COMPLIANCE EUROPEA, CYBER RESILIENZA E OT SECURITY
CISO PANEL MILANO - 19/09/2024 - Centro Congressi Fondazione Cariplo - Milano
- CON IL PATROCINIO DI CSA Cyber Security Angels -
TEMA del CISO Panel
CISO PANEL MILANO - Programma Cybersecurity TIG 2024
COMPLIANCE EUROPEA, CYBER RESILIENZA E OT SECURITY
Data: 19 settembre 2024, 16:30 – 19:30 + Cocktail di networking
Sede: Centro Congressi Fondazione Cariplo, Via Romagnosi, 8, 20121 Milano
INTRODUZIONE
Le nuove norme europee (NIS2, DORA, CRA, Regolamento Macchine) chiamano le aziende italiane a rispondere a un’importante sfida: incrementare la cyber resilienza della propria organizzazione e la cybersecurity dei propri prodotti o servizi. Nel settore industriale e delle infrastrutture critiche, questo significa preoccuparsi della cybersecurity dei prodotti e delle macchine o Operational Technologies (OT), soluzioni hardware e software che servono a monitorare o controllare dispositivi fisici, processi ed eventi, influendo direttamente sul mondo fisico. Bisogna infatti tener conto del fatto che le Operational Technologies (OT) hanno caratteristiche peculiari, non presenti nelle architetture di sicurezza informatica convenzionali.
Il tema degli impatti della Compliance europea e della messa in sicurezza dell’OT saranno oggetto di dibattito tra i diretti interessati a questo importante cambiamento, i CISO e i Responsabili della sicurezza informatica dei diversi settori (Industria, mondo Energy, infrastrutture critiche, ma anche Servizi e Finanza), nel corso del CISO Panel “COMPLIANCE EUROPEA, CYBER RESILIENZA E OT SECURITY” organizzato per il prossimo 19 settembre 2024 a Milano presso il Centro Congressi Fondazione Cariplo.
Nel corso dell’incontro, saranno analizzati i principali punti chiave e gli impatti delle nuove norme; i requisiti di sicurezza; le sfide nell'implementazione e le migliori pratiche per la conformità, con un formato che garantisca un forte coinvolgimento dei partecipanti, la possibilità di fare domande, condividere expertise, approfondire i diversi temi.
TEMI PROPOSTI PER IL CISO PANEL MILANO
L’entrata in vigore della Direttiva NIS2 è prevista entro il 17 ottobre 2024; l’applicazione del Regolamento DORA dovrà avvenire entro il 17 gennaio 2025; il Cyber Resilience Act, legge europea sulla sicurezza informatica dei prodotti connessi, dovrà essere applicato entro il 2027, come anche il Regolamento Macchine.
Le nuove norme spingono le aziende europee ad elevare la propria postura di sicurezza e a ottenere una maggiore resilienza operativa. La prima, la Direttiva NIS2, prevede rispetto alla precedente Direttiva NIS del 2018 un ambito di applicazione più esteso; norme specifiche per i fornitori ICT e del cloud; procedure per una migliore gestione degli incidenti; una spinta alla cooperazione, al ruolo delle agenzie nazionali e alla certificazione. Inoltre, arriveranno importanti responsabilità per il vertice aziendale, la cybersecurity esce dall’ambito specialistico e deve pervadere l’impresa.
Dal punto di vista dell’OT security è la prima volta che norme specifiche andranno a imporre verifiche, misure e adeguamenti specifici di cybersecurity. Il nuovo Regolamento Macchine (legge (UE) 2023/1230[1] relativo alle macchine sicure e ai requisiti di cybersecurity), approvato il 18 aprile 2023, si applicherà dal 14 gennaio 2027 e avrà un impatto significativo sulle normative europee rispetto alla Direttiva Macchine precedente: vincolante per tutti gli Stati membri dell'UE, mira a garantire la sicurezza delle macchine durante tutto il loro ciclo di vita, con un'enfasi particolare sulla cybersecurity industriale, in linea con altre normative. Il testo del Regolamento, composto da 52 articoli e 11 allegati, riconoscendo l'importanza delle nuove tecnologie digitali (AI, Internet of Things - IoT, robotica), prevede che le macchine debbano essere progettate per resistere alle minacce informatiche e alle intrusioni, con particolare attenzione alla protezione dei componenti hardware e software essenziali per la sicurezza.
Il Regolamento richiede che le macchine siano in grado di rilevare intrusioni legittime o illegittime, oltre a identificare vulnerabilità e proteggere adeguatamente il software. Alcuni punti salienti includono la necessità che i sistemi di controllo resistano alle sollecitazioni operative e agli attacchi informatici, nonché la richiesta di documentazione tecnica dettagliata, inclusi report sui test di conformità alla cybersecurity. Il Regolamento Macchine include anche disposizioni riguardanti gli aggiornamenti software e pone l'accento sull'importanza della collaborazione tra produttori, utilizzatori, esperti di IT e cybersecurity, per garantire la conformità e la sicurezza delle operazioni industriali.
Il CRA, Cyber Resilience Act, invece, comporterà importanti requisiti di cybersecurity per i produttori: si applica a tutti i prodotti (hardware e software) con componenti digitali connessi direttamente o indirettamente ad altri dispositivi o reti, definisce i requisiti per i produttori, gli importatori e i distributori, che devono garantire l'assenza di vulnerabilità note, gestire le vulnerabilità e gli aggiornamenti durante il ciclo di vita del prodotto e implementare misure di sicurezza come la "security by design" e l'autenticazione per l'accesso.
OBIETTIVI E STRUTTURA DEL CISO PANEL MILANO
Il CISO Panel di TIG è un momento di confronto e dialogo dedicato ai Responsabili della Cybersecurity / CISO dei principali Gruppi italiani (grandi e medie aziende) e delle pubbliche amministrazioni.
Obiettivi
Attraverso la condivisione di esperienze, idee, best practice e confronto tra pari sui temi più caldi e le sfide più attuali, il Panel vuole essere di supporto alla community dei CISO italiani nell’individuazione dei fattori chiave di successo dell’organizzazione IT.
Struttura
La formula del CISO Panel è quella di una discussione aperta, in vari tavoli di lavoro, su una traccia comune di contenuti condivisa in anticipo con i Cyber Mentor che coordineranno i lavori del Panel suddivisi in più tavoli.
Ogni partecipante sarà chiamato a svolgere un ruolo attivo nel proprio tavolo di lavoro, contribuendo così alla definizione delle sfide e delle criticità in discussione. I risultati dei vari tavoli di lavoro saranno condivisi in una seduta plenaria conclusiva. È prevista la presenza di alcuni Vendor di cybersecurity ai tavoli di lavoro, in numero limitato (2 per tavolo): il loro ruolo è ascoltare le esigenze della domanda contribuendo al dibattito, qualora utile alla discussione.
I punti chiave emersi durante l’evento (criticità e raccomandazioni), saranno riportati in un documento conclusivo che sarà distribuito ai partecipanti dopo l’evento. Le conclusioni saranno anche riprese in un articolo sulla rivista “Technopolis”[2] di TIG (rivista bimestrale allegata a Il Sole 24 Ore), con le citazioni dei partecipanti al CISO Panel (previa loro autorizzazione). Infine, confluiranno in un Position Paper che, al termine del Programma Cybersecurity 2024 di TIG, sarà presentato alle istituzioni nel corso del “Digital Italy Summit 2024”[3].
CONTENUTI DEL CISO PANEL MILANO
Nel corso del CISO Panel “COMPLIANCE EUROPEA, CYBER RESILIENZA E OT SECURITY” del prossimo 30 maggio a Roma, presso Palazzo Ripetta (Via di Ripetta 231, 00186 – Roma), saranno organizzati 3 tavoli di approfondimento, per discutere su come:
- Impatti della Compliance Europea (DORA, NIS2).
- Industrial cybersecurity: impatto dei nuovi requisiti normativi.
- Aiutare la propria Supply Chain ad elevare la postura di sicurezza.
Ogni tavolo vedrà un intervento di avvio dei lavori a cura di un “Cyber Mentor”, un CISO che presenterà la sua esperienza in materia e guiderà la successiva discussione.
Tavolo 1: IMPATTI DELLA COMPLIANCE EUROPEA (DORA, NIS2).
Cyber Mentor: …
- Come rafforzare cyber resilienza e strategie di difesa facendo leva sugli stimoli regolatori?
- Quali sono le principali minacce cibernetiche che considerate più rilevanti per la vostra azienda, come le affrontate attualmente?
- Cosa implica l’arrivo di DORA / NIS2, quali sono gli obblighi per le aziende, gli impatti più seri, gli ambiti a cui dare priorità?
- Quali sono i punti chiave e le criticità dell’adeguamento a DORA / NIS2, dal punto di vista dei CISO aziendali?
- Come impostare una Cyber Resilienza organizzativa funzionale agli asset da proteggere che ci sono in azienda?
- Quali sono i punti centrali di una completa strategia di cyber resilienza? Su quali framework /best practices basare questo programma? (es. certificazioni, NIST, sistema di governance, …)
- Come coinvolgete la leadership aziendale e gli altri dipartimenti nella promozione di una diffusa cultura di cyber resilienza?
Tavolo 2: INDUSTRIAL CYBERSECURITY: IMPATTO DEI NUOVI REQUISITI NORMATIVI
Cyber Mentor: …
- Infrastrutture critiche e sicurezza dei sistemi ICS nei siti industriali: come è collegata ai nuovi requisiti delle NIS2?
- Quali sono le principali sfide collegate all’arrivo delle nuove norme? Quali sono i principali cambiamenti introdotti, come potranno influenzare il processo di progettazione, produzione e commercializzazione dei prodotti industriali?
- Quali sono le principali misure che devono essere adottate per garantire la conformità e la resilienza cibernetica?
- Qual è il ruolo della collaborazione (tra aziende industriali, con enti e istituzioni) per facilitare la compliance?
- Quali sono le migliori pratiche in materia di formazione e sensibilizzazione alla sicurezza?
- Quali sono le opportunità emergenti derivanti dall'adozione dei nuovi regolamenti sulle macchine e sulla cyber resilience? In che modo le aziende industriali possono sfruttare queste opportunità per innovare e migliorare la propria posizione sul mercato?
- Quali sono i prossimi passi che le aziende industriali dovrebbero intraprendere per garantire la conformità continua ai regolamenti e per migliorare la loro resilienza cibernetica nel lungo termine?
- Quali sono le sfide specifiche che le PMI e le microimprese affrontano nell'adattarsi ai nuovi regolamenti e garantire la sicurezza dei loro prodotti e sistemi industriali?
Tavolo 3: SUPPLY CHAIN CYBERSECURITY
Cyber Mentor: …
- Quali sono i criteri principali che utilizzate per valutare la sicurezza dei vostri fornitori?
- Come possono le aziende integrare la sicurezza informatica nella catena di approvvigionamento e nelle partnership con fornitori e partner commerciali? Quali sono le considerazioni chiave da tenere in considerazione in questo contesto?
- Come impostare i controlli di sicurezza sulle terze parti (in particolare i fornitori OT)?
- Quale prioritizzazione fare, quali controlli, come quantificare queste attività?
- Come gestite il rischio associato alla condivisione di dati sensibili con i vostri fornitori?
- Come garantite che i vostri fornitori mantengano un livello adeguato di sicurezza nel tempo, soprattutto considerando l'evoluzione delle minacce informatiche?
- Quali sono i criteri fondamentali che considerate quando selezionate nuovi fornitori da un punto di vista della sicurezza informatica?
- Come viene gestita la formazione e la sensibilizzazione dei vostri fornitori riguardo alle migliori pratiche di sicurezza informatica?
- Avete mai affrontato incidenti di sicurezza causati da fornitori? In caso positivo, quali sono state le lezioni apprese da queste esperienze? Avete implementato procedure specifiche per la gestione degli incidenti di sicurezza che coinvolgono i vostri fornitori? Se sì, quali sono?
PARTECIPANTI (preliminare):
30 CISO / Responsabili della sicurezza informatica dei diversi settori (Industria, mondo Energy, infrastrutture critiche, Servizi e Finanza)
https://www.theinnovationgroup.it/events/digital-italy-summit-2023/?type=0&lang=it.