Il 1° maggio 2023 entrerà in vigore l'emendamento all'IT Security Act 2.0. Alla scadenza del periodo di transizione, il BSI richiede nuovi requisiti agli operatori di infrastrutture critiche. Cosa sarà in dettaglio, chi sarà interessato e quali misure dovranno essere prese per allora. Un commento da Sicurezza informatica radar.
I criminali informatici prendono sempre più di mira operatori di infrastrutture critiche e aziende di particolare rilevanza economica. Questo non solo può portare a perdite di produzione per milioni e colli di bottiglia nella fornitura, ma nel peggiore dei casi può mettere in pericolo la sicurezza pubblica. Inoltre, gli operatori di KRITIS non devono solo proteggersi dai tentativi di ricatto motivati monetariamente. Anche gli attacchi politicamente motivati come parte della guerra ibrida sono diventati una vera minaccia.
ITSig 2.0 – IT Security Act 2.0 da maggio 2023
Il legislatore tedesco ha reagito a questi pericoli già nel 2021 con la seconda legge per aumentare la sicurezza dei sistemi informatici - in breve: IT Security Act 2.0. Con ciò, la legge BSI esistente è stata integrata con ulteriori punti. Anche una seconda direttiva sulla sicurezza delle reti e dell'informazione (NIS 2) seguirà l'esempio a livello dell'UE.
Oltre ai tradizionali operatori di KRITIS, anche le aziende di cosiddetto "particolare interesse pubblico", come i produttori di armamenti o le aziende con un'importanza economica particolarmente elevata, devono ora implementare determinate misure di sicurezza informatica. Di conseguenza, il cerchio delle infrastrutture critiche è stato ampliato per includere settori come lo smaltimento dei rifiuti e la produzione di armamenti.
IT Security Act 2.0: i nuovi requisiti in breve
- Gli operatori di infrastrutture critiche devono implementare sistemi di rilevamento degli attacchi entro il 1° maggio 2023 al più tardi.
- Gli operatori KRITIS devono notificare al Ministero federale dell'Interno l'uso iniziale pianificato di componenti critici, ad esempio se il produttore è controllato da un paese terzo o contraddice gli obiettivi della politica di sicurezza del governo federale tedesco, dell'UE o della NATO.
- Le imprese di particolare interesse pubblico sono tenute a presentare regolarmente un'autodichiarazione. Devono spiegare quali certificazioni nel campo della sicurezza informatica sono state effettuate negli ultimi due anni e come sono stati messi in sicurezza i loro sistemi informatici.
Misure per proteggere le infrastrutture critiche
Gli operatori e le aziende KRITIS che devono proteggere la propria tecnologia IT e di controllo dagli attacchi informatici necessitano di soluzioni integrate in linea con l'IT Security Act 2.0, il BSI Act e lo standard ISO 27001 sulla sicurezza delle informazioni. I seguenti moduli di rilevamento dovrebbero quindi essere utilizzati sul lato tecnologico:
- Analisi dei dati di registro (LDA) / informazioni sulla sicurezza e gestione degli eventi (SIEM): ciò significa la raccolta, l'analisi e la correlazione dei registri da un'ampia varietà di fonti. Ciò si traduce in avvisi per problemi di sicurezza o potenziali rischi.
- Vulnerability Management & Compliance (VMC): la gestione delle vulnerabilità consente la scansione continua, interna ed esterna delle vulnerabilità con rilevamento completo, controlli di conformità e test per una copertura completa. Nell'ambito della conformità del software, l'uso autorizzato del software per ciascun server o gruppo di server viene determinato utilizzando una serie di regole e un'analisi continua. Il software manipolato può essere riconosciuto rapidamente.
- Network Condition Monitoring (modulo OT): segnala le comunicazioni in tempo reale che indicano un'interruzione del funzionamento senza errori. Le condizioni di sovraccarico tecnico, i danni fisici, le configurazioni errate e il deterioramento delle prestazioni della rete vengono così riconosciuti immediatamente e le fonti di errore vengono identificate direttamente.
- Network Behavior Analytics (NBA): con l'analisi del comportamento della rete, è possibile rilevare malware pericolosi, anomalie e altri rischi nel traffico di rete sulla base di motori di rilevamento basati su firma e comportamento.
- Endpoint Detection & Response (EDR): Endpoint Detection and Response sta per l'analisi, il monitoraggio e il rilevamento di anomalie sui computer (host). Con EDR, vengono fornite azioni di protezione attiva e avvisi istantanei.
A causa della complessità, l'ulteriore elaborazione delle informazioni rilevanti per la sicurezza da questi moduli viene effettuata da specialisti della sicurezza. Valuti e dai la priorità alle informazioni acquisite automaticamente da un'enorme raccolta di dati. I risultati di questa analisi sono la base per avviare le giuste contromisure da parte degli specialisti interni.
Per garantire la migliore sicurezza dei dati possibile, si consiglia inoltre di configurare soluzioni on-premise come forma di implementazione più sicura. Anche se la tendenza è sempre più verso il cloud, questo è problematico in termini di alto livello di sensibilità dei dati nell'area di KRITIS.
Cyber Defence Center (CDC) per proteggere le infrastrutture critiche
Con un Cyber Defense Center (CDC) - noto anche come Security Operations Center (SOC) - gli operatori e le aziende di KRITIS possono implementare efficacemente tutti i punti di cui sopra al fine di implementare un concetto di sicurezza coerente e integrato per la loro infrastruttura IT e OT . Un CDC comprende tecnologie, processi ed esperti responsabili del monitoraggio, dell'analisi e del mantenimento della sicurezza delle informazioni di un'organizzazione. Il CDC raccoglie dati in tempo reale da reti, server, endpoint e altre risorse digitali dell'organizzazione e utilizza l'automazione intelligente per rilevare, stabilire le priorità e rispondere a potenziali minacce alla sicurezza informatica, XNUMX ore su XNUMX, XNUMX giorni su XNUMX. Ciò consente di contenere e neutralizzare rapidamente le minacce.
Inoltre, si raccomanda l'uso delle tecnologie di sicurezza europee per gli operatori KRITIS e le aziende di particolare interesse pubblico. In questo modo, è possibile soddisfare facilmente i requisiti legali in materia di protezione dei dati. Questi includono, ad esempio, i requisiti del Regolamento generale sulla protezione dei dati (GDPR) dell'UE e il requisito della legge BSI per una prova adeguata delle precauzioni per evitare interruzioni della disponibilità, integrità, autenticità e riservatezza dei sistemi informatici, dei componenti o processi necessari per la funzionalità delle infrastrutture critiche da essi gestite.
Gli attacchi al KRITIS europeo aumenteranno
L'uso della tecnologia di sicurezza europea rende inoltre più facile per il BSI controllare i componenti critici per garantire che gli attori di paesi terzi non possano accedere a informazioni sensibili in violazione della protezione dei dati dell'UE in qualsiasi momento. Ciò è tanto più importante in tempi in cui il Privacy Act tra Stati Uniti ed Europa è inattivo.
È prevedibile che gli attacchi alle infrastrutture critiche europee continueranno ad aumentare in futuro e ciò è particolarmente evidente nella fase geopolitica con la guerra in Ucraina. Con una soluzione olistica del Cyber Defense Center, gli operatori KRITIS tedeschi possono aumentare significativamente la loro resilienza informatica per difendersi dagli attacchi.
Altro su RadarCS.com
Informazioni sulla sicurezza informatica radar Radar Cyber Security gestisce uno dei più grandi centri di difesa informatica in Europa nel cuore di Vienna basato sulla tecnologia proprietaria Cyber Detection Platform. Spinta dalla forte combinazione di competenza ed esperienza umana, unita agli ultimi sviluppi tecnologici di dieci anni di lavoro di ricerca e sviluppo, l'azienda combina soluzioni complete per le sfide relative alla sicurezza IT e OT nei suoi prodotti RADAR Services e RADAR Solutions.