Nell’agosto 2016 il Parlamento Europeo ha emanato la Direttiva NIS (Network and Information Security) al fine di rafforzare la cybersecurity e la resilienza informatica dei sistemi di controllo industriali, invitando i Paesi membri a definire in modo puntuale l’elenco degli “operatori dei servizi essenziali” soggetti a tali obblighi.
In Italia, il Ministero dello Sviluppo Economico è l’autorità competente per l’attuazione della direttiva nel settore energia e ha anche il compito di vigilare esercitando le relative potestà ispettive e sanzionatorie.
EP Produzione intende adottare tutte le misure tecniche e organizzative necessarie per assicurare un’adeguata gestione dei rischi sulle reti e sui sistemi informativi utilizzati per il controllo e la conduzione degli impianti. Nel 2019 è proseguito il progetto avviato nel 2018 e articolato in tre fasi:
- Asset Inventory: censimento di tutti gli hardware e i relativi software installati con l’obiettivo di identificare gli eventuali punti di vulnerabilità;
- Risk Assessment: valutazione dei rischi di vulnerabilità di tutti gli asset individuati, anche attraverso un Penetration test, effettuato mediante specifici strumenti che funzionano in maniera simile ai virus informatici e redazione di un Remediation Plan che individua le misure da implementare al fine di garantire la conformità dei sistemi ai requisiti della Direttiva e delle linee guida europee proprio per la definizione del Remediation Plan;
- Implementazione: attuazione degli interventi di miglioramento previsti, integrando appieno la cybersecurity nei processi aziendali.
