Direttive CRA e NIS2 sulla Cyber Security: Hanwha Vision è pronta. Vi aiutiamo a prepararvi al CRA e al NIS2

Perché scegliere un produttore che ha a cuore la sicurezza informativa è fondamentale per un’azienda

La sicurezza informatica continua a essere un problema rilevante per le aziende e per i responsabili delle sicurezza e delle infrastrutture IT, pertanto non sorprende che l’Unione Europea si stia impegnando per ridurre il rischio che le organizzazioni siano colpite da attacchi informatici. Recentemente sono state rilasciate due direttive, la Legge sulla resilienza informatica (CRA, Cyber Resilience Act) e la Direttiva sulla sicurezza della rete e dei sistemi informativi 2a edizione (NIS2, Network and Information Security Directive). Alla luce di queste due direttive, da parte degli utenti finali, diventa sempre più importante poter contare su fornitori di apparati che, come Hanwha Vision, riconoscono il giusto valore al tema della sicurezza informatica. In questo scenario, la collaborazione stretta tra produttori di apparati e utenti finali, assume un ruolo sempre più importante La collaborazione con produttori, come Hanwha Vision, che si impegnano attivamente per garantire la sicurezza informatica e conformarsi al NIS2 e al CRA, sarebbe molto proficua per i leader aziendali che vogliono a loro volta conformarsi alle nuove direttive.

A titolo informativo, il Parlamento europeo e il Consiglio europeo si occupano da tempo delle questioni relative all’uso e alla protezione dei dati, e in particolare dei dati personali. Tuttavia, con l’aumento degli attacchi informatici e delle opportunità per i malintenzionati di sfruttare le reti e i dispositivi collegati man mano che le piattaforme tecnologiche si moltiplicano in maniera esponenziale, i legislatori stanno consolidando le difese informatiche degli stati membri dell’Unione Europea e delle organizzazioni che operano al loro interno.

L’Agenzia dell’Unione europea per la sicurezza informatica, ENISA, rivela che stanno emergendo nuove minacce alla sicurezza informatica a causa della quantità di dati che i dispositivi sono ora in grado di acquisire; avanzamenti in IA, che rendono gli attacchi informatici più complessi e scalabili; attacchi alla supply-chain (con gli incidenti di terzi parti che rappresentano il 17% delle intrusioni nel 2021 rispetto a meno dell’1% nel 2020); e dispositivi Internet of Things (IoT) usati come gateway per attacchi più ampi. Il nuovo CRA si inserisce in questo paesaggio, così come la nuova versione della direttiva NIS originale che affronta direttamente queste nuove minacce.

Informazioni sul NIS2

La Direttiva NIS2 è stata adottata dal Parlamento europeo e dal Consiglio a dicembre 2020 e consente agli stati membri di introdurre le disposizioni del NIS2 nelle loro leggi nazionali entro ottobre 2024. Infine, la Direttiva mira a migliorare la sicurezza informatica della rete e dei sistemi informativi in tutta Europa.

La direttiva si rivolge sia agli Operatori di servizi essenziali (OES) sia ai Provider di servizi digitali (DSP); identificare in quale segmento si inserisce un’organizzazione è fondamentale per capire quali sono i suoi obblighi. Gli OES forniscono servizi critici all’economia o alla società e includono aziende che operano nei settori dell’energia, dei trasporti, bancario e della salute. I DSP offrono servizi online a un numero più ampio di utenti e includono motori di ricerca, piattaforme di social media e marketplace online. Come produttore di tecnologia video, Hanwha Vision è definita come DSP.

La prima NIS si concentrava esclusivamente sugli OES, ma, considerata la crescente prevalenza dei servizi digitali che possono essere un anello debole della catena sfruttato dai malintenzionati, la direttiva NIS2 espande i requisiti ai DSP. Garantisce che i DSP adottino le misure appropriate per gestire il rischio posto sulle reti e sui sistemi informativi.

I DSP dovranno:

  • Conformarsi completamente alla Legge sulla resilienza informatica.
  • Condurre regolari valutazioni del rischio al fine di identificare e valutare i rischi per le reti e i sistemi informativi.
  • Implementare misure di sicurezza appropriate per ridurre i rischi identificati nelle valutazioni dei rischi.
  • Segnalare incidenti di sicurezza informatica alle autorità nazionali competenti.
  • Collaborare con le autorità nazionali competenti nel caso in cui si verifichi un incidente di sicurezza informatica.

NIS2 è un passaggio positivo per il settore video che garantisce la conformità di qualsiasi produttore che lavori negli stati membri dell’UE. Per proteggere una rete, e i suoi vari dispositivi e servizi diversi, serve una partecipazione attiva da parte dell’intera supply chain dei fornitori. NIS2 permette di organizzare tutto questo con molta più facilità. Tuttavia, le telecamere possono rappresentare un rischio se non vengono acquistate da produttori affidabili, non solo per i dati che raccolgono (che possono essere sensibili e personali), ma anche come gateway per un attacco informatico più grande. Man mano che le reti diventano più ampie e complesse, e in particolare man man che vengono create città intelligenti, diventa fondamentale adottare sistemi di sicurezza informatica robusti nelle supply chain.

Prepararsi al NIS2

Il modo migliore per preparare la vostra organizzazione al futuro è lavorare esclusivamente con produttori che siano in grado di dimostrare la loro capacità di conformarsi al NIS2, con una storia comprovata di best practice in sicurezza informatica. Sebbene i requisiti esatti debbano ancora essere regolamentati dall’UE, per il momento dovrebbe essere sufficiente cercare la conformità al CRA poiché è probabile che un produttore conforme al CRA sarà anche conforme al NIS2.

Conformità al CRA

Con un numero sempre maggiore di dispositivi intelligenti nelle aziende e nelle case, la Commissione europea vuole assicurare un livello adeguato di sicurezza informatica in ogni prodotto usato negli stati membri, con aggiornamenti della sicurezza regolari durante l’intero ciclo di vita del prodotto. Per aiutare i leader aziendali e i consumatori a identificare i prodotti conformi, il marchio CE sarà apposto su qualsiasi prodotto o software che soddisfa i requisiti. Il CRA si applica ai prodotti che si collegano a Internet, come smart TV, router Wi-Fi, frigoriferi e telecamere intelligenti.

Sebbene la Legge sia stata deliberata dal Parlamento e dal Consiglio europeo, e probabilmente non verrà applicata fino ad almeno il 2024, Hanwha Vision sta già seguendo le linee guida del CRA per i processi di sicurezza informatica che ha implementato.

I fornitori devono anche dimostrare che stanno conducendo regolari valutazioni del rischio al fine di identificare, valutare e ridurre i rischi per le loro reti. Il Security-Computer Emergency Response Team (S-CERT) di Hanwha Vision conduce regolarmente tali valutazioni, tra cui test di penetrazione e controlli di sicurezza.

I prodotti di Hanwha Vision sono tutti progettati e sviluppati tenendo a mente la sicurezza, con la Certificazione UL CAP nell’Advanced System On Chip (SoC) di Wisenet 7. Al fine di migliorare ulteriormente la sicurezza per tutti i suoi utenti, Hanwha Vision pubblica regolarmente le minacce e le vulnerabilità potenziali nell’ambito di una politica di divulgazione aperta, e fornisce agli utenti informazioni sulle funzioni di sicurezza dei suoi prodotti e su come usarle.

La punta dell’iceberg della sicurezza informatica

Le ultime iniziative legislative dell’UE rientrano in sforzi più ampi per promuovere la resilienza informatica attraverso il policy making, le sovvenzioni per le innovazioni e altro ancora. Ciò dimostra una chiara attenzione da parte della Commissione europea alla protezione dei prodotti e servizi dagli attacchi informatici; la collaborazione con produttori che mettono la sicurezza informatica al centro della progettazione di prodotti aiuterà le organizzazioni a rendere le loro operazioni in Europa a prova di futuro.

È fondamentale, pertanto, che gli utenti scelgano un produttore video che si impegni per proteggere i suoi prodotti e software; nel campo della sicurezza informatica non basta essere “abbastanza buoni”. I rischi e i costi di una violazione dei dati sono semplicemente troppo importanti per giustificare la scelta di telecamere con uno standard di sicurezza informatica troppo basso. La collaborazione con un produttore che esamina costantemente il paesaggio alla ricerca di nuove minacce e vulnerabilità assicura che il vostro sistema video sia sempre all’avanguardia in termini di conformità.

L’importanza di credenziali e politiche

Per avere la certezza che la vostra rete video sia il più sicura possibile dal punto di vista informatico, cercare alcuni “segnali di affidabilità” nel vostro produttore dovrebbe essere una parte fondamentale di ogni processo di selezione. Dovete avere prove concrete del loro impegno a favore della sicurezza informatica, non solo in termini di progettazione dei prodotti ma anche di tutto ciò che concerne le operazioni, la cultura e persino la leadership di pensiero. Le politiche di sicurezza, tra cui le risposte alle vulnerabilità e la gestione/segnalazione degli incidenti, sono requisiti basilari.

Certificazioni come la conformità a UL CAP (UL Cybersecurity Assurance Program) e NDAA (National Defense Authorization Act) o accreditamenti come il quadro Cyber Essentials del Regno Unito possono fornire ulteriori rassicurazioni. In particolare, poiché la conformità all’NDAA richiede che le aziende manifatturiere evitino di produrre e usare chip in silicone e altri componenti provenienti da Paesi inseriti nella blacklist, potrebbe essere un indicatore importante della resilienza informatica della supply chain di un produttore.

Infine, la conoscenza e la condivisione di risorse, nonché il contributo alla libreria delle vulnerabilità CVE (Hanwha Vision è un partner CVE), può dimostrare un impegno a lungo termine al miglioramento della sicurezza informatica. Hanwha Vision è orgogliosa di rafforzare la sue misure di sicurezza e di contribuire alle best practice della sicurezza informatica nel Regno Unito e in Europa da molti anni.

Un futuro marchio di affidabilità?

In maniera analoga alla conformità all’NDAA, il CRA e il NIS2 stanno diventando un altro elemento che i decision-maker possono usare per determinare l’impegno di un produttore nei confronti della sicurezza informatica. Rivolgersi a fornitori che sono proattivi nel loro approccio e che adottano una strategia multi-sfaccettata nella protezione dei prodotti, risulterà utile nel lungo periodo dal momento che gli attacchi informatici sono destinati a diventare più comuni, complessi e costosi. Ciò vi offre la libertà e la flessibilità di investire nelle migliori soluzioni CCTV per la vostra organizzazione senza introdurre un anello debole nella vostra rete.