La NIS2 e la Direttiva sulla resilienza delle entità critiche (CER) [1] vanno di pari passo. Entrambe cambieranno il modo in cui il settore pubblico e privato pensano alla sicurezza e modificheranno il corso delle strategie di continuità aziendale. Entrambe coprono la stessa lista di settori e industrie definiti come "entità critiche" e entrambe pongono le stesse persone in una posizione di responsabilità se vengono violate.
Tuttavia, mentre la NIS2 definisce i confini vitali intorno alla cybersecurity, la CER è, fondamentalmente, "tutto il resto". I suoi principi fondamentali affermano, in parole semplici, che ogni azienda nel suo ambito di applicazione deve essere in grado di continuare a funzionare, qualunque cosa accada. Ciò potrebbe significare un disastro naturale, un attacco fisico, un errore umano o anche un attacco informatico.
Inoltre, una sostiene l'altra. Senza il tipo di infrastruttura informatica sicura che NIS2 porta, non ci sono le basi per la resilienza; senza la resilienza delle infrastrutture critiche - definite in modo molto ampio dal CER come “un bene, una struttura, un'attrezzatura, una rete o un sistema[2]” - gli obiettivi di NIS2 non possono essere raggiunti.
Lavorare contro un limite di tempo ristretto
Ogni azienda nel suo ambito di applicazione deve ora valutare il suo processo di valutazione del rischio e assicurarsi che il modo in cui si avvicina al suo business corrisponda - e deve farlo immediatamente. La scadenza di luglio 2026 della Commissione Europea per i singoli Stati membri per identificare la propria lista di entità critiche può sembrare implicare che ci sia molto tempo a disposizione, ma qualsiasi misura deve essere messa in atto prima di quella data.
Proprio come ogni nuovo dispositivo introdotto in un'azienda "entità critica" deve essere allineato con la NIS2, tutti i progetti, gli aggiornamenti e i cambiamenti dell'infrastruttura devono ora porre la continuità aziendale in cima all'elenco delle specifiche. Saranno necessari valutazioni dei rischi per ogni processo critico, anche quello che fa parte dell'infrastruttura esistente. Un nuovo modo di pensare ai rischi e alla loro supervisione è essenziale.
CER: Un nuovo livello di diligenza
La CER e la NIS2 attirano nuovi settori sotto la supervisione normativa e costringono industrie come il trattamento delle acque, il trasporto, la salute, l'alimentazione e la gestione dei rifiuti a fornire un livello di prova dei loro piani di continuità aziendale. Gli Stati membri dell'UE utilizzeranno audit e ispezioni in loco per garantire che tali entità mostrino un livello appropriato di resilienza tecnica, di sicurezza e organizzativa.
Anche il reporting diventa più stringente. La CER afferma che gli eventi che hanno il potenziale per causare interruzioni aziendali devono essere segnalati, che effettivamente influiscano sulla continuità aziendale o meno. Tuttavia, l'adeguamento a questi nuovi standard potrebbe non richiedere un rimodellamento completo della struttura.
Torniamo quindi all'idea di un nuovo pensiero. In molti casi, l'hardware richiesto per rilevare incidenti, osservare macchinari o sistemi critici e persino prevenire attività umane pericolose è già installato. Semplicemente deve essere pensato in modo diverso.
Ripensare la telecamera come sensore
Oggi, molte telecamere di sorveglianza sono, in vari casi, il sensore più potente presente nei locali di un'entità. I forti processori, le analisi e la tecnologia AI dei moderni dispositivi offrono l'opportunità di utilizzarli per più dello scopo della sicurezza. Lasciare che un dispositivo così capace svolga un solo lavoro sembra uno spreco.
Puntare una telecamera termica su un array di macchinari, ad esempio, può offrire all'operatore un feedback visivo sulla temperatura di tale attrezzatura. Piuttosto semplice. Sfruttando le sue capacità di raccolta dati, però, si possono definire 100 punti all'interno della sua immagine, raccogliere numeri precisi da ciascuno di essi, emetterli tramite un protocollo industriale come Modbus o MQTT e integrare completamente i dati in un'interfaccia operativa.
Sfruttare al meglio i dati del sensore
Le entità critiche saranno costrette a migliorare la continuità delle posizioni remote. Ad esempio, una telecamera in una sottostazione elettrica potrebbe rilevare lo stato delle macchine, monitorare le condizioni meteorologiche, generare un allarme se un essere umano si avvicina troppo a dispositivi pericolosi, o persino ispezionare in modo anonimo i lavoratori in loco per un'adeguata PPE, oltre a monitorare il perimetro per intrusioni.
Nessuna di queste attività richiede che un operatore che guardi costantemente la telecamera. Le tecniche algoritmiche o un motore di intelligenza artificiale in esecuzione direttamente nella telecamera possono monitorare l'intero campo visivo. Una telecamera potrebbe prevedere una frana o un'alluvione, ascoltare il suono di una turbina e rilevare minuscoli cambiamenti di passo che indicano un guasto, o lanciare un allarme come parte di un sistema di controllo degli accessi. È una piattaforma davvero flessibile.
Un percorso unitario per il futuro
Ovviamente, ogni caso d'uso è unico. Le applicazioni drop-in si adatteranno a determinate situazioni, per altre dovrà essere creata una soluzione su misura. Molto può essere fatto con l'IA, ma i modelli IA devono essere addestrati ampiamente prima che possano essere efficaci. E il posto della telecamera nel monitoraggio si sta ancora solidificando, in particolare agli occhi degli executive: devono imparare l'importanza della CER e il potenziale delle telecamere per accelerare il processo di allineamento con gli obiettivi della CER.
La chiave è che deve essere l'hardware giusto. Le telecamere con piattaforme aperte consentono l'innovazione di cui la CER e i suoi simili hanno bisogno e facilitano la collaborazione tra settori critici. L'obiettivo è la stabilità, la sicurezza e la resilienza per tutti, con dispositivi che soddisfano i requisiti della NIS2 e della CER allo stesso modo, supportati da produttori e fornitori che conoscono a fondo quell'hardware. Quella conoscenza e unità sono la strada per un mondo più intelligente e più sicuro.
[1] https://www.critical-entities-resilience-directive.com/
[2] https://eur-lex.europa.eu/eli/dir/2022/2557/oj
