Cyber Resilience Act e NIS2: identificare tempestivamente le vulnerabilità e ottimizzare le misure di protezione

Non esiste una definizione legale univoca di cyber resilience, ma il termine si riferisce generalmente alla capacità di un’azienda di resistere agli attacchi informatici e di prepararsi a eventuali guasti di componenti critici.

Come sottolineato dal BSI (l’Ufficio Federale tedesco per la Sicurezza Informatica) nella sua relazione di gestione 2022, la criminalità informatica è oggi una delle principali minacce per le aziende. Per il successo e la continuità aziendale, è fondamentale affrontare questi rischi con un approccio strategico e costruire una cyber resilienza adeguata.

A livello europeo, per rafforzare la capacità di resistere agli attacchi informatici, l’UE ha introdotto il Cyber Resilience Act (CRA) e la direttiva NIS2, che mirano a creare un quadro normativo solido per garantire la sicurezza e la resilienza digitale.

Futuristisches Büro mit holografischer Sicherheitsanzeige und Zahl 15 – Symbol für Cyber-Resilienz und Schutzmaßnahmen gegen Cyberangriffe

Da 15 anni aiutiamo i nostri clienti a raggiungere i migliori standard di sicurezza possibili. Consideriamo la nuova normazione del Cyber Resilience Act come un’opportunità e siamo lieti di aiutare i nostri clienti a utilizzarla per una sicurezza ancora maggiore.

Per saperne di più

Quali sono gli obiettivi del Cyber Resilience Act e del NIS2?

Il Cyber Resilience Act (CRA), introdotto dalla Commissione europea, stabilisce nuovi requisiti di sicurezza vincolanti per i prodotti con elementi digitali. Questi requisiti si applicano sia ai prodotti destinati ai consumatori finali, sia a quelli utilizzati nelle aziende, inclusi i componenti acquistati e integrati nelle catene di approvvigionamento e nei processi produttivi. Il CRA include una serie di misure progettate per migliorare la sicurezza informatica dei prodotti digitali, garantendo maggiore protezione contro le minacce informatiche.

Le nuove normative europee sulla cybersicurezza, come il Cyber Resilience Act e la direttiva NIS2, NIS-2 possono inizialmente sembrare complesse per le aziende. Tuttavia, rappresentano strumenti fondamentali per difendersi in modo efficace dagli attacchi informatici e per costruire una strategia di sicurezza più solida.

Cyber Resilience Act – per quali aziende è rilevante il CRA?

Le nuove normative riguardano tutte le aziende che realizzano prodotti con elementi digitali. Inoltre, ci sono obblighi per distributori e importatori. Non esistono eccezioni in base alle dimensioni.

Quali prodotti sono interessati?

La Commissione europea propone di stabilire misure di cybersicurezza adeguate al rischio per i suddetti prodotti nelle fasi di progettazione, sviluppo e produzione, nonché durante l’immissione sul mercato e l’uso.

A tal proposito la Commissione europea distingue in base alla criticità dei prodotti:

Prodotti non critici con elementi digitali (es. supporti di memorizzazione, programmi grafici)
Classe I: prodotti critici con elementi digitali (ad es. browser, password manager, firewall, microcontroller),
Classe II (ad es. router o firewall per uso industriale, dispositivi IoT)
Prodotti altamente critici con elementi digitali

Cosa significa nella pratica?

La Commissione europea stima che circa il 90% dei prodotti rientrerà nella categoria dei prodotti non critici. I produttori e i distributori che commerciano prodotti critici saranno soggetti a requisiti più severi, in particolare per quanto riguarda la valutazione della conformità, che si basa su norme armonizzate dell’UE. La conformità alle norme è indicata dalla marcatura CE apposta sul prodotto, con le autorità nazionali di vigilanza del mercato che ne vigilano la corretta attuazione.

Infographic showing how the Cyber Resilience Act categorizes products into default, critical Class I, and critical Class II based on risk level and assessment requirements

Fonte: https://digital-strategy.ec.europa.eu/it/library/cyber-resilience-act-factsheet

I produttori e i distributori di prodotti che rientrano nelle classi critiche o altamente critiche saranno soggetti a requisiti più severi.

Il CRA definisce i requisiti di sicurezza nel ciclo di vita:

Segnalazione all’ENISA di vulnerabilità ed exploit noti entro 24 ore
Segnalazione agli utenti del prodotto di incidenti, comprese le misure correttive
Segnalazione di vulnerabilità identificate in elementi di terze parti ai relativi fornitori di terze parti

I fornitori di prodotti devono mettere a disposizione:

Software Bill of Materials (SBoM) dei prodotti
Scansione delle vulnerabilità che non presenta punti deboli per ottenere la certificazione CE
Scansione continua delle vulnerabilità,
Processi e infrastrutture per la documentazione e la segnalazione delle vulnerabilità del prodotto.

Digitale Illustration eines grünen Handschlags mit binärem Code im Hintergrund – Symbol für Cyber-Sicherheitspartnerschaften und Compliance im Rahmen des Cyber Resilience Act.

Il Cyber Resilience Act invita le aziende a effettuare regolarmente, in modo permanente e sostenibile, analisi delle vulnerabilità e audit esterni. Possiamo venire incontro alle tue esigenze. La serie di prodotti del Greenbone Vulnerability Management, OPENVAS SCAN, consentono la conformità con il CRA – on premise o dal cloud.

Per saperne di più

Chi è interessato dal NIS2?

Le istituzioni pubbliche e private in 18 settori critici con almeno 50 dipendenti o un fatturato annuo di almeno 10 milioni di euro e il bilancio annuale devono seguire le nuove regole NIS2.

Direttiva NIS 2: aumento della cybersicurezza per le aziende del settore KRITIS

La direttiva NIS 2, una parte importante della strategia digitale dell’UE “Shaping Europe’s Digital Future”, mira ad aumentare la sicurezza informatica in tutta Europa. Ha l’obiettivo di proteggere meglio le organizzazioni e le infrastrutture critiche dalle minacce informatiche e di garantire un elevato livello di sicurezza in tutta l’UE. La direttiva è entrata in vigore il 16 gennaio 2023 e gli Stati membri dell’UE hanno tempo fino al 17 ottobre 2024 per recepire le disposizioni nelle rispettive legislazioni nazionali.

Quali categorie di settori economici interessano il NIS2?

Settori “Essenziali/Essenziali” (molto critici) e Settori “Importanti/Importanti” (altri critici).

Settori come l’energia, i trasporti, la finanza, la sanità, le infrastrutture digitali e la pubblica amministrazione rientrano nella prima categoria, mentre la seconda categoria comprende l’industria manifatturiera, i servizi postali, la chimica e altro ancora.

Le aziende all’interno di questi settori che rientrano nell’ambito di applicazione della direttiva sono determinate dalle leggi dei singoli paesi.

La direttiva NIS 2 comporta nuove responsabilità per le aziende interessate. È necessario segnalare gli incidenti di cybersicurezza alle autorità in base a determinati criteri:

Preallarme: segnalazione iniziale entro 24 ore dall’incidente.
Notifica incidente: segnalazione completa entro 72 ore dall’incidente.
Relazione intermedia (Intermediate Report).
Relazione sullo stato di avanzamento (Progress Report): in caso di incidenti non risolti, è necessario fornire un aggiornamento un mese dopo la notifica iniziale.
Relazione finale: da presentare entro un mese dalla notifica iniziale o un mese dopo la conclusione della gestione dell’incidente.
La segnalazione volontaria è un’opzione.

Le aziende devono anche perseguire una gestione attiva del rischio e rispettare gli standard per la sicurezza della rete e del sistema, la gestione degli incidenti, la gestione delle crisi, le catene di approvvigionamento sicure e la gestione patrimoniale. I meccanismi di protezione e le tecnologie utilizzate devono essere aggiornati. I paesi potrebbero persino introdurre obblighi di certificazione per dimostrare la conformità alle normative.

In Germania, la direttiva NIS 2 porta ad adeguamenti dell’attuale legge sulla sicurezza informatica 2.0 o ad una possibile nuova legge. Gli operatori tedeschi di KRITIS con un sistema di gestione della sicurezza delle informazioni (ISMS) consolidato e una tecnologia di cybersicurezza affidabile sono ben preparati e probabilmente necessitano solo di piccoli adeguamenti. Questa direttiva crea le condizioni per un panorama della cybersicurezza più robusto in tutti i settori.

Quando entreranno in vigore le direttive?

CRA

Il Parlamento europeo e il Consiglio stanno esaminando la proposta di Cyber Resilience Act attualmente presentata.

Dopo l’approvazione, gli operatori economici e gli Stati membri hanno due anni di tempo per adeguarsi ai nuovi requisiti.

L’obbligo di segnalazione delle vulnerabilità e degli incidenti sfruttati attivamente si applicherà dopo un anno.

La Commissione verificherà regolarmente il rispetto delle nuove regole di cybersicurezza per l’UE e, se necessario, sanzionerà il mancato rispetto.

NIS2

La direttiva NIS 2 è stata pubblicata il 27/12/2022 nella Gazzetta Ufficiale L333 dell’Unione Europea. Il 16 gennaio 2023 è entrata in vigore la nuova direttiva NIS2. Gli Stati membri dell’UE hanno 21 mesi di tempo, cioè fino all’ottobre 2024, per recepire la direttiva nel diritto nazionale. A partire da tale data, le disposizioni si applicheranno a tutte le imprese interessate