IT Security Act 2.0: gli operatori delle infrastrutture critiche (KRITIS) sono legalmente obbligati a prendere "ragionevoli precauzioni organizzative e tecniche" per prevenire gli attacchi informatici. Con l'approvazione dell'"IT Security Act 2.0" (ITSiG 2.0) nella primavera del 2021, questi obblighi sono stati nuovamente inaspriti. Da maggio 2023, gli operatori delle infrastrutture critiche devono implementarli e, soprattutto, disporre di "sistemi di rilevamento degli attacchi".
Sophos, in qualità di fornitore di servizi di risposta APT (Advanced Persistent Threat) ufficialmente qualificato da BSI, ha quindi creato un brief di soluzione per KRITIS che aiuta le aziende e le organizzazioni ad adeguare tempestivamente le proprie misure di sicurezza in conformità ai nuovi requisiti.
144 milioni di nuovi programmi dannosi nel 2021
Il fulcro delle attività dei cybercriminali è sulle aziende e sulle istituzioni pubbliche, principalmente per paralizzare le operazioni o per rubare i soldi dei ricatti. I fatti dimostrano che la situazione di rischio è tesa: secondo il BSI, nel 2021 sono stati identificati circa 144 milioni di nuovi programmi malware. Circa il 25% delle aziende e delle organizzazioni interessate ha visto gli attacchi come una minaccia seria o esistenziale.
Questo rischio potenziale è tanto più grave quando le infrastrutture critiche sono il bersaglio dei criminali informatici, ad esempio nel settore sanitario, nei settori dell'approvvigionamento energetico e idrico o nell'approvvigionamento alimentare. Per questo motivo, i gestori di infrastrutture critiche (KRITIS) sono legalmente obbligati a prendere "ragionevoli precauzioni organizzative e tecniche" per prevenire attacchi informatici. Con l'approvazione dell'IT Security Act 2.0 nella primavera del 2021, questi obblighi sono stati nuovamente rafforzati. Da maggio 2023, gli operatori delle infrastrutture critiche devono implementarli e, soprattutto, disporre di "sistemi di rilevamento degli attacchi".
Nuove edizioni ma poche raccomandazioni concrete per l'azione
Come in passato, anche le autorità che chiedono sicurezza a KRITIS hanno idee precise su come sanzionare e punire le violazioni con la nuova edizione del regolamento. Tuttavia, danno alle aziende e alle organizzazioni mano libera nell'implementazione della sicurezza IT. La logica: raccomandazioni concrete per l'azione potrebbero ostacolare la progressiva innovazione nel campo della tecnologia informatica e portare gli obblighi giuridici a tornare rapidamente obsoleti con l'emergere di nuove tecnologie. Dal punto di vista degli organi di controllo, questo approccio è comprensibile, ma non aiuta le aziende nella concreta attuazione dell'IT Security Act 2.0.
Approccio alla soluzione di sicurezza per KRITIS
In qualità di fornitore di servizi di risposta APT (Advanced Persistent Threat) ufficialmente qualificato da BSI ha creato un brief di soluzione per KRITIS che aiuta le aziende e le organizzazioni ad adeguare le proprie misure di sicurezza in tempo utile in conformità con i nuovi requisiti. Per determinare le misure necessarie in modo più dettagliato, le aziende e le organizzazioni KRITIS possono utilizzare due punti di riferimento: gli "standard di sicurezza specifici del settore" che sono stati sviluppati dalle singole associazioni di settore dei settori interessati e le attuali linee guida del BSI.
Mentre gli standard di sicurezza specifici del settore sono applicabili solo al rispettivo settore, l'opuscolo del BSI offre requisiti generali applicabili a tutti i settori e le industrie. In questo catalogo di requisiti, il BSI definisce 100 argomenti rilevanti e spiega le rispettive precauzioni di sicurezza.
Catalogo dei requisiti del BSI
Nel Solution Brief, Sophos descrive quali argomenti del catalogo dei requisiti di BSI possono essere affrontati con quali componenti di sicurezza al fine di implementare le precauzioni di sicurezza richieste, in particolare in relazione al nuovo IT Security Act 2.0 - ITSiG 2.0. Uno degli obiettivi delle nuove leggi è il rilevamento degli attacchi. Le aziende e le organizzazioni KRITIS devono essere in grado di confrontare continuamente i dati elaborati nell'IT con informazioni e modelli tecnici al fine di identificare potenziali attacchi. Per fare ciò, i parametri e le caratteristiche durante il funzionamento devono essere registrati continuamente e automaticamente e, soprattutto, valutati.
La sofisticazione e il rapido sviluppo dei criminali informatici richiedono una combinazione di sicurezza automatizzata arricchita con intelligenza artificiale e competenze umane. Sia la sicurezza tecnica che quella umana dovrebbero confluire in un ecosistema al fine di evitare minacce e, soprattutto, eliminare eventuali interruzioni che si sono verificate il più rapidamente possibile.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.