Il PCICSO, ovvero l’Ordinanza sulla protezione delle infrastrutture critiche (sistemi informatici), è un nuovo quadro normativo introdotto dal governo di Hong Kong per rafforzare la sicurezza informatica e la resilienza dei CIO (operatori di infrastrutture critiche). In vigore dal gennaio 2026, l'ordinanza stabilisce gli obblighi di legge a cui sono soggetti i CIO per proteggere i propri sistemi informatici dalle minacce informatiche, gestire i rischi in modo proattivo e rispondere efficacemente agli incidenti di sicurezza informatica. Questa normativa chiarisce che gli operatori di infrastrutture critiche sono ora tenuti a dimostrare di applicare controlli rigorosi e applicabili su come vengono gestiti sistemi, dispositivi e dati.
Ordinanza sulla protezione delle infrastrutture critiche (sistemi informatici) (PCICSO)
Il quadro normativo PCICSO si articola attorno a tre obblighi fondamentali, al fine di fornire ai CIO un approccio completo e sistematico alla gestione dei rischi informatici. I CIO sono definiti come organizzazioni designate dall'autorità di regolamentazione in base alla loro dipendenza dalle operazioni fondamentali dei sistemi informatici, alla sensibilità dei dati controllati, al livello di controllo operativo e gestionale sull'infrastruttura e alle informazioni fornite ai fini della conformità.
I tre obblighi fondamentali che i CIO sono tenuti a rispettare sono:
- Aspetti organizzativi: requisiti di governance e organizzativi volti a garantire una chiara attribuzione delle responsabilità, politiche e un adeguato controllo in materia di sicurezza informatica.
- Prevenzione: misure preventive e di protezione che impongono agli operatori di adottare adeguate misure tecniche e operative per garantire la sicurezza dei sistemi informatici critici.
- Segnalazione e risposta agli incidenti: capacità di garantire il rilevamento, la gestione e la notifica tempestivi degli incidenti significativi in materia di sicurezza informatica.
Punti salienti
Sebbene l'ordinanza copra un'ampia gamma di requisiti, vi sono alcuni punti chiave che i CIO dovrebbero tenere a mente. Secondo l'Allegato 3, Parte 1 dell'ordinanza, gli operatori sono tenuti ad adottare politiche volte a:
- Individuare, valutare, monitorare, mitigare e gestire i rischi relativi alla sicurezza dei sistemi informatici e alle vulnerabilità dei sistemi
- Controllare l'accesso ai sistemi informatici critici
- Gestire i fornitori di servizi e prodotti informatici utilizzati per i sistemi
Soluzioni all'avanguardia per facilitare la conformità
Endpoint dei dispositivi e Endpoint come base fondamentale
Le linee guida PCICSO attribuiscono grande importanza Endpoint e alla gestione delle vulnerabilità, richiedendo che queste ultime vengano individuate, valutate e risolte tempestivamente. Solo i dispositivi conformi dovrebbero essere autorizzati a interagire con i sistemi critici, mentre gli endpoint privi di patch, con software obsoleto o che presentano rischi per la sicurezza devono essere bloccati o soggetti a restrizioni fino alla risoluzione del problema. MetaDefender supporta la conformità a questi requisiti applicando la conformità dei dispositivi prima che venga concesso l'accesso e valutando ogni endpoint rispetto alle politiche aziendali. Questa valutazione include lo stato delle vulnerabilità e delle patch, garantendo che solo i dispositivi che soddisfano i requisiti di sicurezza richiesti possano connettersi.
Inoltre, MetaDefender Endpoint la gestione delle vulnerabilità e delle patch su tutti gli endpoint, coprendo sia i sistemi operativi che le applicazioni di terze parti. Rileva attivamente le vulnerabilità, risolve i rischi e fornisce soluzioni consigliate, con supporto per l'applicazione di patch su oltre 1.100 applicazioni. Per garantire la conformità verificabile e facilitare le indagini sugli incidenti, lo stato di sicurezza e conformità di tutti gli endpoint può essere monitorato e verificato centralmente tramite My Central Management.
Ridurre Media rimovibili
Il controllo degli accessi è uno degli aspetti chiave dell'ordinanza. Ciò rende ancora più necessario che i responsabili IT gestiscano con attenzione tutte le vie di accesso ai sistemi critici, compresi i supporti rimovibili.
L'uso di USB e altri supporti portatili rimane diffuso negli ambienti operativi, specialmente laddove le reti sono segmentate o isolate, rendendoli un vettore di attacco ad alto rischio negli ambienti OT/ICS. Secondo il rapporto SANS 2025 sul bilancio OT/ICS, il 15,2% dei vettori di attacco proveniva da supporti rimovibili compromessi.
Per mitigare tali rischi, OPSWAT le organizzazioni a prevenire i rischi legati ai supporti rimovibili attraverso:
- Riduzione Media rimovibili al punto di ingresso:MetaDefender protegge i flussi di dati in ambienti critici tramite la scansione e la sanificazione dei supporti rimovibili al punto di ingresso. È stato inserito nella DeltaV Silver Alliance di Emerson, a dimostrazione della sua efficacia in diversi ambienti e casi d'uso.
- Endpoint e controllo dei dispositivi prima dell'esecuzione: MetaDefender offre una protezione avanzata degli endpoint per gli ambienti operativi, eseguendo una scansione attiva dei supporti rimovibili al momento dell'inserimento e garantendo che solo i dispositivi o i contenuti sicuri possano accedere ai sistemi critici.
- Media come ulteriore livello di protezione: MetaDefender Endpoint e MetaDefender Media garantiscono un ulteriore livello di sicurezza applicando politiche di scansione e sanificazione.
- Monitoraggio centralizzato della protezione: tramite My Central Management, MetaDefender e MetaDefender supportano l'applicazione centralizzata delle politiche per controllare l'accesso ai dispositivi, monitorare e gestire l'utilizzo dei supporti rimovibili e registrare le attività.
Gestione degli accessi da parte degli appaltatori e Supply Chain e archiviazione Secure
Poiché le infrastrutture critiche non possono operare in totale isolamento, le attività quotidiane richiedono spesso di concedere l'accesso alla rete a dispositivi esterni portati da fornitori, appaltatori e partner. I dispositivi temporanei, come i computer portatili di terze parti e le postazioni di lavoro sostitutive, possono sfuggire a un adeguato controllo a causa della fretta o di strumenti di verifica insufficienti, creando potenziali vettori di attacco iniziali.
Dati recenti del settore, tratti dai rapporti "SANS 2025 ICS/OT" e "IBM 2025 Cost of a Data Breach", hanno rivelato che:
- Gli attacchi transitori ai dispositivi sono aumentati del 221%
- Il 27,3% di tutti gli incidenti OT ha avuto origine da dispositivi transitori
- Le violazioni che coinvolgono soggetti terzi e la catena di approvvigionamento comportano un costo medio di circa 4,9 milioni di dollari per ogni episodio
MetaDefender Drive progettato per risolvere questi problemi, eseguendo la scansione e la verifica dei dispositivi temporanei prima di concedere loro l'accesso alle reti critiche. Grazie a una scansione sicura prima dell'avvio, gli operatori possono ispezionare i dispositivi al di là del sistema operativo host per individuare minacce nascoste prima che entrino nella rete.
Per i sistemi critici che non possono essere spenti a causa di vincoli operativi, MetaDefender Drive supportaDrive la scansione in-session, consentendo l'ispezione dei dispositivi mentre il sistema operativo è in esecuzione e garantendo un'analisi approfondita in ambienti critici in cui i tempi di inattività sono inaccettabili.
Inoltre, MetaDefender Drive Smart Touch garantisce un'archiviazione sicura dei file: funziona come una normale USB , ma nasconde i file non sottoposti a scansione, consentendo la condivisione o la distribuzione solo di quelli già controllati.
Segmentazione della rete e flusso di dati unidirezionale
Al di là della segmentazione logica, PCICSO riconosce che alcuni sistemi critici richiedono garanzie più solide rispetto a quelle offerte dai controlli basati su software. Firewall, ACL e politiche di segmentazione rimangono vulnerabili a configurazioni errate, abuso delle credenziali e exploit zero-day. Per i sistemi ad alto impatto, in cui la disponibilità e l'integrità sono fondamentali, l'applicazione fisica dei confini di affidabilità rappresenta un controllo decisivo.
MetaDefender soddisfa questa esigenza attraverso un flusso di dati unidirezionale garantito a livello hardware, che assicura che i dati possano uscire dagli ambienti critici per il monitoraggio, l'analisi e la rendicontazione di conformità, impedendo al contempo le comunicazioni in entrata. A differenza dei controlli di rete convenzionali che si basano sull'applicazione delle politiche, questo approccio elimina per sua natura intere classi di vettori di attacco. Impedisce a malware, comandi remoti e movimenti laterali di rientrare nei sistemi protetti, sostenendo l'enfasi posta dal PCICSO sulla riduzione del rischio sistemico e sulla limitazione delle vie di esposizione ai sistemi critici.
Da un punto di vista operativo, MetaDefender consente ai responsabili IT (CIO) di adempiere agli obblighi di monitoraggio, registrazione e rendicontazione senza compromettere l'isolamento dei sistemi. I registri, i dati di telemetria e le metriche operative possono essere trasmessi in modo sicuro agli ambienti IT o SOC per un'analisi centralizzata, mentre i sistemi OT e di controllo rimangono intatti, garantendo la conformità all'ordinanza.
Dalla conformità alla resilienza
L'applicazione delle nuove linee guida dell'ordinanza di Hong Kong sulla sicurezza informatica aiuta le organizzazioni a garantire la conformità dei dispositivi, a controllare il trasferimento dei file, a gestire i supporti rimovibili e a segmentare le reti. Poiché le infrastrutture critiche diventano sempre più interconnesse pur continuando a basarsi su sistemi che non tollerano interruzioni, i controlli di sicurezza devono funzionare senza compromettere le operazioni.
OPSWAT integra queste funzionalità su endpoint, supporti rimovibili, dispositivi temporanei e flussi di dati, affrontando i punti di accesso più comuni e garantendo al contempo la visibilità richiesta dalle autorità di regolamentazione. Per saperne di più su come OPSWAT le organizzazioni che gestiscono infrastrutture critiche a soddisfare questi requisiti e a rafforzare la resilienza informatica, contattate oggi stesso uno dei nostri esperti.
