurezza in questa era di trasformazione digitale.
Ecco come le nuove leggi e i nuovi regolamenti europei affronteranno queste sfide:
NIS2 – Aumento della collaborazione per una migliore risposta agli incidenti globali
La Direttiva NIS2 delinea un quadro normativo per la collaborazione e l’assistenza tra le autorità nazionali e la UE, ma anche tra settore pubblico e privato. La direttiva prevede la segnalazione degli incidenti significativi alle autorità competenti e la condivisione delle informazioni con gli altri soggetti dello stesso settore o di altri Paesi, per facilitare risposte tempestive ed efficaci e mitigare le potenziali conseguenze degli incidenti sulla salute pubblica, la sicurezza e l’ambiente.
Regolamento sulla ciberresilienza – Sicurezza “by design” e gestione delle vulnerabilità su scala
Il Regolamento sulla ciberresilienza (CRA) intende rafforzare l’assetto di cibersicurezza dei prodotti con elementi digitali (PDE) nell’Unione europea. Il CRA impone ai produttori di implementare una serie di requisiti essenziali di cibersicurezza durante le fasi di progettazione e sviluppo al fine di ridurre la probabilità e l’impatto degli incidenti di sicurezza. I produttori sono tenuti a segnalare tempestivamente ai clienti le vulnerabilità identificate e gli incidenti gravi di cibersicurezza, agevolando una risposta e una mitigazione più rapide degli incidenti e limitando il potenziale danno.
Direttiva macchine – Requisiti di cibersicurezza
Poiché tutte le macchine collegate alle reti dati sono suscettibili di attacchi informatici a carico della sicurezza operativa, il nuovo Regolamento sulle macchine (UE) 2023/1230 introduce nuovi requisiti di sicurezza per proteggere i sistemi dai tentativi di corruzione e attacco di terze parti, assicurando il mantenimento dell’integrità dei sistemi e riducendo quindi il rischio di situazioni pericolose derivanti dalla corruzione.
Non perdere la quarta parte in cui esploreremo alcune buone pratiche e raccomandazioni per la conformità ai nuovi regolamenti.