EP05 | Mappare i requisiti NIS2 rispetto ai requisiti di sicurezza IEC 62443

Abbiamo già ampiamente discusso di come l'Unione Europea abbia applicato la sua Direttiva NIS2 per rispondere alle crescenti minacce poste dalla digitalizzazione e dall'ondata di attacchi informatici, nonché per migliorare le capacità di sicurezza informatica dei suoi stati membri e delle loro infrastrutture critiche a lungo termine.

La Direttiva NIS2 copre molteplici aree come la risposta agli incidenti, la sicurezza delle catene di fornitura e la responsabilità della leadership, descrivendo anche cosa deve essere raggiunto, sebbene non prescriva come si debbano raggiungere gli obiettivi.

Abbiamo anche visto che NIS2 non rappresenta l'unica forma di regolamentazione presente sul mercato. Per le infrastrutture critiche nello spazio della tecnologia operativa, il set di standard IEC 62443 aiuta i proprietari di asset a implementare il giusto set di controlli per proteggere le loro operazioni.

In questo articolo proveremo a mappare i requisiti NIS2 rispetto ai requisiti di sicurezza IEC 62443.

Introduzione allo standard IEC 62443

La IEC 62443 è una serie di standard internazionali che fornisce linee guida per la protezione dei sistemi di controllo industriale (ICS) e delle reti di tecnologia operativa (OT). Rappresenta un elemento chiave per l'Industria 4.0 e copre una vasta gamma di argomenti di sicurezza, tra cui la valutazione del rischio, le policy di sicurezza, la sicurezza di rete, il controllo degli accessi e la gestione degli incidenti.

Questi standard offrono un framework solido, che copre gli argomenti di valutazione del rischio, policy di sicurezza, architettura di rete, controllo degli accessi, risposta agli incidenti e test di sicurezza.

Gli standard IEC 62443 hanno ricevuto un notevole impulso nel novembre 2021, quando l'International Society of Automation (ISA) e l'ISA Global Cybersecurity Alliance (ISAGCA) hanno annunciato che la Commissione elettrotecnica internazionale (IEC) ha riconosciuto la serie di standard sulla sicurezza informatica industriale come dotata di capacità "orizzontale".

Perché la IEC 62443 è importante?

Lo standard IEC 62443 è fondamentale per gli ambienti industriali per diversi motivi:

• Maggiore necessità di sicurezza informatica: Nel mondo digitale odierno, la sicurezza informatica è vitale, soprattutto per i sistemi di controllo industriale (ICS) dove gli attacchi informatici possono causare gravi danni. La IEC 62443 fornisce una serie di best practice per affrontare queste problematiche.
• Volontario ma altamente raccomandato: Sebbene non obbligatoria, la conformità alla IEC 62443 è fortemente raccomandata per le organizzazioni che utilizzano tecnologie digitali in ambienti industriali. Seguire questi standard aiuta a proteggere e rafforzare gli IACS contro le minacce informatiche.
• Garantire la sicurezza e l'affidabilità: Proteggere gli IACS è essenziale per mantenere la sicurezza e l'affidabilità delle infrastrutture critiche. La IEC 62443 aiuta a raggiungere questo obiettivo promuovendo pratiche che minimizzano i rischi e garantiscono la continuità operativa.
• Affrontare le preoccupazioni di Industria 4.0: Industria 4.0 sottolinea l'importanza dell'integrazione delle tecnologie digitali nella produzione. Tuttavia, questi sistemi connessi sono vulnerabili agli attacchi informatici. La IEC 62443 fornisce un quadro per gestire questi rischi nel contesto degli IACS.
• Copertura completa della sicurezza: Gli standard coprono un'ampia gamma di argomenti di sicurezza, tra cui la valutazione del rischio, le policy di sicurezza, la sicurezza di rete, la progettazione del sistema e il monitoraggio e la manutenzione continui.

Lo standard IEC 62443 più rilevante per la direttiva UE NIS è IEC 62443-2-1 requisiti del programma di sicurezza per i proprietari di asset IACS. Questo standard fornisce linee guida per stabilire un approccio sistematico per mantenere i sistemi di controllo e automazione industriale. Ciò include aspetti quali valutazione del rischio, policy, misure di sicurezza e un meccanismo di revisione per salvaguardare le infrastrutture critiche dagli attacchi informatici.

Linee guida IEC 62443-2-1 per l'implementazione dei requisiti NIS2

Esaminando la norma IEC 62443, possiamo osservare numerose indicazioni per l'implementazione delle misure di gestione dei rischi per la sicurezza informatica richieste da NIS2.

Prepararsi nei tempi e nei modi corretti - Ask to CyberRabbit

CyberRabbit , divisione di Logos Technologies dedicata alla consulenza in cybersecurity, ha come missione quella di aumentare la consapevolezza delle minacce derivanti dalle vulnerabilità di sistemi informativi, con un approccio consulenziale ed evolutivo nel tempo secondo le direttive del framework NIST, in grado di creare un percorso di adozione tecnologica per la previsione, il ripristino e la prevenzione rispetto a minacce informatiche di diversa origine.

Sei interessato a valutare la Security Posture per la tua azienda e scoprire quando sei vicino all'adeguamento alla Direttiva Europea? Scrivici per scoprire il tuo percorso di adeguamento alla normativa.

#NIS2 #IEC62443 #OT