Questa norma sottolinea standard basati sulle prestazioni, in linea con il framework di cybersecurity dell’Istituto Nazionale di Standard e Tecnologia (NIST) e segue gli standard stabiliti dall’Agenzia per la Cybersecurity e la Sicurezza delle Infrastrutture (CISA). Si basa su misure di cybersecurity che la TSA ha già attuato tramite Direttive di Sicurezza annuali dal 2021.
Un elemento rilevante della proposta richiede agli operatori di trasporto di implementare un programma completo di gestione del rischio informatico (CRM), che includa valutazioni annuali di cybersecurity a livello aziendale e strategie dettagliate per la risposta e il recupero da incidenti. Gli operatori sono tenuti a monitorare i sistemi, mantenere backup e adottare protocolli solidi come la gestione delle patch e la segmentazione di rete per ridurre le vulnerabilità. Inoltre, la TSA propone verifiche e audit annuali di questi piani di cybersecurity per garantirne l’efficacia, con un processo di valutazione indipendente per evitare conflitti di interesse.
In una dichiarazione, l’Amministratore della TSA David Pekoske ha evidenziato la collaborazione tra la TSA e i partner del settore per aumentare la resilienza informatica, invitando il pubblico e l’industria a fornire feedback sulle normative proposte. Le parti interessate hanno tempo fino al 5 febbraio 2025 per presentare osservazioni sugli impatti economici e operativi.
La proposta include anche disposizioni per nuovi piani di valutazione della cybersecurity (CAP) approvati dalla TSA, che richiederebbero valutazioni e audit annuali. Inoltre, è prevista una proposta per valutazioni obbligatorie delle minacce alla sicurezza per i coordinatori della cybersecurity e i dirigenti che gestiscono questi programmi CRM.
Con l’evoluzione delle minacce informatiche, l’iniziativa della TSA rappresenta un importante passo avanti per proteggere i sistemi di trasporto di superficie della nazione, riflettendo l’impegno a costruire un quadro di cybersecurity più solido per tutelare le infrastrutture critiche.
Source: Industrial Cyber
La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.