Negli ultimi anni, in tutti i contesti (fisici e virtuali), abbiamo constatato l’importanza della resilienza. Essa non è più un’opzione. Per superare qualsiasi tipo di ostacolo e scongiurare ogni tipo di interruzione possibile è di vitale importanza che qualsiasi organizzazione la raggiunga. Ne sono un esempio i cyberattacchi, ma l’errore umano e gli incidenti rimangono il motivo più comune di blocco delle attività, così come anche i guasti di macchinari, la carenza di materie prime o l’interruzione della catena logistica.
La resilienza, definita dalla Direttiva CER come “la capacità di un’entità critica di prevenire, proteggersi, reagire, resistere, mitigare, assorbire, adattarsi e riprendersi da un evento“, è dunque diventata una priorità per le organizzazioni, soprattutto per quelle che forniscono servizi vitali per la società, l’economia, l’ambiente, la salute e la sicurezza pubblica. Per queste entità critiche, la resilienza è così importante da essere diventata un requisito di legge, sancito dalle Direttive NIS2 sulla sicurezza informatica e CER sulla resilienza delle entità critiche.
Perché è così importante raggiungere la resilienza? Da Axis, tre buoni motivi
Vista l’importanza del tema, gli esperti di Axis Communications, azienda specializzata nella sorveglianza video di rete, fanno chiarezza e spiegano in tre punti perché è così essenziale per le entità critiche integrare la resilienza in tutte le attività e catene del valore.
- Garantire conformità normativa nella gestione dei rischi
Ogni quattro anni, le entità critiche devono valutare l’evoluzione dei rischi, reali e potenziali, che potrebbero interrompere la fornitura di servizi essenziali. Inevitabilmente, nel loro sforzo per soddisfare i requisiti di legge in materia di resilienza, queste entità creeranno quell’auspicabile effetto cascata delle valutazioni del rischio, imponendo ai propri fornitori di dimostrare un impegno altrettanto concreto.
In caso di interruzioni, le entità critiche devono dimostrare di aver adottato misure adeguate a prevenire, reagire e riprendersi dagli eventi, pena sanzioni significative (ad esempio, la NIS2 prevede fino a 10 milioni di euro o il 2% del fatturato globale totale per l’esercizio finanziario precedente della società madre o del gruppo a cui appartiene l’entità critica, a seconda di quale valore sia maggiore).
Inoltre, il principio di trasparenza sancito dalle direttive impone la segnalazione degli eventi e la condivisione dei relativi rapporti per consentire ad altre organizzazioni di imparare dall’esperienza e migliorare le proprie strategie di gestione del rischio.
- Sviluppare un approccio predittivo alla manutenzione per massimizzare la continuità operativa
Nessun sistema può garantire l’eliminazione completa degli incidenti. Tuttavia, adottare un approccio proattivo alla sicurezza con soluzioni di sorveglianza intelligenti consente di ridurre significativamente i rischi. Creando un ambiente di lavoro più sicuro, è possibile migliorare la continuità operativa portando al minimo i tempi di inattività.
Le tecnologie basate su IP già in uso (come telecamere di videosorveglianza, dispositivi audio, sensori ambientali o sistemi di controllo accessi), integrate con analisi avanzate basate su AI, possono rafforzare la resilienza aziendale. I dati e metadati generati da questi dispositivi connessi permettono di analizzare situazioni a rischio, fattore essenziale ai fini della resilienza richiesta dalle normative.
Una gestione efficace del flusso digitale di informazioni oggi a disposizione delle aziende ne aumenta la consapevolezza e consente di prevenire l’insorgere di problemi. Ad esempio, in ambito industriale, sensori combinati (video, audio, termici) migliorano la trasparenza nelle aree produttive, fornendo avvisi tempestivi e favorendo un approccio predittivo alla manutenzione degli asset critici.
- Creare una difesa efficace contro gli attacchi informatici
Tutte le tecnologie utilizzate dalle entità critiche devono contribuire a ridurre il rischio di cyberattacco. Un dispositivo progettato per proteggere l’attività di un’entità critica non deve presentare di per sé rischi o vulnerabilità, ma deve essere sicuro per progettazione e adottare processi che lo mantengano tale per tutta la sua vita utile.
Questo è sempre più richiesto dalla normativa, dalle direttive specifiche per le entità critiche come la CER e la NIS2 allo European Cyber Resilience Act, che si applica a qualsiasi dispositivo elettronico collegato direttamente o indirettamente a una rete (da un altoparlante smart in casa a un server in un data center). Per questo è fondamentale lavorare con fornitori che dimostrino un chiaro impegno per la trasparenza in materia di cybersecurity.
Dichiarazioni
“Le autorità hanno riconosciuto la gravità del potenziale impatto delle interruzioni nella fornitura dei servizi da parte delle entità critiche, dalla sanità alla finanza, dal trattamento delle acque all’energia”, sottolinea Simone Biancardi, key account manager end customer di Axis Communications. “Il lavoro necessario per conformarsi alle nuove direttive non può essere sottovalutato. Molte realtà, soprattutto nella catena logistica, devono ancora adeguarsi e agire ora è una priorità”.
