Vuoi sviluppare nuovi processi?
Ti aiutiamo a sviluppare un processo di vulnerability management su misura per la tua azienda. Apposito per i tuoi sistemi, strutture ed esigenze.
Tempo di lettura: 8 min
Non esiste una definizione legale univoca di cyber resilience, ma il termine si riferisce generalmente alla capacità di un’azienda di resistere agli attacchi informatici e di prepararsi a eventuali guasti di componenti critici.
Come sottolineato dal BSI (l’Ufficio Federale tedesco per la Sicurezza Informatica) nella sua relazione di gestione 2022, la criminalità informatica è oggi una delle principali minacce per le aziende. Per il successo e la continuità aziendale, è fondamentale affrontare questi rischi con un approccio strategico e costruire una cyber resilienza adeguata.
A livello europeo, per rafforzare la capacità di resistere agli attacchi informatici, l’UE ha introdotto il Cyber Resilience Act (CRA) e la direttiva NIS2, che mirano a creare un quadro normativo solido per garantire la sicurezza e la resilienza digitale.
Da 15 anni aiutiamo i nostri clienti a raggiungere i migliori standard di sicurezza possibili. Consideriamo la nuova normazione del Cyber Resilience Act come un’opportunità e siamo lieti di aiutare i nostri clienti a utilizzarla per una sicurezza ancora maggiore.
Ti aiutiamo a sviluppare un processo di vulnerability management su misura per la tua azienda. Apposito per i tuoi sistemi, strutture ed esigenze.
OPENVAS BASIC
La nostra soluzione entry-level a 2.524 € l’anno
Il Cyber Resilience Act (CRA), introdotto dalla Commissione europea, stabilisce nuovi requisiti di sicurezza vincolanti per i prodotti con elementi digitali. Questi requisiti si applicano sia ai prodotti destinati ai consumatori finali, sia a quelli utilizzati nelle aziende, inclusi i componenti acquistati e integrati nelle catene di approvvigionamento e nei processi produttivi. Il CRA include una serie di misure progettate per migliorare la sicurezza informatica dei prodotti digitali, garantendo maggiore protezione contro le minacce informatiche.
Le nuove normative europee sulla cybersicurezza, come il Cyber Resilience Act e la direttiva NIS2, NIS-2 possono inizialmente sembrare complesse per le aziende. Tuttavia, rappresentano strumenti fondamentali per difendersi in modo efficace dagli attacchi informatici e per costruire una strategia di sicurezza più solida.
La Commissione europea propone di stabilire misure di cybersicurezza adeguate al rischio per i suddetti prodotti nelle fasi di progettazione, sviluppo e produzione, nonché durante l’immissione sul mercato e l’uso.
A tal proposito la Commissione europea distingue in base alla criticità dei prodotti:
La Commissione europea stima che circa il 90% dei prodotti rientrerà nella categoria dei prodotti non critici. I produttori e i distributori che commerciano prodotti critici saranno soggetti a requisiti più severi, in particolare per quanto riguarda la valutazione della conformità, che si basa su norme armonizzate dell’UE. La conformità alle norme è indicata dalla marcatura CE apposta sul prodotto, con le autorità nazionali di vigilanza del mercato che ne vigilano la corretta attuazione.
Il CRA definisce i requisiti di sicurezza nel ciclo di vita:
I fornitori di prodotti devono mettere a disposizione:
Il Cyber Resilience Act invita le aziende a effettuare regolarmente, in modo permanente e sostenibile, analisi delle vulnerabilità e audit esterni. Possiamo venire incontro alle tue esigenze. La serie di prodotti del Greenbone Vulnerability Management, OPENVAS SCAN, consentono la conformità con il CRA – on premise o dal cloud.
La direttiva NIS 2, una parte importante della strategia digitale dell’UE “Shaping Europe’s Digital Future”, mira ad aumentare la sicurezza informatica in tutta Europa. Ha l’obiettivo di proteggere meglio le organizzazioni e le infrastrutture critiche dalle minacce informatiche e di garantire un elevato livello di sicurezza in tutta l’UE. La direttiva è entrata in vigore il 16 gennaio 2023 e gli Stati membri dell’UE hanno tempo fino al 17 ottobre 2024 per recepire le disposizioni nelle rispettive legislazioni nazionali.
Settori “Essenziali/Essenziali” (molto critici) e Settori “Importanti/Importanti” (altri critici).
Settori come l’energia, i trasporti, la finanza, la sanità, le infrastrutture digitali e la pubblica amministrazione rientrano nella prima categoria, mentre la seconda categoria comprende l’industria manifatturiera, i servizi postali, la chimica e altro ancora.
Le aziende all’interno di questi settori che rientrano nell’ambito di applicazione della direttiva sono determinate dalle leggi dei singoli paesi.
La direttiva NIS 2 comporta nuove responsabilità per le aziende interessate. È necessario segnalare gli incidenti di cybersicurezza alle autorità in base a determinati criteri:
Le aziende devono anche perseguire una gestione attiva del rischio e rispettare gli standard per la sicurezza della rete e del sistema, la gestione degli incidenti, la gestione delle crisi, le catene di approvvigionamento sicure e la gestione patrimoniale. I meccanismi di protezione e le tecnologie utilizzate devono essere aggiornati. I paesi potrebbero persino introdurre obblighi di certificazione per dimostrare la conformità alle normative.
In Germania, la direttiva NIS 2 porta ad adeguamenti dell’attuale legge sulla sicurezza informatica 2.0 o ad una possibile nuova legge. Gli operatori tedeschi di KRITIS con un sistema di gestione della sicurezza delle informazioni (ISMS) consolidato e una tecnologia di cybersicurezza affidabile sono ben preparati e probabilmente necessitano solo di piccoli adeguamenti. Questa direttiva crea le condizioni per un panorama della cybersicurezza più robusto in tutti i settori.
Il Parlamento europeo e il Consiglio stanno esaminando la proposta di Cyber Resilience Act attualmente presentata.
Dopo l’approvazione, gli operatori economici e gli Stati membri hanno due anni di tempo per adeguarsi ai nuovi requisiti.
L’obbligo di segnalazione delle vulnerabilità e degli incidenti sfruttati attivamente si applicherà dopo un anno.
La Commissione verificherà regolarmente il rispetto delle nuove regole di cybersicurezza per l’UE e, se necessario, sanzionerà il mancato rispetto.
La direttiva NIS 2 è stata pubblicata il 27/12/2022 nella Gazzetta Ufficiale L333 dell’Unione Europea. Il 16 gennaio 2023 è entrata in vigore la nuova direttiva NIS2. Gli Stati membri dell’UE hanno 21 mesi di tempo, cioè fino all’ottobre 2024, per recepire la direttiva nel diritto nazionale. A partire da tale data, le disposizioni si applicheranno a tutte le imprese interessate
Possiamo venire incontro alle tue esigenze.