La sicurezza informatica delle infrastrutture energetiche è oggi un tema prioritario nel panorama dei rischi operativi e strategici. La progressiva digitalizzazione del settore e la crescente connessione delle reti hanno ampliato le possibilità di accesso degli hacker intenzionati a compiere violazioni o manomissioni mediante attacchi cyber.
A livello europeo, il quadro normativo dettato dalla Direttiva NIS (Network and Information Security) dell’agosto 2016 sarà presto aggiornato tenendo conto della nuova Strategia sulla cybersecurity. Questo documento è stato presentato il 16 dicembre 2020 insieme a una proposta di revisione della Direttiva NIS (ovvero la NIS2) finalizzata ad integrare misure per garantire un ancor più elevato livello di sicurezza informatica in tutta l’Unione Europea.
La revisione non ha modificato in modo sostanziale l’elenco degli “Operatori dei Servizi Essenziali” (OSE) già individuato dalla NIS del 2016, nel quale confluiscono tutti i soggetti pubblici o privati che:
- forniscono servizi essenziali per il mantenimento di attività sociali o economiche fondamentali;
- forniscono servizi essenziali dipendenti dalla rete e dai sistemi informativi;
- sarebbero danneggiati in caso di incidenti informativi, con impatti sull’erogazione dei servizi.
In Italia, il compito di stilare l’elenco degli Operatori di Servizi Essenziali è stato affidato al Ministero dello Sviluppo Economico, che a tal proposito ha emanato il D.lgs. n 65/18. L’elenco nazionale conta più di 450 organizzazioni pubbliche e private, ed è soggetto ad un regolare riesame ed aggiornamento.
Già nel 2018, EP Produzione aveva avviato la procedura NIS sul suo parco di generazione, attivando un processo in tre fasi:
- Asset Inventory su tutti gli hardware e software per identificare gli eventuali punti di vulnerabilità;
- Risk Assessment per valutare i rischi di vulnerabilità degli asset e redigere un Remediation Plan con iniziative per garantire la conformità dei sistemi ai requisiti della Direttiva;
- Implementazione degli interventi di miglioramento della cybersecurity previsti.
Nel 2020, la procedura è stata conclusa per tutti gli impianti del Gruppo inseriti nell’elenco ministeriale. Contestualmente, è stato avviato un processo analogo anche su tutti gli impianti non in elenco.
