Il vostro software OT è un rischio? Ecco come capirlo

La vostra strategia di cybersecurity OT include aggiornamenti software e hardware di routine? In caso contrario, potreste rischiare una multa di EUR 10.000.000,00 o il 2 % del fatturato annuo globale¹.

Perché? Semplice. Entro ottobre 2024, tutti gli Stati membri dell'UE devono aver recepito la Network and Information Security Directive (NIS2) dell’UE. E la nuova direttiva prevede multe di EUR 10.000.000,00 o del 2 % del fatturato annuo globale per le organizzazioni che violano le sue regole. Una di queste regole stabilisce chiaramente che le organizzazioni soggette alla direttiva devono avere politiche di cybersecurity che includano: 

“…politiche di igiene informatica che comprendono un insieme di pratiche di base comuni, tra cui aggiornamenti software e hardware…”

La direttiva aggiornata copre un numero di organizzazioni maggiore rispetto al passato, includendo settori completamente nuovi come telecomunicazioni, chimica, acque reflue e alimenti, tutti considerati “essenziali” o “importanti” per la sicurezza e la vita economica dell’UE. L’articolo 7 della NIS2 rafforza ulteriormente il fatto che un numero maggiore di organizzazioni sarà interessato dalla nuova direttiva: 

“La strategia nazionale per la cybersecurity deve includere il rafforzamento della resilienza informatica e della base di igiene informatica delle piccole e medie imprese, in particolare di quelle escluse dall’ambito di applicazione della presente direttiva…”

Conclusione? Quasi tutte le organizzazioni che gestiscono OT nell’UE devono iniziare a pensare ora a come adeguarsi alla NIS2 o rischiare le conseguenze di una violazione.  

Perché gli aggiornamenti software sono un rischio secondo la NIS2? 

Le organizzazioni OT, siano esse produttori o fornitori di infrastrutture, spesso hanno centinaia o addirittura migliaia di dispositivi in sede. Un recente rapporto di McKinsey ha stimato che alcune installazioni energetiche hanno fino a 30000 dispositivi connessi².

Molti di questi dispositivi possono anche contenere componenti intelligenti e connessi, tra cui convertitori di frequenza, switch industriali, controllori programmabili, PC industriali e così via. Tutti questi componenti possono avere anche il proprio software e hardware.

Anche le installazioni più piccole, comprese quelle con ambienti di produzione relativamente piccoli, possono avere centinaia di dispositivi OT, non mappati e non gestiti. E se anche solo uno di questi dispositivi utilizza un software obsoleto e ciò porta a una violazione dei dati, a un’interruzione operativa o ad un altro problema significativo, si tratta di una potenziale violazione della NIS2 e di una conseguente sanzione.

Come mitigare i rischi e restare conformi alla NIS2

Il modo più semplice per mitigare il rischio derivante da software obsoleti è collaborare con uno specialista IT di cybersecurity. Il modo migliore per farlo è sottoscrivere un abbonamento che includa manutenzione e aggiornamenti.

Con il giusto abbonamento di manutenzione, ottieni:

• Accesso immediato e installazione push degli ultimi aggiornamenti software e firmware, che aiuta a monitorare il panorama dinamico delle minacce di cybersecurity OT. L’accesso immediato agli ultimi aggiornamenti software e firmware è fondamentale perché aiuta a garantire che patch di sicurezza e miglioramenti vengano applicati non appena disponibili. Questa tempestività può ridurre significativamente la finestra di opportunità per gli attaccanti di sfruttare vulnerabilità note. L’installazione push semplifica ulteriormente questo processo automatizzando la distribuzione degli aggiornamenti, confermando che tutti i dispositivi all’interno dell’ambiente OT mantengano la massima strategia di sicurezza OT senza richiedere interventi manuali. 
• Supporto da parte di ingegneri e consulenti di sicurezza leader del settore: la complessità e specificità dei sistemi OT richiede un elevato livello di competenza per affrontare le loro sfide di sicurezza uniche. L’accesso a ingegneri e consulenti di sicurezza OT leader del settore offre alle organizzazioni una vasta esperienza e conoscenza su cui fare affidamento. Questi esperti possono offrire consulenza su misura, dalla pianificazione strategica alla risposta agli incidenti, aiutando a garantire che le misure di sicurezza siano non solo conformi alla Network and Information Security Directive NIS2, ma anche allineate alle best practice e alle ultime ricerche del settore. Il loro supporto può essere determinante nell’identificare potenziali vulnerabilità, raccomandare strategie di mitigazione e migliorare la resilienza complessiva degli ambienti OT contro le minacce informatiche.
• Strumenti che rendono facile e veloce individuare e mettere in sicurezza tutti i dispositivi: questi strumenti permettono alle organizzazioni di mantenere un inventario aggiornato degli asset OT, monitorarne lo stato in tempo reale e identificare rapidamente eventuali irregolarità che potrebbero indicare una violazione della sicurezza. Semplificando il processo di messa in sicurezza dei dispositivi OT, questi strumenti non solo migliorano l’efficienza operativa, ma confermano anche che tutti i componenti e le apparecchiature, indipendentemente dal loro ruolo o posizione nella rete, siano adeguatamente protetti. 

Per prepararvi alla NIS2, il giusto consulente OT/IT vi aiuterà a eseguire un audit della vostra rete per individuare eventuali rischi hardware, firmware o software. Successivamente collaborerà con voi per colmare queste lacune, documentare il vostro lavoro di sicurezza e conformità e portarvi in regola con la NIS2. 

Rockwell Automation è uno dei principali fornitori di servizi di sicurezza OT, conformità e gestione dei rischi sul mercato. I nostri specialisti, consulenti e ingegneri dispongono degli strumenti, dell’esperienza e della tecnologia necessari per aiutarvi a prepararvi alla NIS2. Questo include tutto, dalla formulazione di policy e procedure conformi, alla rapida individuazione e aggiornamento di software e firmware obsoleti a livello di rete, fino al rafforzamento e alla documentazione della vostra strategia di sicurezza OT per la conformità alla NIS2. 

Per scoprire come Rockwell Automation può supportare la vostra igiene informatica, mantenendo aggiornati software e firmware e affrontando i numerosi altri aspetti del rafforzamento della vostra strategia di sicurezza OT in preparazione alla NIS2, contattateci subito.

Prenotate oggi stesso la vostra consulenza gratuita!

¹https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

²https://www.mckinsey.com/mgi/overview/in-the-news/by-2025-internet-of-things-applications-could-have-11-trillion-impact