Binetti CISO AQP: NIS2 e la best practice di AQP ad Apulia Cybersecurity Forum
Relatore all’Apulia Cybersecurity Forum di Exprivia, Ivano Binetti, CISO di AQP, Acquedotto Pugliese, spiega ai microfoni di S News le principali sfide in termini di cybersecurity introdotte dalla nuova Direttiva Europea NIS2 e come AQP le sta affrontando.
NIS2: le nuove sfide e i requisiti cyber dal profilo organizzativo e tecnologico
“Le nuove sfide introdotte dalla NIS2 – sottolinea Binetti – sono sicuramente molteplici e complesse. La Direttiva (UE) 2022/2555, abbreviata in NIS (Network and Information Security) 2, ha introdotto delle misure finalizzate a stabilire un livello comune elevato di sicurezza informatica all’interno dell’Unione Europea, abrogando la precedente Direttiva NIS ed ampliando il perimetro di applicazione a 18 settori, di cui 11 altamente critici e 7 critici (di nuova introduzione), all’interno dei quali gli oltre 80 soggetti coinvolti verranno classificati come essenziali o importanti. In AQP siamo già consapevoli di rientrare, come soggetti essenziali, nel perimetro di sicurezza delineato dalla NIS2 relativamente alla erogazione di “Acqua Potabile” ed alla gestione di “Acque reflue” in virtù anche delle importanti dimensioni della nostra Azienda. Ricordo che AQP è il più grande Acquedotto d’Europa con una rete idrica che si estende su oltre 20.000 km (30 volte circa la lunghezza del fiume Po) per servire circa quattro milioni di abitanti.
La NIS2 introduce nuovi ed importanti requisiti cyber sia dal punto di vista organizzativo che tecnologico. Le principali novità riguarderanno il nuovo coinvolgimento e le relative responsabilità degli Organi di Amministrazione e degli Organi Direttivi che dovranno approvare il piano di compliance alla NIS2, ossia le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica. Dal punto di vista tecnologico sarà necessario adottare tutte le misure atte a minimizzare il rischio cyber, con particolare riferimento al controllo della Supply Chain, diventato un elemento fondamentale all’interno del processo di risk assessment e management. Altre importanti novità riguardano l’obbligo di notifica di un incidente cyber significativo, entro 24 ore e senza ingiustificato ritardo, ad ACN (Agenzia per la Cyber Sicurezza Nazionale), identificata come Autorità nazionale competente NIS2, e le nuove sanzioni previste in caso di violazioni che, nel caso di un soggetto essenziale, possono arrivare sino a 10 milioni di euro o al 2% del fatturato annuo su scala mondiale”.
NIS2: Binetti e la best practice di AQP
“In AQP – specifica Binetti – al fine di garantire l’adeguamento normativo alla NIS2, stiamo già implementando nuovi processi e nuove tecnologie atte ad innalzare il livello di sicurezza informatica della nostra infrastruttura di rete e delle nostre applicazioni e diminuire il rischio cyber. Alcuni esempi riguardano la messa in sicurezza della nostra papeline di build automation, attraverso l’attività di analisi statica del codice sorgente delle nostre applicazioni, finalizzata all’individuazione di vulnerabilità già in fase di sviluppo, l’introduzione dell’obbligo di sottoporre a Penetration Test tutte le applicazioni prima delle loro messa in produzione, l’adozione di una procedura ben definita di gestione degli incidenti cyber.
Per il controllo della Supply Chain abbiamo già introdotto all’interno delle nostre gare un “Allegato Security” contenente tutti i requisiti di cyber security a cui i nostri fornitori dovranno adeguarsi. Siamo inoltre molto attenti a monitorare il dark e deep web, tramite tecnologie di Threat Intelligence al fine di essere informati prontamente circa eventuali exfiltration di credenziali di accesso sia nostre che dei nostri fornitori” conclude il CISO di AQP.
Questi ed ulteriori contenuti nell’interessante e strutturata intervista che segue.
Buona visione!
