Il processo di transizione verso le fonti rinnovabili sta comportando grandi cambiamenti nel settore energetico, tra cui la trasformazione delle reti elettriche in “smart grid”, ovvero in “reti elettriche intelligenti” integrate con infrastrutture ICT che consentono di gestire in maniera efficiente e decentrata la produzione e la distribuzione di energia elettrica.
Questa trasformazione comporta però anche nuovi rischi, visto che la digitalizzazione delle reti elettriche le espone a possibili attacchi ed incidenti informatici che possono compromettere la sicurezza energetica nazionale ed europea.
Alcuni dei rischi informatici a cui sono esposte “le reti elettriche intelligenti” sono specifici del settore energetico. Ad esempio, alcune componenti delle smart grid devono operare in tempo reale, eseguendo i comandi in pochi millisecondi, il che rende quasi impossibile, per mancanza di tempo, l’applicazione di misure di sicurezza informatica standard come la cifratura delle connessioni. Le principali minacce ed i rischi cibernetici a cui è esposto il settore energetico sono state riassunte in uno studio commissionato dalla Commissione europea e pubblicato nel 2018.
La Raccomandazione Ue sulla cyber sicurezza nel settore dell’energia
Consapevole dei rischi specifici del settore energetico, e del fatto che sia necessario sviluppare approcci settoriali al tema della sicurezza informatica, la Commissione europea ha recentemente adottato una Raccomandazione sulla cibersicurezza nel settore dell’energia che completa, per quanto riguarda il settore energetico, le iniziative di carattere più generale in materia di cybersecurity già prese a livello europeo, quali l’adozione della Direttiva NIS e del Cyber security Act. Questi strumenti normativi contengono infatti disposizioni formulate in termini molto generali e necessitano di essere accompagnati da regole settoriali più dettagliate.
I punti chiave della Raccomandazione
La Raccomandazione individua le principali misure che i gestori di reti energetiche dovrebbero adottare in materia di sicurezza cibernetica, dividendole in tre categorie:
- misure connesse alle esigenze delle componenti dell’infrastruttura energetica operanti in tempo reale;
- misure volte a prevenire effetti a cascata;
- misure relative alla coesistenza nel settore energetico di tecnologie vecchie e tecnologie all’avanguardia.
Come precedentemente illustrato, alcune delle componenti dei sistemi energetici operano in tempo reale, ovvero in maniera quasi istantanea. Per soddisfare le esigenze di queste componenti dell’infrastruttura energetica, la Raccomandazione incoraggia i gestori di reti energetiche ad applicare le più recenti norme tecniche di sicurezza per le nuove installazioni e a prendere in considerazione misure di sicurezza fisica complementari qualora i vecchi impianti non possano essere sufficientemente protetti da misure di sicurezza informatica.
Inoltre, gli operatori dovrebbero considerare l’utilizzo di reti private per i sistemi di teleprotezione al fine di garantire il livello di qualità del servizio richiesto per le contingenze in tempo reale. La Raccomandazione invita poi gli operatori a suddividere il proprio sistema complessivo in zone logiche e a definire, all’interno di ciascuna zona, i limiti di tempo e i vincoli di processo al fine di consentire l’applicazione di adeguate misure di sicurezza cibernetica o di prendere in considerazione metodi alternativi di protezione.
Data la stretta interconnessione che esiste tra le reti elettriche ed i gasdotti dei vari paesi europei, il verificarsi di un attacco informatico in una parte di un sistema energetico potrebbe innescare effetti a cascata in altre sue parti. Per evitare tali effetti a cascata, la Raccomandazione invita i gestori di reti energetiche a provvedere affinché i nuovi dispositivi, compresi i dispositivi IoT (Internet delle cose), abbiano e mantengano un livello di sicurezza cibernetica adeguato alle criticità individuate; a tenere debitamente conto degli effetti ciberfisici al momento della definizione e della revisione periodica dei piani di continuità operativa; ed a stabilire criteri di progettazione ed un’architettura atti a garantire la resilienza delle reti.
All’interno dell’attuale sistema energetico europeo convivono contemporaneamente tecnologie progettate più di trent’anni fa – quando ancora il tema della sicurezza cibernetica non veniva preso in considerazione – e tecnologie moderne, progettate in linea con l’attuale stato dell’arte in termini di cybersecurity.
La Raccomandazione esorta i gestori delle reti energetiche ad adottare una serie di misure per ovviare a questo problema. Ad esempio, li invita ad effettuare periodicamente un’analisi dei rischi specifici per la cibersicurezza su tutti gli impianti preesistenti, soprattutto quando si connettono tecnologie vecchie e nuove, e a collaborare con i fornitori di tecnologia per sostituire i sistemi preesistenti ogni volta in cui ciò possa apportare benefici in termini di sicurezza, tenendo tuttavia conto delle funzionalità essenziali del sistema.
Il valore giuridico della Raccomandazione
Da un punto di vista giuridico, la Raccomandazione non è vincolante né per gli Stati membri né per gli operatori del settore. Tuttavia, ciò non significa che la Raccomandazione sia priva di rilevanza giuridica. In primo luogo, la Raccomandazione invita gli Stati membri ad includere le considerazioni ed i principi contenuti nella stessa nel loro quadro nazionale per la sicurezza cibernetica, in particolare attraverso strategie, leggi, regolamenti ed altri provvedimenti amministrativi. È quindi possibile che alcuni degli elementi della Raccomandazione vengano resi obbligatori attraverso l’integrazione degli stessi in leggi e regolamenti nazionali vincolanti.
In aggiunta, anche qualora le misure previste dalla Raccomandazione non vengano rese obbligatorie a livello nazionale, queste potrebbero influire sull’interpretazione della normativa nazionale che recepisce la Direttiva NIS.
Infatti, la Corte di Giustizia europea ha più volte ribadito come i giudici nazionali siano tenuti a prendere in considerazione le raccomandazioni adottate dalla Commissione, in particolare quando queste sono di aiuto nell’interpretazione di norme nazionali adottate allo scopo di garantire la loro attuazione o mirano a completare norme europee aventi natura vincolante. Pertanto, visto che la Direttiva NIS – ed il Decreto Legislativo 68/2018 che la attua in Italia – si applicano anche agli operatori di servizi essenziali del settore energetico, la Raccomandazione potrebbe essere utilizzata per chiarire che cosa si debba intendere, ai sensi della normativa citata, per “misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi”, ovvero quelle misure di sicurezza che tali operatori sono tenuti ad adottare.
A questo proposito, è rilevante notare come la maggior parte delle misure previste dalla Raccomandazione siano specificamente rivolte agli operatori di servizi essenziali individuati nella Direttiva NIS.
La Commissione procederà ad una revisione periodica della Raccomandazione, anche sulla base degli input ricevuti dagli Stati membri e dagli operatori del settore nel corso dei prossimi due anni.
