Le infrastrutture critiche e i siti industriali costituiscono la spina dorsale della nostra società, fornendo servizi essenziali come energia, acqua, prodotti farmaceutici e chimici, per citarne solo alcuni. L'interruzione dell'attività di questi settori può avere gravi ripercussioni, quindi è fondamentale che chi fornisce questi servizi possa mantenere la continuità aziendale, anche se colpiti da un cyberattacco, un disastro naturale, una violazione fisica, un evento interno o un incidente.
Un contesto normativo in evoluzione
I governi di tutto il mondo stanno adottando misure per garantire che gli asset critici dei settori coinvolti siano resilienti a qualsiasi potenziale minaccia, e un approccio chiave è stato quello di utilizzare regolamenti che diffondono la responsabilità lungo l'intera catena logistica. Ciò significa che tutti gli stakeholder, dagli utenti finali ai fornitori, hanno il proprio ruolo nel garantire la sicurezza e la resilienza delle infrastrutture critiche e dei siti industriali.
In Europa, normative come la Direttiva NIS2 incentrata sulla sicurezza informatica e la più ampia Direttiva sulla resilienza delle entità critiche (Critical Entity Resilience Directive, CER) definiscono requisiti significativi per un lungo elenco di settori, che ora rientrano nell'ambito più ampio delle "infrastrutture critiche" o delle "entità critiche e importanti", comprese le loro intere catene logistiche.
Queste normative impongono alle organizzazioni di implementare una serie di misure di sicurezza, tra cui valutazioni periodiche dei rischi e piani di risposta agli incidenti. Almeno, qualsiasi inosservanza comporterà probabilmente sanzioni significative. Tra i costi a lungo termine, potenzialmente ancora maggiori, potrebbero figurare l'impatto sulla reputazione del marchio, la perdita di produzione o i danni pagati a terzi.
La maggior parte delle grandi organizzazioni è consapevole dei requisiti imposti da queste normative; tuttavia, ogni organizzazione attiva in questi settori, indipendentemente dalle dimensioni, deve anche essere consapevole delle implicazioni e adeguare e migliorare le proprie operazioni aziendali di conseguenza.
Una sfida specifica per i settori industriali e le infrastrutture critiche
NIS2 e CER si applicano a un'ampia gamma di settori, in cui qualsiasi incidente può avere un impatto potenzialmente devastante sulla salute e sulla sicurezza dei cittadini, sull'attività economica, sull'ambiente e persino sul funzionamento della società nel suo complesso.
Diversi settori, in particolare quelli che gestiscono materiali e sostanze pericolose, devono già aderire alle normative esistenti. Tra queste vi è la Direttiva Seveso, che copre 12.000 siti industriali in tutta l'UE e mira a prevenire i principali incidenti industriali e a ridurre al minimo il loro impatto dannoso sulla salute umana e sull'ambiente. Questa direttiva, che prende nome da una perdita di sostanze chimiche nella città italiana di Seveso nel 1976, è giunta oggi alla sua terza edizione.
Tuttavia, le direttive NIS2 e CER alzano significativamente l'asticella normativa e i settori interessati da queste nuove normative non hanno più tempo per dimostrare la loro conformità ai requisiti. La NIS2 deve essere recepita nelle leggi degli Stati membri dell'UE entro ottobre 2024 e le CER entro la metà del 2025.
Definizione di "resilienza"
La Direttiva CER stessa definisce la resilienza come "la capacità di un'entità critica di prevenire, proteggere da, rispondere a, resistere, mitigare, assorbire, adattarsi e riprendersi da un incidente".
In parole semplici, ciò significa che le entità critiche devono dimostrare di avere adottato misure per ridurre al minimo il rischio di incidenti e di saper reagire alle contingenze in caso di incidente.
La resilienza è ancora più importante quando si tratta di alcune aree specifiche di siti industriali e infrastrutture critiche, i cosiddetti "asset critici" tramite le normative. Tra gli esempi figurano sale di controllo in centrali nucleari, stoccaggio di prodotti chimici, generatori di energia, reattori in impianti chimici e forni di acciaierie. Le aziende che gestiscono tali siti devono dimostrare di avere implementato misure per monitorare e proteggere tutte queste aree.
Soluzioni tecnologiche per soddisfare i requisiti
I dispositivi smart connessi basati sulla tecnologia video, ad esempio, e i dati da essi creati rappresentano una soluzione convincente in molti siti industriali e infrastrutture critiche, fornendo un prezioso livello di verifica visiva e consapevolezza situazionale, insieme al riconoscimento degli oggetti o ad altre analisi. Gli scenari tipici includono:
- Sicurezza: proteggere perimetri e aree specifiche, scoraggiando il crimine e contribuendo a proteggere persone e beni.
- Monitoraggio del processo e verifica visiva: monitoraggio della temperatura e delle vibrazioni, rilevazione di anomalie, monitoraggio della manipolazione di sostanze pericolose e verifica del corretto rispetto dei processi.
- Salute, sicurezza e ambiente (HSE): rilevazione di perdite, monitoraggio delle violazioni della sicurezza, monitoraggio ambientale, rilevazione di fumo e incendi e garanzia che i dipendenti indossino i dispositivi di protezione individuale (DPI) corretti.
Le telecamere, utilizzate in precedenza principalmente per la sorveglianza della sicurezza, possono ora essere considerate anche sensori per il monitoraggio dei processi e la protezione delle persone.
Tuttavia, non tutte le aree di produzione sono facili da monitorare. A causa di un'atmosfera potenzialmente infiammabile, causata da gas e/o polvere, è necessario prestare particolare attenzione quando si tratta di dispositivi elettrici, in quanto possono emettere scintille o calore eccessivo e causare un'accensione.
A seconda della probabilità di un'esplosione, queste aree sono suddivise in zone, ognuna delle quali richiede un'adeguata protezione dei dispositivi elettronici.
Tradizionalmente, le telecamere con protezione antiesplosione sono state progettate con un alloggiamento in acciaio inossidabile per l'uso nelle aree a rischio di esplosione classificate come Zona/Divisione 1. Tuttavia, la Zona/Divisione 2 meno pericolosa di solito copre un'area più ampia. In questo caso, una soluzione più conveniente consiste nell'utilizzare telecamere antideflagranti progettate specificamente per la Zona/Divisione 2, sfruttando appieno la moderna tecnologia delle telecamere in aree in cui il costo ne limitava in precedenza l'implementazione.
La possibilità di coprire uno spettro più ampio di situazioni in modo economico cambierà le regole del gioco verso la resilienza.
Garantire la cybersicurezza
Sebbene l'utilizzo di tecnologie e dati connessi abbia chiari vantaggi, è importante che gli utenti siano consapevoli dei potenziali rischi per la sicurezza. Per questo la Direttiva NIS2 dell'UE mira a garantire che tutte le soluzioni utilizzate dai siti industriali e dalle infrastrutture critiche siano adatte anche dal punto di vista della cybersicurezza.
A causa della loro importanza nella nostra vita quotidiana, i siti industriali e le infrastrutture critiche sono un ovvio bersaglio di cyberattacchi e probabilmente le loro vulnerabilità saranno oggetto di analisi. Proteggere i dispositivi collegati è quindi una priorità. Le aziende impiegheranno una serie di strumenti per mitigare i rischi delle minacce informatiche, inclusi software e dispositivi con funzionalità integrate correlate alla cybersicurezza, insieme alle migliori pratiche per il controllo dei dispositivi e la risoluzione delle vulnerabilità.
Lavorare in partnership per costruire la resilienza
Il tempo è essenziale. Con l'avvicinarsi delle scadenze NIS2 e CER, oltre al regolamento Seveso già esistente, le organizzazioni devono agire. Lavorare con partner di fiducia fornirà le basi per la resilienza. Soluzioni che bilanciano qualità, affidabilità e convenienza, basate su standard aperti che consentiranno la scalabilità e il miglioramento futuri, soddisfano le esigenze di oggi e di domani, qualunque nuovo requisito normativo emerga.
