AS2_2025

Marzo 2025 Automazione e Strumentazione Tecnica 84 CONTROLLO Access control per assicurare che l’accesso a dispositivi e/o pacchetti software sia sempre fatto da utenti univocamente identificati (in modo da prevenire l’esecuzione di operazioni non autorizzate); password management (vali- dity, expiration, user lockout). (SSL) VPN per regolare le comunicazioni a distanza tra reti sicure (per esempio quella di un sistema di automazione e quella di un altro, o quella di un suo client geograficamente remoto) attraverso reti pubbliche non sicure, facendo uso di crittografia. Domain Controller per una più efficace e cen- tralizzata gestione di utenti/privilegi e relativi deployments a livello di dominio. Network setup, Network Management System, Network Intrusione Detection system per una gestione integrata delle configurazioni di rete e per il monitoraggio dei flussi pacchetti in comu- nicazione (dai quali individuare potenziali attac- chi in corso). Backup & Disaster recovery per assicurare poli- tiche e modalità tecniche più o meno avanzate / centralizzate / automatizzate di salvataggio dati e loro ripristino in caso di incidenti. Controller CPU & Source files protection per proteggere le CPU dei controllori di sicurezza (o magari anche di quelli di processo) attraverso password o meglio ancora selettore a chiave che chiude un contatto (Digital Input) abilitante il download; opportuno inoltre mettere sotto pas- sword anche l’apertura dei files sorgenti per evi- tare modifiche non autorizzate. Safety Communication per assicurare (con livello di rischio tollerabile) che i dati scambiati (ad es. tra controllori di sicurezza) non siano alterati o corrotti (watch-dog, CRC, criptazione, timestamping, sequenziatura, etc.); tra i proto- colli non proprietari, OPC-UA si distingue per impiegare alcuni di questi accorgimenti. Controller Certification (ISA Secure) per garan- tire che il controllore impiegato sia stato svilup- pato in accordo allo standard IEC62443. Tutte queste contromisure possono essere viste in modo gerarchico come livelli di protezione ‘a cipolla’ che devono essere superati perché l’at- tacco abbia successo; per questo nello Standard si parla anche di ‘defense in depth’. La direttiva Nis2 Nell’Ottobre del 2024, il Governo Italiano ha recepito la Direttiva Europea Nis-2 (da ‘Network and Information Systems’) che quindi è diven- tata obbligo di legge: approvata infatti già nel 2022 dal Parlamento Europeo, è ora entrata in vigore con decreto legislativo DLGS-138, notifi- cato sulla Gazzetta Ufficiale in data 01/10/2024. L’obiettivo europeo è quello di raggiungere un livello comune elevato di sicurezza a livello UE in modo da rendere meno vulnerabile la nostra economia e il benessere sociale a essa collegato; vengono infatti distinti: Soggetti essenziali: organizzazioni che operano in settori considerati vitali per la economia del Paese; per esempio energia, trasporti, salute, finanza, pubblica produzione di certe sostanze chimiche. Soggetti importanti: organizzazioni che forni- scono beni/servizi significativi ma non critici. Rimangono comunque escluse le piccole imprese con meno di 50 dipendenti e un fatturato annuo inferiore a 10 milioni di euro. In base alla classificazione disponibile sul por- tale (https://portale.acn.gov.it/login) della Agen- zia per la CyberSicurezza Nazionale (ACN) tutte le organizzazioni essenziali o importanti devono registrarsi come soggetti Nis entro il 28 febbraio 2025 (indicando partita IVA, codici Ateco, persona di riferimento ecc.). Avranno poi un anno di tempo per introdurre e notificare le misure adottate in linea con le prescrizioni della Nis-2, che si articolano principalmente in: Stabilire una Governance per la CyberSecu- Per elevare il grado di sicurezza IT del Sistema Paese e uniformarlo a livello UE, il Governo italiano nell’ottobre 2024 ha recepito la Direttiva Europea Nis-2 - Network and Information Systems 2 - con il DLGS-138 pubblicato in Gazzetta Ufficiale in data 01/10/2024