Il settore energetico e la spina dorsale di qualsiasi economia moderna. Un blackout prolungato non ferma solo le luci — ferma ospedali, trasporti, comunicazioni, produzione industriale, sistemi bancari. Per questo la NIS2 classifica l'energia come settore essenziale di massima criticita, con gli obblighi piu stringenti e le sanzioni piu elevate.
L'Italia, con la sua rete energetica complessa che include produzione, trasmissione, distribuzione di elettricita, gas e petrolio, e un bersaglio di alto valore per attori statali e gruppi criminali. Gli attacchi alle infrastrutture energetiche europee sono in costante aumento dal 2022.
Il perimetro NIS2 nel settore energia
| Sottosettore | Soggetti coinvolti | Criticita |
|---|---|---|
| Energia elettrica | Produttori, gestori rete trasmissione/distribuzione, operatori mercato | Massima |
| Petrolio | Operatori oleodotti, raffinerie, stoccaggio | Massima |
| Gas naturale | Gestori rete trasporto/distribuzione, stoccaggio, GNL | Massima |
| Idrogeno | Produttori, trasportatori, distributori | Alta |
| Teleriscaldamento | Gestori reti di teleriscaldamento/raffreddamento | Alta |
La convergenza IT/OT: il rischio principale
Il rischio maggiore nel settore energetico e la convergenza tra reti IT (informatiche) e reti OT (operative, che controllano impianti fisici). Storicamente separate, queste reti si stanno integrando per ragioni di efficienza e digitalizzazione. Ma questo significa che un attacco alla rete IT puo propagarsi alla rete OT, con conseguenze fisiche: un malware puo spegnere una sottostazione elettrica o aprire una valvola di un gasdotto.
L'attacco Industroyer alla rete elettrica ucraina nel 2016 ha dimostrato che non si tratta di teoria: un malware specifico per protocolli industriali (IEC 104, IEC 61850) puo manipolare direttamente i sistemi SCADA. E varianti piu evolute sono gia state identificate in natura.
Misure NIS2 specifiche per l'energia
- Segmentazione IT/OT rigorosa — le reti operative devono essere fisicamente o logicamente separate dalla rete aziendale
- Monitoraggio OT dedicato — strumenti specifici per i protocolli industriali (Nozomi Networks, Claroty, Dragos)
- Patch management OT — i sistemi SCADA non possono essere aggiornati come i PC, servono finestre di manutenzione pianificate
- Red team OT — penetration test specifici per ambienti industriali, con competenze sui protocolli SCADA
- Piano di continuita specifico — come mantenere l'erogazione del servizio durante un incidente cyber
- Coordinamento con ARERA — l'autorita energetica collabora con l'ACN sulla supervisione
Il ruolo del CISO industriale
Nel settore energetico, il CISO deve avere competenze sia IT che OT — una combinazione rara. Deve capire di protocolli industriali (Modbus, DNP3, IEC 104), di safety dei processi fisici e di normative settoriali. Molte utility stanno creando team dedicati alla sicurezza OT, distinti dal team IT ma coordinati con esso.