ISEO pubblica un decalogo con le best practice per allineare i sistemi di controllo accessi ai vincoli della NIS2, requisito centrale per la resilienza cyber-fisica delle infrastrutture critiche. La direttiva europea ‘Network and Information Security 2 segna un cambio di paradigma nella sicurezza delle infrastrutture critiche, introducendo per la prima volta l’obbligo esplicito di adottare un approccio omnicomprensivo. Ovvero non più solo in termini di cybersecurity, ma di integrazione tra protezione informatica e fisica.
Già nella premessa della NIS2 infatti si precisa che “Le misure di gestione del rischio di cybersicurezza devono basarsi su un approccio ‘All-Hazards’ per proteggere i sistemi di rete e IT e l’ambiente fisico di tali sistemi da eventi quali furto, incendio, inondazione, guasti delle telecomunicazioni o dell’alimentazione elettrica, o accesso fisico non autorizzato”.
Il tallone d’Achille della sicurezza
Un obbligo che risponde a un rischio spesso sottovalutato: l’accesso fisico non controllato può rappresentare una vulnerabilità per gli attacchi cyber-fisici. Come evidenziato anche da ENISA (Agenzia dell’Unione europea per la cybersicurezza) nella ‘Technical Implementation Guidance’ alla NIS2. Tuttavia molte imprese dei settori critici hanno investito massicciamente in soluzioni di rilevamento e contrasto delle intrusioni digitali, ma hanno sottovalutato la sicurezza fisica e quanto può essere un punto debole per l’intera infrastruttura.
NIS2, focus sull’importanza di un controllo accessi più sicuro e capillare
L’Unione Europea ha infatti incluso la sicurezza fisica e il controllo degli accessi tra gli obblighi. Riconoscendo in questo modo che la cybersecurity non può essere separata dalla protezione fisica delle infrastrutture nei settori essenziali come energia, telecomunicazioni, trasporti e sanità. In questi casi la compromissione fisica può avere conseguenze tanto gravi quanto un attacco informatico. Un hacker o un attaccante interno (come un ex-dipendente) che ottiene accesso fisico a un data center, un server o ad apparecchiature di rete può bypassare le protezioni digitali. E così installare dispositivi di intercettazione, rubare hardware o sabotare direttamente le infrastrutture critiche.
Oltre la compliance: da dictat normativo a resilienza operativa
Il decalogo degli esperti ISEO identifica le best practice che trasformano il controllo accessi da semplice obbligo normativo a pilastro della business continuity. Passi che se implementati sono infatti in grado di generare vantaggi concreti come maggiore efficienza operativa, riduzione dei costi e tutela della reputazione aziendale:
Adottareun approccio ‘All-Hazards’ alla sicurezza. Integrare la protezione fisica con quella digitale seguendo il principio cyber-fisico richiesto da NIS2. L’accesso fisico non autorizzato rappresenta la ‘backdoor più grande’ per i criminali informatici: proteggere server, rack, armadi e aree critiche è fondamentale quanto proteggere i sistemi informatici.
Implementareil modello di sicurezza a strati (Onion Shell). Strutturare la sicurezza secondo le classi di protezione (da -1 a 4) come previsto dallo standard EN 50600, aumentando progressivamente i livelli di sicurezza dall’esterno verso le aree critiche. Ogni strato deve essere dotato di controlli di accesso adeguati al livello di criticità.
Digitalizzarei sistemi di controllo accessi. Sostituire i sistemi meccanici obsoleti con soluzioni digitali e connesse. I sistemi meccanici con brevetti scaduti rappresentano rischi significativi: le chiavi possono essere duplicate senza verifica e la tracciabilità è praticamente impossibile.
Garantiretracciabilità e auditabilità completa. Implementare sistemi che registrino ogni evento di accesso con log dettagliati: chi, dove, quando, perché e come. La conformità NIS2 richiede la possibilità di verificare a posteriori tutti gli accessi alle aree critiche per investigazioni e compliance.
Centralizzarela gestione delle credenziali. Adottare piattaforme che permettano la gestione centralizzata (locale o cloud) di tutte le credenziali di accesso, dalla periferia al core. Questo consente di rispondere rapidamente a smarrimenti, cambi di ruolo e situazioni di emergenza.
Implementaresistemi multi-credenziale. Utilizzare diverse tipologie di autenticazione (smart key, RFID, mobile key, PIN) in base alla criticità dell’area. Le zone di massima criticità (Classe 4) richiedono autenticazione multifattore.
Proteggereogni punto di accesso fisico. Estendere il controllo accessi non solo alle porte, ma anche a: rack server, armadi, cancelli, ascensori, cassette di sicurezza, depositi esterni. Ogni punto che può essere ‘aperto’ deve essere protetto da manomissioni e attacchi intelligenti.
Garantirela continuità operativa. Implementare sistemi che funzionino anche in caso di blackout o interruzioni di rete. Soluzioni con dispositivi di chiusura senza alimentazione o backup batteria garantiscono che le aree critiche rimangano protette anche durante emergenze.
Abilitarela revoca immediata delle credenziali. Assicurarsi che le credenziali possano essere disattivate con un click in caso di smarrimento, cessazione del rapporto di lavoro o compromissione. I sistemi digitali permettono la revoca istantanea, mentre i sistemi meccanici richiedono la sostituzione fisica di serrature.
Documentaree aggiornare costantemente le policy di accesso. Mantenere aggiornate le policy di accesso con permessi basati su ruolo, tempo e location. Condurre audit periodici per verificare che i diritti di accesso siano allineati alle responsabilità effettive e rimuovere tempestivamente i permessi non più necessari.
Con NIS2 la sicurezza viene ripensata in modo integrato
Alessandro Porta, Chief Commercial Officer di ISEO Ultimate Access Technologies La condivisione di questa guida si inserisce nell’impegno di ISEO nel supportare le aziende nel percorso verso la piena conformità alla NIS2. E non solo in quanto obbligo normativo, ma come opportunità per ripensare la sicurezza in modo integrato. ISEO è inoltre essa stessa un’Entità Essenziale ai sensi della NIS2 e, come tale, è tenuta alla conformità agli standard europei di sicurezza e resilienza previsti dalle normative. E agli stessi rigorosi requisiti che caratterizzano i settori critici. Un aspetto che rafforza il nostro ruolo di partner qualificato, capace di offrire anche competenze ed esperienze maturate direttamente sul campo sulla compliance alla direttiva.
