Sala stampa
iscriviti alla newsletter

La resilienza come priorità per le entità critiche

8 minuti di lettura
etichette:
scritto da:
Andrea Monteleone
Andrea Monteleone
Resilienza per le entità critiche

La resilienza può essere descritta come la capacità di anticipare, identificare, rispondere, assorbire e riprendersi dalle battute d'arresto. Sappiamo già che è una caratteristica positiva delle persone, ma ora la legge la richiede per le organizzazioni che si occupano di fornire servizi e risorse vitali per la società e per il funzionamento delle economie. In questo articolo analizziamo i motivi per cui la resilienza deve essere integrata nell'attività delle entità critiche e in tutte le loro catene del valore.

Oggi l'attività di qualsiasi organizzazione può essere interrotta in modi sempre più diversi e crescenti. 

Ne sono un esempio i cyberattacchi, che proliferano grazie alla "commercializzazione" del ransomware. Tuttavia, non tutte le potenziali interruzioni derivano da azioni criminali. L'errore umano e gli incidenti rimangono la causa più comune di interruzione delle attività.

Anche la carenza di materie prime e l'interruzione delle catene logistiche globali interconnesse possono avere un impatto immediato. Tutti noi ricordiamo il caos causato quando la nave da carico Ever Given è rimasta bloccata nel canale di Suez per sei giorni nel 2021. L'elenco prosegue con problemi che vanno dai guasti di macchinari e processi chiave ai conflitti geopolitici, alle guerre commerciali e altro ancora.

La resilienza è quindi diventata una priorità per tutte le organizzazioni. Per chi si occupa delle infrastrutture critiche di una nazione, la resilienza è addirittura così importante da essere diventata un requisito di legge. 

Per questo motivo, l'attenzione si è estesa dalle "infrastrutture critiche" alle "entità critiche", includendo così qualsiasi organizzazione che si occupa, anche in minima misura, dei sempre più numerosi settori essenziali per il benessere economico o sociale di una nazione.

Le crescenti esigenze normative per le entità critiche

Oggi in Europa la Direttiva NIS2 sulla sicurezza informatica e la più ampia Direttiva sulla resilienza delle entità critiche (CRI) sono diventate legge negli Stati membri dell'UE. Entrambe impongono importanti prescrizioni alle organizzazioni definite come "entità critiche". Si tratta delle organizzazioni che forniscono servizi considerati essenziali nel mantenere le funzioni sociali chiave, nel sostenere l'economia, nel garantire la salute e la sicurezza pubblica e nel preservare l'ambiente.

Le due direttive sono profondamente collegate tra loro. È la prima volta che due direttive interessano lo stesso elenco chiaramente definito di entità critiche. Inoltre esse si applicano anche all'intera catena logistica di queste organizzazioni, con un impatto molto esteso.

Definire (e dimostrare) la "resilienza"

La Direttiva CER della Commissione europea definisce la resilienza come "la capacità di un'entità critica di prevenire, proteggersi, reagire, resistere, mitigare, assorbire, adattarsi e riprendersi da un evento".

La definizione stessa evidenzia l'ampiezza dei requisiti. Inoltre, quando si considerano la varietà e il numero di cause di potenziali interruzioni delle attività, oltre alla necessità di garantire che la catena logistica di un'organizzazione supporti questa definizione di resilienza, la sfida risulta particolarmente difficile.

In sostanza, le entità critiche devono dimostrare di avere una comprensione completa di tutti i potenziali rischi a cui sono esposte. Questi rischi vanno da un attacco fisico all'infrastruttura a un guasto di una parte critica di un macchinario o di un componente... e tutto il resto. 

Valutazioni complete dei rischi e dei potenziali costi delle violazioni

Ogni quattro anni, le entità critiche devono valutare l'evoluzione di tali rischi, vtenendo conto di tutti i rischi rilevanti che potrebbero interrompere la fornitura dei loro servizi essenziali. 

Inevitabilmente, le valutazioni dei rischi effettuate dalle stesse entità critiche metteranno in evidenza anche il ruolo delle loro catene logistiche a favore della resilienza. Ciò creerà un "effetto cascata" delle valutazioni del rischio, poiché le entità critiche, nel proprio sforzo per soddisfare i requisiti di legge in materia di resilienza, impongono ai loro fornitori di dimostrare un impegno altrettanto concreto.

Se si verifica un evento che interrompe la fornitura di servizi essenziali, le entità critiche devono dimostrare di avere adottato le misure idonee per evitare, reagire e riprendersi dall'evento. 

Nel caso in cui tali entità essenziali abbiano violato la legge o non abbiano considerato e risposto adeguatamente a tutti i rischi, le potenziali sanzioni sono significative. La direttiva NIS2 definisce potenziali sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo globale totale per l'esercizio finanziario precedente della società madre o del gruppo a cui appartiene l'entità critica, a seconda di quale valore sia maggiore. Le sanzioni per le violazioni della direttiva CER saranno definite dai singoli Stati nazionali, ma potrebbero essere simili a quelle della direttiva NIS2.

Una comunicazione trasparente è un altro requisito delle direttive. Tutti gli eventi devono essere segnalati e i rapporti devono essere condivisi in modo aperto e trasparente in merito alla natura dell'evento, alla risposta e alla risoluzione. Questo è nell'interesse di altre organizzazioni che imparano dall'esperienza e sanno adattare i propri approcci per mitigare i rischi.

Supportare la resilienza con le tecnologie di rete

Per raggiungere la resilienza, le entità critiche stanno ripensando l'uso delle tecnologie basate su IP già adottate, tra cui telecamere di video sorveglianza, dispositivi audio, soluzioni di controllo degli accessi, interfoni, sensori ambientali e altro ancora, insieme a funzionalità di analisi sempre più avanzate.

Quasi ogni aspetto della resilienza può essere supportato da tali tecnologie, comprese le stesse valutazioni del rischio iniziali. I dati e i metadati creati dal video di rete e da altri dispositivi e sensori connessi possono essere analizzati per meglio conoscere quasi tutte le situazioni che potrebbero presentare un rischio, un fattore essenziale per dimostrare la resilienza richiesta dalla normativa.

Grazie ai progressi nella qualità delle immagini e nell'analisi basata sull'IA, la capacità di identificare in anticipo e con maggiore accuratezza problemi di ogni tipo è notevolmente migliorata. Il flusso digitale di informazioni creato, se gestito correttamente, aumenta la consapevolezza generale, cosa fondamentale per anticipare ed evitare i problemi. Gli avvisi automatici consentono una risposta rapida e azioni mirate, così le minacce e i potenziali problemi possono essere affrontati prima che diventino incidenti. 

Mitigazione dell'intero panorama dei rischi

Sebbene i casi d'uso della sicurezza tradizionale siano un ovvio esempio di dove la video sorveglianza ha svolto un ruolo centrale, una migliore comprensione e capacità di analizzare l'ambiente supporta numerosi casi d'uso in materia di salute e sicurezzaed efficienza operativa

Utilizzata per aggiungere un ulteriore livello di trasparenza nelle aree di produzione, la combinazione di sensori (video, audio e termici) può fornire avvisi tempestivi di problemi in asset critici, come macchinari o processi chiave. Ciò consente di prevenire potenziali guasti, inoltre i dati raccolti nel tempo supporteranno la manutenzione predittiva degli asset critici.

Anche il mancato rispetto dei processi di salute e sicurezza pertinenti rappresenta un rischio significativo, poiché un qualsiasi evento può causare un'interruzione delle attività.  Un efficace controllo degli accessi (affinché solo il personale autorizzato sia ammesso nelle aree sensibili di un sito) e l'analisi, che garantisce il rispetto di idonee misure di salute e sicurezza, sono solo due esempi di come la tecnologia di rete può contribuire a mitigare i rischi interni.

Gli attacchi fisici da parte di soggetti esterni sono spesso in primo piano, ma la maggior parte degli eventi che causano interruzioni delle attività dipendono da azioni o guasti interni, solitamente innocenti ma talvolta deliberati. Ad esempio, gli studi hanno costantemente dimostrato che l'errore umano è responsabile della stragrande maggioranza dei cyberattacchi, e lo stesso vale spesso per gli incidenti legati alla salute e alla sicurezza, i guasti ai macchinari o i colli di bottiglia nella catena logistica.

La sicurezza informatica rimane un'area di rischio fondamentale

È essenziale che tutte le tecnologie utilizzate dalle entità critiche supportino l'approccio complessivo alla sicurezza dell'organizzazione e contribuiscano a ridurre il rischio di cyberattacco. Un dispositivo progettato per proteggere l'attività di un'entità critica non deve presentare di per sé rischi o vulnerabilità. I dispositivi devono essere sicuri per progettazione e adottare processi che li mantengano il più possibile sicuri per tutta la loro vita utile, con il fornitore e l'entità critica che lavorano in stretta collaborazione. 

Questo è sempre più richiesto dalla normativa, sia in generale che nello specifico. Tra questi vi sono lo European Cyber Resilience Act, che si applica a qualsiasi dispositivo elettronico collegato direttamente o indirettamente a una rete, da un altoparlante smart in casa a un server in un data center, alle direttive come la CER e la NIS2, più specifiche per le entità critiche. È fondamentale lavorare con fornitori che dimostrino un chiaro impegno per la trasparenza in materia di cybersecurity.

La resilienza ora è un must, non un'opzione

Ogni organizzazione dovrebbe essere interessata ad aumentare la resilienza. Nel migliore dei casi, qualsiasi interruzione delle operazioni può avere un impatto a breve termine sulla redditività. Nel peggiore dei casi, può minacciare l'intera azienda. I costi possono essere diretti e indiretti, materiali e immateriali, prevedibili e imprevisti. Il costo per la reputazione di un'organizzazione nel lungo termine può superare di gran lunga l'impatto finanziario nel breve termine.

In relazione alle entità critiche, dalla sanità alla finanza, dal trattamento delle acque all'energia, le autorità di regolamentazione hanno riconosciuto la gravità del potenziale impatto delle interruzioni nella fornitura di questi servizi. Una minaccia alla redditività è una cosa: una minaccia per la salute pubblica è un'altra.

Le nuove direttive devono essere considerate positive, ma il lavoro necessario per rispettarle non può essere sottovalutato. Sebbene le entità e le organizzazioni critiche più grandi abbiano iniziato questo percorso, molte altre lungo la catena logistica delle infrastrutture critiche non lo hanno fatto. Le direttive riguardano innumerevoli piccole e medie imprese, molte delle quali potrebbero non disporre delle conoscenze, dell'esperienza e della capacità necessarie per conformarsi a esse. L'esperienza e le competenze di terzi sono disponibili per aiutare, ma la domanda potrebbe presto superare l'offerta. Ora è il momento di agire.

Scopri di più sulle nostre soluzioni per le infrastrutture critiche
Infrastrutture critiche

Andrea Monteleone

Andrea Monteleone è Segment Development Manager EMEA per Axis, con particolare attenzione per le infrastrutture critiche. Collabora per definire le strategie a lungo termine di Axis in quel segmento specifico e aiuta le organizzazioni di vendita e marketing in tutta l'area EMEA a soddisfare le esigenze dei clienti. Negli ultimi 15 anni, è stato Sales Manager per molte aziende nel mercato della sicurezza, entrando in Axis nel 2016. Nel tempo libero lo troverete a praticare alpinismo, sci o parapendio nel cuore delle Alpi italiane.

Leggi altri post di Andrea
Andrea Monteleone
To top