Cybersecurity nelle Imprese: Dal corretto Assetto Organizzativo alle Nuove Normative CRA, Nis2, Regolamento Macchine
Fedele Maniglio - M.ake Global | Maniglio & Partners
Francesco Bertoni, M.ake Global Maniglio & Partners
Giulia Favaretto, M.ake Global Maniglio & Partners
Giulia Favaretto, M.ake Global Maniglio & Partners
Nel corso della presentazione sono illustrate le nuove Normative Cyber Resilience Act (CRA), Nis2,Regolamento Macchine.
Perché la Cybersecurity è una Priorità Organizzativa?
Crescita delle minacce: 2023: aumento del 38% degli attacchi informatici globali rispetto al 2022. (Fonte: Check Point Research)
Settori più colpiti: manifatturiero, sanitario, finanziario.
Costo delle violazioni: Costo medio di una violazione: 4,45 milioni di dollari. (Fonte: IBM Security Cost of a Data Breach Report 2023).
Dati sullo stato attuale:
Solo il 22% delle aziende europee considera la Cybersecurity una priorità culturale. (Fonte: ENISA, 2023)
80% degli incidenti sono causati da errori umani. (Fonte: Verizon DBIR 2023)
Errori comuni:
- Uso di password deboli o condivise.
- Mancanza di formazione specifica per i dipendenti.
Impatti sul Modello di Business Aziendale
Il Cyber Resilience Act (CRA), approvato con Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, già pubblicato in Gazzetta Ufficiale Europea, ha come obiettivo l'aumento della sicurezza informatica dei prodotti connessi a internet e dei servizi digitali all'interno dell'Unione Europea.
1. Entrata in vigore: 11.12.2027
2. Applicabilità:
- Prodotti hardware e software connessi alla rete, come dispositivi IoT (Internet of Things), applicazioni e sistemi che possano essere vulnerabili a minacce informatiche.
- Fornitori di servizi digitali che gestiscono infrastrutture cruciali per i mercati digitali.
Il nuovo Regolamento macchine (UE) 2023/1230
Il nuovo Regolamento macchine (UE) 2023/1230 modifica la direttiva macchine 2006/42/CE, richiedendo che vengano tenuti in considerazione anche i rischi provocati da attacchi informatici.
1. Entrata in vigore: gennaio 2027
2. Applicabilità:
- macchine
- macchine alle quali manca solamente il caricamento di software. componenti di sicurezza fisici e digitali, tra cui rientrano anche i software che svolgono una funzione di sicurezza e sono immessi in maniera indipendente sul mercato (cons. 20)
- mezzi di trasporto su strada che non sono ancora contemplati da un atto giuridico specifico dell'Unione.
- quasi macchine
Per affrontare i rischi provocati da attacchi informatici, il nuovo Regolamento macchine prevede un requisito essenziale di sicurezza e di tutela della salute (requisito 1.1.9) e requisiti riguardanti la sicurezza informatica delle macchine (requisito 1.2.1)
DIRETTIVA NIS 2
Direttiva dell'Unione Europea, che mira a migliorare la sicurezza delle reti e dei sistemi informativi all'interno degli Stati membri, aggiornando e rafforzando la precedente direttiva NIS (direttiva 2016/1148/UE).
1. Entrata in vigore: 18.10.2024.
2. Applicabilità
- Operatori di servizi essenziali (OES), come i settori dell'energia, dei trasporti, della salute, dell'approvvigionamento idrico, ecc.
- Fornitori di servizi digitali (DSP), tra cui piattaforme online, motori di ricerca, servizi cloud, etc.
- Nuovi settori: Include ora anche la gestione delle infrastrutture tecnologiche più moderne e strategiche, come i fornitori di servizi digitali ad alta capacità e i servizi di comunicazione.
Si applica alle grandi imprese (con un numero di dipendenti sopra una certa soglia) e, in alcuni casi,
alle medie imprese che operano in settori particolarmente sensibili.
Disposizioni principali
· Rafforzamento della sicurezza delle reti e dei sistemi informativi:
· Obbligo di reporting
· Gestione dei rischi
· Sanzioni più severe
· Migliore cooperazione tra Stati membri
· Responsabilità e governance
· Catene di fornitura
Attenzione: Aumento delle responsabilità per i dirigenti: I vertici aziendali sono ritenuti responsabili in prima persona per la sicurezza delle reti e dei sistemi informativi, inclusi gli incidenti.
Crescita delle minacce: 2023: aumento del 38% degli attacchi informatici globali rispetto al 2022. (Fonte: Check Point Research)
Settori più colpiti: manifatturiero, sanitario, finanziario.
Costo delle violazioni: Costo medio di una violazione: 4,45 milioni di dollari. (Fonte: IBM Security Cost of a Data Breach Report 2023).
Dati sullo stato attuale:
Solo il 22% delle aziende europee considera la Cybersecurity una priorità culturale. (Fonte: ENISA, 2023)
80% degli incidenti sono causati da errori umani. (Fonte: Verizon DBIR 2023)
Errori comuni:
- Uso di password deboli o condivise.
- Mancanza di formazione specifica per i dipendenti.
Impatti sul Modello di Business Aziendale
Il Cyber Resilience Act (CRA), approvato con Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, già pubblicato in Gazzetta Ufficiale Europea, ha come obiettivo l'aumento della sicurezza informatica dei prodotti connessi a internet e dei servizi digitali all'interno dell'Unione Europea.
1. Entrata in vigore: 11.12.2027
2. Applicabilità:
- Prodotti hardware e software connessi alla rete, come dispositivi IoT (Internet of Things), applicazioni e sistemi che possano essere vulnerabili a minacce informatiche.
- Fornitori di servizi digitali che gestiscono infrastrutture cruciali per i mercati digitali.
Il nuovo Regolamento macchine (UE) 2023/1230
Il nuovo Regolamento macchine (UE) 2023/1230 modifica la direttiva macchine 2006/42/CE, richiedendo che vengano tenuti in considerazione anche i rischi provocati da attacchi informatici.
1. Entrata in vigore: gennaio 2027
2. Applicabilità:
- macchine
- macchine alle quali manca solamente il caricamento di software. componenti di sicurezza fisici e digitali, tra cui rientrano anche i software che svolgono una funzione di sicurezza e sono immessi in maniera indipendente sul mercato (cons. 20)
- mezzi di trasporto su strada che non sono ancora contemplati da un atto giuridico specifico dell'Unione.
- quasi macchine
Per affrontare i rischi provocati da attacchi informatici, il nuovo Regolamento macchine prevede un requisito essenziale di sicurezza e di tutela della salute (requisito 1.1.9) e requisiti riguardanti la sicurezza informatica delle macchine (requisito 1.2.1)
DIRETTIVA NIS 2
Direttiva dell'Unione Europea, che mira a migliorare la sicurezza delle reti e dei sistemi informativi all'interno degli Stati membri, aggiornando e rafforzando la precedente direttiva NIS (direttiva 2016/1148/UE).
1. Entrata in vigore: 18.10.2024.
2. Applicabilità
- Operatori di servizi essenziali (OES), come i settori dell'energia, dei trasporti, della salute, dell'approvvigionamento idrico, ecc.
- Fornitori di servizi digitali (DSP), tra cui piattaforme online, motori di ricerca, servizi cloud, etc.
- Nuovi settori: Include ora anche la gestione delle infrastrutture tecnologiche più moderne e strategiche, come i fornitori di servizi digitali ad alta capacità e i servizi di comunicazione.
Si applica alle grandi imprese (con un numero di dipendenti sopra una certa soglia) e, in alcuni casi,
alle medie imprese che operano in settori particolarmente sensibili.
Disposizioni principali
· Rafforzamento della sicurezza delle reti e dei sistemi informativi:
· Obbligo di reporting
· Gestione dei rischi
· Sanzioni più severe
· Migliore cooperazione tra Stati membri
· Responsabilità e governance
· Catene di fornitura
Attenzione: Aumento delle responsabilità per i dirigenti: I vertici aziendali sono ritenuti responsabili in prima persona per la sicurezza delle reti e dei sistemi informativi, inclusi gli incidenti.
Leggi tutto
Fonte: mcT Cyber Security Industriale novembre 2024 L'importanza della cybersicurezza OT negli impianti di processo (e non solo)
Settori: Automazione industriale, Cyber Security, Industria 4.0, Industria di processo, Normativa Tecnica, Sicurezza industriale
Mercati: Industria di Processo, Sicurezza industriale
Parole chiave: Cyber security, Industria di processo, OT Operational technology, Regolamento macchine, Sicurezza industriale
- Matteo Marconi