Industrial Cyber Securitye: lo scenario nazionale ed internazionale. Direttive, regolamenti e norme. Cosa cambia per l'industria 4.0?
Federico Turrin - AC&E
I Sistemi di Controllo industriale nell'Industria 5.0
La direttiva NIS 2
I Sistemi di Controllo industriale nell'Industria 5.0
Industria 1.0 (1800)
Meccanizzazione, Acqua e Vapore
Industria 2.0 (1900)
Produzione di massa, energia elettrica, catena di montaggio
Industria 3.0 (2000)
Computer, Produzione automatizzata, Elettronica
Industria 4.0 (2010 - oggi)
Sistemi Cyber-Fisici, IoT, Networking, Machine Learning
Industria 5.0 (oggi - domani)
Collaborazione uomo-robot, sistemi cognitivi, personalizzazione
NIS 2
Direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, Network and Information Systems.
È una Direttiva Europea (EU) 2022/2555
L'Italia ha recepito la direttiva NIS2 con il Decreto Legislativo n. 138 del 1° ottobre 2024, che è entrato in vigore il 16 ottobre 2024
Sostituisce la precedente NIS 1 approvata nel 2016 dall'UE (Direttiva UE 2016/1148) e recepita in Italia nel 2018.
Obiettivo: aumentare la sicurezza informatica in settori strategici contro i cyber attacchi.
Ambito di applicazione esteso
- Settori non inclusi dalla NIS1
- Prevalentemente a medie e grandi imprese (non si applica a piccole e micro salvo eccezioni)
Servizi Essenziali
- Settore Energetico (elettrico oil&gas, riscaldamento)
- Settore sanitario
- Trasporti (aereo, nautico, ferroviario, stradale)
- Acque
- Infrastrutture digitali (e-commerce, cloud)
- Settore spaziale
- Pubblica amministrazione
Servizi Importanti
- Servizi postali e di corriere;
- Gestione/trattamento dei rifiuti;
- Settore chimico (produzione e distribuzione)
- Settore alimentare (produzione, distribuzione)
- Industrie tecnologiche ed ingegneristiche (dispositivi medici, Elettronica/ottica, macchinari e apparecchiature, autoveicoli/trasporto)
- Servizi digitali (social network e data center)
- Ricerca scientifica
Supervisione autorità e sanzioni per operatori dei servizi Essenziali e Critici
- Rimuovere differenze tra i vari Stati Membri EU
- Misure di sicurezza tra cui
Gli obblighi di cybersecurity devono coinvolgere interamente tutta la supply chain (i.e., fornitori)
- Adozione di maggior misure di sicurezza(e.g., crittografia, MFA)
- Audit e test di Cybersecurity periodici
- Policy gestione Risorse umane (e.g., Educazione, Procedure) e risorse Hardware (e.g., Inventario)
- Policy tra cui analisi di rischio e information system
- Gestione Incidenti Cyber: maggiori obblighi di segnalazione di incidenti cyber
- Adozione di misure di business continuity, disaster recovery, e crise management
- Controllo Accessi digitali (e.g., MFA, logging) e Accesso Fisico (e.g., Perimetro)
Supervisione autorità e sanzioni
Le autorità vigileranno sui soggetti che rientrano nell'ambito di applicazione NIS2
Servizi Essenziali
- Gli obblighi di vigilanza sono principalmente ex-ante: le autorità possono effettuare ispezioni, audit, richieste, d'accesso ai dati, etc...
- Sanzione da Euro 10.000.000 fino al 2% del fatturato annuo globale
Servizi Importanti
- Gli obblighi di vigilanza sono principalmente ex-post: le autorità possono esercitare i loro poteri solo quando hanno un motivo per pensare (e.g., una prova, indicazione) che ci siano inadempimenti
- Sanzione da Euro 7.000.000 fino al 1,4% del fatturato annuo globale
Qual è lo stato attuale?
Continua nel PDF
Industria 1.0 (1800)
Meccanizzazione, Acqua e Vapore
Industria 2.0 (1900)
Produzione di massa, energia elettrica, catena di montaggio
Industria 3.0 (2000)
Computer, Produzione automatizzata, Elettronica
Industria 4.0 (2010 - oggi)
Sistemi Cyber-Fisici, IoT, Networking, Machine Learning
Industria 5.0 (oggi - domani)
Collaborazione uomo-robot, sistemi cognitivi, personalizzazione
NIS 2
Direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, Network and Information Systems.
È una Direttiva Europea (EU) 2022/2555
L'Italia ha recepito la direttiva NIS2 con il Decreto Legislativo n. 138 del 1° ottobre 2024, che è entrato in vigore il 16 ottobre 2024
Sostituisce la precedente NIS 1 approvata nel 2016 dall'UE (Direttiva UE 2016/1148) e recepita in Italia nel 2018.
Obiettivo: aumentare la sicurezza informatica in settori strategici contro i cyber attacchi.
Ambito di applicazione esteso
- Settori non inclusi dalla NIS1
- Prevalentemente a medie e grandi imprese (non si applica a piccole e micro salvo eccezioni)
Servizi Essenziali
- Settore Energetico (elettrico oil&gas, riscaldamento)
- Settore sanitario
- Trasporti (aereo, nautico, ferroviario, stradale)
- Acque
- Infrastrutture digitali (e-commerce, cloud)
- Settore spaziale
- Pubblica amministrazione
Servizi Importanti
- Servizi postali e di corriere;
- Gestione/trattamento dei rifiuti;
- Settore chimico (produzione e distribuzione)
- Settore alimentare (produzione, distribuzione)
- Industrie tecnologiche ed ingegneristiche (dispositivi medici, Elettronica/ottica, macchinari e apparecchiature, autoveicoli/trasporto)
- Servizi digitali (social network e data center)
- Ricerca scientifica
Supervisione autorità e sanzioni per operatori dei servizi Essenziali e Critici
- Rimuovere differenze tra i vari Stati Membri EU
- Misure di sicurezza tra cui
Gli obblighi di cybersecurity devono coinvolgere interamente tutta la supply chain (i.e., fornitori)
- Adozione di maggior misure di sicurezza(e.g., crittografia, MFA)
- Audit e test di Cybersecurity periodici
- Policy gestione Risorse umane (e.g., Educazione, Procedure) e risorse Hardware (e.g., Inventario)
- Policy tra cui analisi di rischio e information system
- Gestione Incidenti Cyber: maggiori obblighi di segnalazione di incidenti cyber
- Adozione di misure di business continuity, disaster recovery, e crise management
- Controllo Accessi digitali (e.g., MFA, logging) e Accesso Fisico (e.g., Perimetro)
Supervisione autorità e sanzioni
Le autorità vigileranno sui soggetti che rientrano nell'ambito di applicazione NIS2
Servizi Essenziali
- Gli obblighi di vigilanza sono principalmente ex-ante: le autorità possono effettuare ispezioni, audit, richieste, d'accesso ai dati, etc...
- Sanzione da Euro 10.000.000 fino al 2% del fatturato annuo globale
Servizi Importanti
- Gli obblighi di vigilanza sono principalmente ex-post: le autorità possono esercitare i loro poteri solo quando hanno un motivo per pensare (e.g., una prova, indicazione) che ci siano inadempimenti
- Sanzione da Euro 7.000.000 fino al 1,4% del fatturato annuo globale
Qual è lo stato attuale?
Continua nel PDF
Leggi tutto
Fonte: mcT Cyber Security Industriale novembre 2024 L'importanza della cybersicurezza OT negli impianti di processo (e non solo)
Settori: Automazione industriale, Cyber Security, Industria 4.0, Industria di processo, Normativa Tecnica, Robot, Sicurezza industriale, Sistemi di controllo
Mercati: Industria di Processo, Sicurezza industriale
Parole chiave: Cyber security, Industria 4.0, Industria di processo, OT Operational technology, Sicurezza industriale, Sistemi di controllo, Transizione 5.0
- UNI Ente Nazionale Italiano di Normazione
- Emanuele Goldoni
- Luca Tiozzo Netti
- Gerardo Galdi