Nuovo
Richiedi una demo

Come conformarsi al Cyber Sicurezza and Resilience Bill del Regno Unito

Conformità
Andrew Simmonds fotoAS
Andrew Simmonds

Content Writer

Andy French fotoAF
Andy French

Director of Product Marketing

Il Cyber Sicurezza and Resilience Bill è una prossima normativa del Regno Unito che estenderà gli obblighi obbligatori di cybersicurezza a un insieme più ampio di organizzazioni, incluse i managed service provider e i data center, e inasprirà le regole per i settori già coperti dal NIS Regulations 2018.  

Per essere conformi al Cyber Sicurezza and Resilience Bill, le organizzazioni dovrebbero allineare i controlli di sicurezza, le procedure di segnalazione degli incidenti e le capacità di ripristino al NCSC Cyber Assessment Framework (CAF). L’adesione a questo framework sta passando da volontaria a sempre più obbligatoria. Adottando ora il framework, le organizzazioni possono garantire che, quando si verifica un incidente informatico, siano in grado di rilevare, segnalare e ripristinare entro le tempistiche richieste dalla legge.  

Questa guida fornisce i passaggi per ottenere esattamente questo risultato. Per maggiori informazioni sulla normativa in sé, consulta il nostro articolo completo su che cos’è il Cyber Sicurezza and Resilience Bill e su come impatta le aziende. 

Punti chiave

  • Il CSR Bill si applica alle organizzazioni che erogano servizi essenziali e a un nuovo insieme di fornitori di infrastrutture digitali, inclusi i managed service provider e i data center, molti dei quali erano completamente al di fuori del precedente framework NIS. 
  • Il Bill definisce aspettative ampie in materia di governance, gestione del rischio e resilienza operativa. 
  • Le aree di attenzione per raggiungere la conformità dovrebbero includere: controlli di sicurezza allineati al NCSC CAF, segnalazioni di incidente presentate entro 24 e 72 ore, gestione attiva del rischio della supply chain e capacità di fornire ai regolatori evidenze della gestione del rischio su richiesta. 
  • Nella pratica, i regolatori esamineranno quasi certamente le capacità di backup e ripristino. Backup che un attaccante può raggiungere, alterare o eliminare non offrono una postura di ripristino conforme. 
  • Absolute Immutability significa accesso zero ad azioni distruttive, quindi nessuno, nemmeno l’amministratore più privilegiato o un attaccante con compromissione completa, può modificare o eliminare i dati di backup. Questo soddisfa nella pratica elementi chiave dei requisiti dell’Obiettivo D del CAF. 
  • Object First offre storage di backup sicuro, semplice e potente, assolutamente immutabile e progettato appositamente per Veeam, garantendo l’allineamento al CSR Bill. 

Chi deve essere conforme al Cyber Sicurezza and Resilience Bill? 

Il Bill mantiene tutti i settori coperti dal NIS Regulations 2018 e aggiunge diverse categorie che in precedenza erano fuori dal framework: 

Operatori di Servizi Essenziali (mantenuti dal NIS 2018) 

  • Energia: generatori e distributori di elettricità, operatori oil & gas e operatori delle reti energetiche. I fornitori di servizi di pubblica utilità rientrano in questa categoria. 
  • Trasporti: operatori aerei, ferroviari, stradali e marittimi i cui servizi sono critici per le infrastrutture nazionali. 
  • Sanità: trust del NHS, fornitori sanitari privati e altre organizzazioni sanitarie. La protezione del backup in ambito sanitario e del ripristino dei dati è un focus specifico, data l’esposizione del settore al ransomware. 
  • Acqua potabile: operatori di approvvigionamento e distribuzione idrica. 
  • Infrastruttura digitale: punti di interscambio Internet, fornitori di sistemi DNS, registri di domini di primo livello e, più in generale, operatori di infrastrutture digitali. 
  • Fornitori di Servizi Digitali Rilevanti (RDSP): marketplace online, motori di ricerca online e servizi di cloud computing già regolamentati dal NIS 2018. Anche grandi fornitori SaaS e vendor di software enterprise che soddisfano le soglie pertinenti rientrano in questa categoria. 

Altri settori che, nella pratica, rientrano nelle definizioni di OES e RDSP includono servizi finanziari e piattaforme fintech (laddove gestiscano infrastrutture digitali critiche), operatori di telecomunicazioni e provider di servizi Internet, università e istituti di ricerca che trattano dati sensibili e servizi pubblici che gestiscono sistemi di rete e informativi. 

Nuove categorie aggiunte dal CSR Bill

  • Managed Service Provider (MSP): qualsiasi organizzazione che fornisce, su contratto, gestione IT continuativa, supporto, manutenzione o monitoraggio, quando si connette o accede alla rete di un cliente. Gli MSP saranno regolamentati dall’Information Commissioner’s Office (ICO). Le piccole e micro-imprese sono attualmente esentate, anche se le aziende che crescono oltre tali soglie rientreranno nel perimetro. 
  • Data center: strutture condivise o multi-tenant con capacità pari o superiore a 1 MW e strutture enterprise single-tenant con capacità pari o superiore a 10 MW. Ofcom e DSIT agiranno come regolatori congiunti. Le soglie sono progettate per includere strutture sufficientemente grandi affinché un loro guasto provochi una significativa interruzione economica o operativa. 
  • Controller di grandi carichi: organizzazioni che gestiscono da remoto carichi elettrici rilevanti (300 MW o più) all’interno della rete elettrica e possono quindi influenzarne la stabilità. Ofgem è il regolatore competente. 
  • Fornitori Critici Designati (DCS): i regolatori acquisiscono il potere di includere direttamente singoli fornitori nel perimetro, indipendentemente dal fatto che rientrino o meno nelle categorie settoriali sopra indicate. I criteri per la designazione: fornitura di beni o servizi a un’organizzazione regolamentata; un guasto del fornitore causerebbe una significativa interruzione di un servizio essenziale; l’operatività del fornitore dipende da sistemi di rete e informativi; e non si applica già una regolamentazione cyber equivalente. Le piccole imprese non sono automaticamente esentate: una micro-impresa che occupa una posizione critica in una supply chain può comunque essere designata. 

Il Segretario di Stato ha inoltre il diritto di estendere la popolazione regolamentata tramite normativa secondaria, senza necessità di nuova legislazione primaria. 

Per ancora più dettagli, scarica la nostra guida completa al CSR Bill

Requisiti chiave del CSR Bill del Regno Unito per le aziende

Il CSR Bill impone i seguenti quattro obblighi fondamentali alle organizzazioni rientranti nel perimetro: 

  1. Allinearsi al NCSC Cyber Assessment Framework

    Il CAF è lo standard tecnico rispetto al quale i regolatori intendono valutare la conformità, passando da base volontaria a base legale per le organizzazioni regolamentate. Il CAF è organizzato attorno a quattro obiettivi: gestione del rischio di sicurezza, protezione dagli attacchi informatici, rilevamento degli eventi di cybersicurezza e minimizzazione dell’impatto degli incidenti. Le organizzazioni rientranti nel perimetro devono dimostrare progressi su tutti e quattro.

  2. Segnalare gli incidenti entro 24 e 72 ore

    Un incidente significativo deve essere segnalato al regolatore competente e al National Cyber Sicurezza Centre entro 24 ore dal momento in cui se ne viene a conoscenza. Un rapporto scritto completo, inclusa una valutazione dell’impatto, deve seguire entro 72 ore. Ciò che attiva l’obbligo di segnalazione è più ampio rispetto al NIS 2018: il ransomware è ora esplicitamente incluso, così come le attività di preposizionamento, in cui un attaccante ha ottenuto accesso ma non ha ancora causato un’interruzione visibile. MSP e RDSP devono inoltre notificare i clienti interessati non appena ragionevolmente possibile dopo aver presentato la segnalazione al regolatore. 

  3. Gestire il rischio della supply chain

    Le organizzazioni OES e RDSP sono tenute a identificare e gestire attivamente i rischi cyber posti dai propri fornitori. Ciò include la mappatura delle dipendenze, il rafforzamento delle tutele contrattuali e la verifica che i dati detenuti o gestiti da terze parti rispettino gli stessi standard di resilienza dei dati gestiti internamente.

  4. Preparare evidenze di gestione continua del rischio

    I regolatori hanno ampliato i poteri di ispezione e raccolta informazioni. Possono richiedere evidenze di come il rischio venga gestito in modo continuativo, ispezionare sedi, esaminare documentazione, testare sistemi e intervistare il personale. 

Sanzioni

Il Bill sostituisce l’attuale regime sanzionatorio a tre livelli con una struttura più lineare a due fasce, parametrata al fatturato. Le violazioni gravi, come il mancato rispetto degli obblighi di sicurezza o la mancata segnalazione degli incidenti, comportano una sanzione massima di 17 milioni di sterline o del 4% del fatturato mondiale, a seconda di quale sia maggiore. Le infrazioni meno gravi, come le mancate registrazioni, comportano un massimo di 10 milioni di sterline o del 2% del fatturato mondiale. Per violazioni continuative si applicano sanzioni giornaliere fino a 50.000 sterline. I regolatori possono inoltre tenere conto di fattori attenuanti, inclusi i tentativi genuini dell’organizzazione di porre rimedio a una violazione e il suo storico di conformità. 

 

I controlli di backup, ripristino e recovery che soddisfano il Bill

La conformità a tutti gli Obiettivi del CAF sarà importante, ma quando un incidente reale attiva un’indagine, i regolatori si concentreranno certamente sul fatto che l’organizzazione sia effettivamente in grado di ripristinare. Ecco alcuni aspetti da tenere a mente: 

Che cos’è l’Obiettivo D del CAF? 

L’Obiettivo D del CAF, “Minimizzare l’impatto degli incidenti di cybersicurezza”, è lo standard pertinente in questo contesto. Questo obiettivo valuta la capacità di un’organizzazione di rispondere agli incidenti e ripristinare le funzioni essenziali. È strutturato attorno a due principi:  

  • D1: Pianificazione della risposta e del ripristino
  • D2: Lezioni apprese

Soddisfare l’Obiettivo D richiede più di un piano di ripristino documentato. In un audit successivo a un incidente, ci si aspetta evidenza di tre elementi: backup che un attaccante non possa raggiungere o alterare, prova che tali backup non siano stati corrotti e registri di ripristino testati che mostrino quanto rapidamente l’organizzazione possa riportare in esercizio i sistemi critici. 

Perché i regolatori si interessano ai backup? 

Il motivo per cui i regolatori si concentrano in modo così specifico sull’integrità dei backup è che i moderni attacchi ransomware prendono sempre più di mira direttamente i repository di backup, corrompendo i dati, eliminando i punti di ripristino o modificando silenziosamente le impostazioni di conservazione. Un’organizzazione i cui backup sono stati compromessi ha, di fatto, perso la capacità di ripristinare.  

L’enfasi del Bill sulla ripristinabilità riflette direttamente questa minaccia. Ai sensi della Clausola 10 dell’bozza attuale, i Relevant Managed Service Providers devono “identificare e adottare misure appropriate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi di rete e informativi su cui fanno affidamento” — misure che devono “garantire un livello di sicurezza dei sistemi di rete e informativi adeguato al rischio posto e prevenire e minimizzare l’impatto degli incidenti.”  

Come Absolute Immutability contribuisce alla conformità al CSR Bill

L’immutabilità è il controllo tecnico che affronta gli elementi evidenziati sopra. Quando i dati di backup vengono scritti su archivio immutabile, non possono essere modificati o eliminati durante il periodo di conservazione, né da un attaccante che ha ottenuto accesso alla rete né da un amministratore che agisce sotto coercizione. 

Tuttavia, alcuni sistemi che dichiarano di offrire backup “immutabili” presentano eccezioni e scappatoie nascoste. Absolute Immutability significa che nemmeno l’amministratore più privilegiato o un attaccante con accesso allo storage di backup può modificare o eliminare i dati. Questo è ottenibile solo con un sistema di storage di backup “secure-by-design”, con Zero Access per eseguire azioni distruttive, e tale Zero Access deve essere verificabile tramite test di terze parti. 

Il ripristino rapido conta tanto quanto l’integrità di ciò che viene archiviato. Il focus del CSR Bill sulla resilienza operativa riconosce che interruzioni prolungate nei servizi essenziali comportano conseguenze economiche e sociali; dati puliti sono utili solo se possono essere ripristinati rapidamente. 

Checklist di conformità al Cyber Sicurezza and Resilience Bill

Una conformità dimostrabile richiede di seguire cinque passaggi chiave:  

  1. Confermare se la tua organizzazione rientra nel perimetro
  2. Identificare i tuoi fornitori critici
  3. Monitorare le prossime linee guida regolatorie
  4. Rivedere la prontezza della risposta agli incidenti
  5. Validare che il tuo assetto di gestione del rischio e di ripristino

Per una guida completa su come realizzare ciascuno di questi passaggi, scarica la nostra Checklist di conformità al CSR Bill

Come Object First supporta la conformità al CSR Bill 

Quando—non se—il ransomware colpisce, il tuo futuro dipende dalla resilienza informatica. Object First è la tua difesa definitiva: storage di backup con Immutabilità Assoluta, progettato appositamente per Veeam e pensato per rispondere direttamente ai controlli dell’Obiettivo D che i regolatori esaminano con maggiore severità. Basato su Zero Trust e testato e verificato da terze parti, Object First non richiede competenze di sicurezza e scala con la tua azienda. Quando lo storage di backup è così sicuro, semplice e potente, tu e la tua organizzazione siete Simply Resilient. 

 

Riepilogo 

Conformarsi al Cyber Sicurezza and Resilience Bill significa soddisfare quattro obblighi: allinearsi al NCSC CAF, segnalare gli incidenti entro 24 e 72 ore, gestire il rischio della supply chain e dimostrare ai regolatori, su richiesta, una resilienza continua.  

Le organizzazioni dovrebbero confermare subito il proprio stato di perimetro, ma restare vigili: il meccanismo di legislazione secondaria del Bill implica che anche chi oggi è fuori dalle definizioni attuali potrebbe essere incluso man mano che il quadro normativo si evolve.  

Tra gli obblighi citati, l’integrità dei backup e la velocità di ripristino sono gli aspetti che i regolatori scrutinano più duramente dopo un incidente reale. L’appliance di storage di backup di Object First, sicura, semplice e potente, garantisce backup resilienti e prestazioni di ripristino rapide—soddisfacendo i requisiti dell’Obiettivo D e offrendo un percorso rapido e robusto per il ripristino in caso di attacco ransomware o di altra perdita di dati.

FAQ 

Il CSR Bill è lo stesso della NIS? 

No. Il CSR Bill aggiorna ed estende i NIS Regulations 2018, invece di sostituirli completamente. Le principali differenze riguardano perimetro, segnalazione, enforcement e flessibilità.  

  • Sul perimetro: per la prima volta vengono inclusi MSP, grandi data center e grandi load controller, e i regolatori possono designare direttamente singoli fornitori critici.  
  • Sulla segnalazione: la finestra temporale 24/72 ore sostituisce un regime più permissivo e la gamma di incidenti da segnalare è più ampia—ransomware e attività di preposizionamento rientrano ora nel perimetro, mentre non avrebbero attivato obblighi ai sensi della NIS 2018.  
  • Sull’enforcement: la precedente struttura sanzionatoria a tre livelli lascia il posto a un modello a due fasce basato sul fatturato, eliminando i tetti massimi fissi che offrivano un deterrente limitato per le organizzazioni più grandi.  
  • Sulla flessibilità: invece di incorporare dettagli tecnici nella legislazione primaria, il Bill crea un quadro che la legislazione secondaria e i codici di condotta regolatori completeranno nel tempo.

Quali evidenze chiederà un regolatore dopo un incidente informatico? 

È probabile che un regolatore chieda: 

  • La notifica iniziale entro 24 ore e il report completo entro 72 ore
  • Un piano di risposta agli incidenti documentato che mostri i processi in essere prima dell’attacco
  • Evidenze dell’integrità dei backup—in particolare, registri che dimostrino che i dati di backup erano archiviati in una forma che non poteva essere modificata o cancellata
  • Registri dei test di ripristino che dimostrino che l’organizzazione aveva verificato in anticipo tempi e procedure di recovery
  • Un’analisi post-incidente che affronti la causa radice e le lezioni applicate.  

Quando il rischio della supply chain è un fattore contributivo, sarà rilevante anche la documentazione delle valutazioni di sicurezza dei fornitori.

Il CSR Bill richiederà modifiche alla mia configurazione di backup esistente? 

Dipende da ciò che hai oggi. Le organizzazioni con soluzioni di backup che archiviano i dati in una forma che può essere sovrascritta, cancellata da un utente privilegiato o accessibile tramite una backdoor amministrativa dovranno probabilmente colmare queste lacune.  

Aggiungere un’appliance di storage backup immutabile come Object First è il modo più diretto per eliminare questa esposizione senza ricostruire l’intero stack di backup. Opera come un target hardenizzato per i dati di backup, mantenendo intatti strumenti e flussi di lavoro esistenti.  

Guide correlate

Visualizza tutto