Nunzia Ciardi, Vice Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, tra i protagonisti della giornata di Alta Formazione su sicurezza OT e resilienza per il settore energetico, organizzata, il 14 maggio, da Areti e Acea Produzione in collaborazione con Cybersecurity Italia.
Come garantire l’erogazione di un servizio essenziale come l’energia elettrica in caso di attacco fisico o cibernetico alle infrastrutture energetiche?
Tenendo presente i requisiti, gli obblighi e le novità della NIS2, come garantire l’operativa dei servizi e la sicurezza energetica in questo contesto geopolitico, caratterizzato da tensioni internazionali, da guerre ibride e shock energetici?
A queste domande hanno risposto i relatori di “OT Security Day 2026: Sicurezza OT e Resilienza per il Settore Energetico”, l’evento di formazione aziendale organizzato, il 14 maggio, da Areti e Acea Produzione. Cybersecurity Italia ha collaborato all’organizzazione del convegno svoltosi la mattina e che ho avuto il piacere di moderare.
È stato un momento di Alta Formazione sulla Cybersicurezza e sulla Sicurezza Energetica per i dipendenti e top manager delle aziende del Gruppo Acea.
Ad aprire i lavori è stato Massimo Ravenna, CISO di Areti. “Questa giornata di formazione è dedicata all’OT Security, a un verticale specifico della sicurezza informatica. Attraverso questi momenti di confronto con speaker istituzionali e manager di altre aziende leader nel settore energico possono nascere per noi nuovi approcci, nuove Strategie di sicurezza e protezione e si possono sviluppare nuove competenze interne”.
Nunzia Ciardi (Vice Direttore Generale ACN): “Sicurezza OT e IT sono complementari. La cybersecurity non è solo una questione di sicurezza tecnica, ma va perseguita per proteggere le democrazie”
“Oggi parliamo di Sicurezza OT in Areti, ma farlo fino a dieci anni fa era qualcosa solo per super addetti ai lavori”, con queste parole Nunzia Ciardi, Vice Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha iniziato il Keynote Speech dal titolo “Energia e Cybersicurezza: infrastrutture critiche nel nuovo scenario europeo e globale”.
Ciardi ha rimarcato quanto oggi la Sicurezza OT sia legata alle principali catene di fornitura e riguarda la dimensione “fisica”.
Il guasto tecnico che ha costretto l’anno scorso in Spagna e Portogallo oltre 10 milioni di abitanti a stare senza rete elettrica e l’attacco cyber contro più di 30 distributori di energia della Polonia “sono un vero esempio di come si possano creare problemi strutturali ai singoli Paesi”, ha spiegato il Vice Direttore Generale di ACN.
E tra le priorità per il Vice Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale c’è la sicurezza della supply chain e l’incentivare, anche con quote minime, l’autonomia tecnologica europeo, a partire dalle soluzioni per la cybersecurity.
Per Nunzia Ciardi la sicurezza cibernetica “non è solo una questione di sicurezza tecnica, ma va perseguita” – questo il suo principale messaggio – “per mettere in sicurezza i diritti e le libertà delle nostre democrazie”.
Dario Brambilla (Senior Manager Digital Security & Response, Snam): “Nuove superfici da proteggere, nuovi perimetri operativi”
Alcuni dei temi chiave dell’evento sono stati discussi nel primo panel dal titolo “Governance e responsabilità”.
Dario Brambilla, Senior Manager Digital Security & Response di Snam ha spiegato, sulle nuove superfici da proteggere: “Si tratta di una bella sfida. Nel tempo abbiamo sviluppato piani e prospettive diverse. Fondamentale è fare aggregazione e gioco di squadra. È vero che i fornitori sono tanti ma se si guardano i singoli settori, probabilmente le aziende ricondividono parte di questa catena di sub fornitura. Dunque è inefficiente pensare che ogni azienda in autonomia ripercorra la stessa catena, richiedendo un ulteriore effort di compliance normativa o adeguamento di processi agli stessi sub fornitori. Basterebbe fare, appunto, un po’ di lavoro di squadra. Chi se lo può permettere solitamente sono le aziende più strutturate, che dovrebbero provare a estendere le loro capacità alla loro catena di sub fornitori e aiutare i propri fornitori a realizzare una loro rete. In questo modo anche un eventuale confronto con quelli che sembrano player inarrivabili può essere alla portata, il confronto con player di mercato diventa diverso se anziché una singola voce le richieste provengono da un ecosistema, e con l’aiuto di chi fa le regole, si arriva magari a ottenere dei cambiamenti che sembrano difficili. Questa è una parte molto importante da gestire, per creare dei piani di resilienza. Oggi molti servizi fondamentali, però, dipendono da fornitori non italiani e non europei che devono rispettare altre leggi e normative, spesso in conflitto con l’interesso europeo e nazionale; la condivisione di un obiettivo comune è la strada per pensare ad un cambiamento“.
Davide Nardacci (Vice Capo Divisione NIS e discipline unionali del Servizio Regolazione, ACN): “La NIS2 ha elevato i livelli di protezione dei soggetti critici”
“Partendo dal confronto con la NIS1, la NIS2 ha mantenuto la massima attenzione sul settore energetico ma con modifiche sostanziali”, ha spiegato Davide Nardacci, Vice Capo Divisione NIS e discipline unionali del Servizio Regolazione di ACN.
“In primis”, ha aggiunto, “con l’estensione dell’ambito di applicazione. Non sono più le autorità che individuano i soggetti ma si è formalizzato un processo di auto individuazione e auto valutazione degli stessi. Per l’Italia si procede con la registrazione sulla piattaforma di ACN. Con la NIS2, inoltre, si è proceduto a dividere tra soggetti essenziali e quelli importanti con obblighi differenziati e ripartizione delle sanzioni”.
Stefano Mele (Partner, Head of Cybersecurity, Data Privacy & Space Economy Law Department, Gianni & Origoni): “Con la NIS2 la cybersicurezza entra stabilmente nella responsabilità degli organi di amministrazione e direttivi”
Stefano Mele, Partner, Head of Cybersecurity, Data Privacy & Space Economy LawDepartment, Gianni & Origoni, ha sottolineato uno dei profili più rilevanti introdotti dalla NIS2 e dal suo decreto di recepimento in Italia, ovvero il coinvolgimento diretto degli organi di amministrazione (il board) delle società private dei soggetti essenziali e importanti.
“Le attività operative possono essere affidate alle funzioni tecniche competenti”, ha osservato Mele, “ma ciò non elimina il ruolo e la responsabilità diretta del consiglio di amministrazione delle società, che deve approvare le modalità di implementazione delle misure di gestione del rischio, sovrintendere all’attuazione degli obblighi previsti dal decreto ed essere informati sugli incidenti informatici e sulle relative notifiche allo CSIRT Italia”.
Secondo Mele, la novità di fondo è che la compliance NIS non deve più essere trattata come una materia confinata al solo CISO, CIO o CTO, perché il legislatore la colloca espressamente anche nella sfera di responsabilità degli organi di governo dell’organizzazione.
Marco Tulliani (Partner Cybersecurity, EY Advisory): “Con il Dark Web i costi operativi per applicare la kill chain sono molto più bassi. La nuova sfida per le aziende? Essere resilienti al rischio cyber”
A concludere il panel è stato Marco Tulliani, Partner Cybersecurity, EY Advisory, analizzando il valore e i costi degli attacchi cyber: “gli attacchi stanno cambiando. In passato agiva soprattutto un individuo, mentre ora sono gruppi attivi per fini economici. In passato, bisognava pagare chi sviluppava il malware, oggi costa meno comprarlo nel Dark Web: dunque è molto più facile applicare la kill chain”.
“Oggi, nel momento in cui gli attacchi cyber sono strumenti geopolitici”, ha concluso Tulliani, “questi sono attacchi asimmetrici, con gruppi indipendenti, dei proxy che sono ingaggiati dagli Stati e che colpiscono la supply chain delle aziende. Si colpiscono i fornitori proprio perché il perimetro è più ampio. Dunque, la nuova sfida è avere la consapevolezza del rischio cibernetico e attivare la Strategia aziendale per essere resilienti in caso di attacchi fisici o cyber”.
Nel secondo panel a Luigi Ballarano Head of Cyber Security di Terna, Alessandro Menna, Chief Security & Real Estate Officer di Italgas, e a Giovanni Ponti, CIO – Direttore Divisione ICT di Enea, abbiamo chiesto come fare squadra a livello istituzionale e tra privati per elevare la postura di sicurezza e di cybersicurezza delle infrastrutture energetiche.
“La sfida del settore elettrico”, ha risposto Ballarano, “deve essere quella di innalzare la postura di sicurezza fisica e cibernetica in relazione a minacce di tipo ibrido e alle nuove sfide che tecnologie disruptive come Intelligenza Artificiale e Quantum Computing ci pongono. La digitalizzazione della rete e delle stazioni elettriche, che rappresentano il nostro core business, richiede la loro protezione. Oggi non si parla più di segregazione tra IT e OT, ma di paradigma zero trust”.
Per Alessandro Menna, Chief Security & Real Estate Officer, Italgas, “la sfida è sistemica vista la complessa e difficile esposizione geografica di Italgas. La digitalizzazione delle infrastrutture per noi è cominciata dal 2016, con la scissione da Snam e la quotazione in borsa. Dal 2016 siamo interamente sul Cloud con una pluralità di vantaggi, quali la velocità e la resilienza, liberando risorse anche per i team interni che si sono concentrati di più sulla dimensione core. Da noi la security è una responsabilità diretta dell’Amministratore delegato”.
Secondo Giovanni Ponti, CIO – Direttore Divisione ICT, Enea, “il problema della cybersicurezza non è solo una sfida tecnologica ma è soprattutto figlia della postura dei dipendenti”. “L’obiettivo è sia affidarsi alla ricerca tecnologica per contrastare le minacce cyber” ha concluso, “sia lavorare alla collaborazione pubblico-privato per creare un ecosistema digitale resiliente”.
Roberto Setola (Univ. Campus Bio-Medico di Roma): “Se non si conosce l’OT, difficile prevedere adeguate misure di sicurezza”
Nel suo intervento “Come si costruisce la resilienza. Dalla teoria all’operatività: modelli, processi e strumenti”, Roberto Setola ha spiegato perché oggi i Sistemi OT devono essere considerati “l’angolo cieco e più pericoloso delle infrastrutture critiche”.
Il prof. Setola, prendendo spunto da un recente articolo del WEF, ha evidenziato che nei sistemi OT ad un serie di vincoli tecnologici che rendono complesso se non impossibile l’adozione di misure di sicurezza che potrebbero alterare le proprietà di latenza, determinismo e certificazione si somma una generale mancanza di consapevolezza da parte dei produttori di molti dispositivi OT e IIoT delle problematiche di cybersecurity. Il tutto acuito dal fatto che le loro peculiarità non sono ben note al legislatore, come emblematicamente evidenziato dalla assenza di qualunque riferimento esplicito nella NIS e nel D.Lgs 134/24 ai sistemi OT.
Il Direttore Scientifico, Master in Cybersecurity Management dell’Università Campus Bio-Medico di Roma, ha evidenziando che: “Negli ultimi abbiamo assistito ad alcuni episodi occorsi in Messico nel settore idrico e in Polonia nel settore elettrico in cui gli attaccanti hanno utilizzato Agent AI per mappare la rete OT e per effettuare attacchi multipli e contemporanei a oltre trenta target. L’impiego degli Agent AI rappresenta una nuova frontiera che riduce le competenze che gli attaccanti devono possedere della componente OT e quindi potenzialmente amplia la platea di soggetti che potranno attuare azioni cyber verso questi sistemi”.
“Parlare di Resilienza” ha concluso Setola “vuol dire spostarsi da una visione statica ad una dinamica che includa altre alla protezione anche la fase di prevenzione, contrasto e gestione dell’evento avverso. Adottando, cioè, una prospettiva che mira a minimizzare le conseguenze avverse su clienti e cittadini e che implica l’adozione di approcci all-hazard che impongono il superamento della visione a silos, ancora in parte presente in alcune realtà industriali, a favore di una visione integrata della sicurezza. Un approccio che non può che fondarsi su una forte cooperazione sia fra privati attraverso strumenti quali gli ISAC, che in una cornice di collaborazione pubblico-privata basata sullo scambio bi-direzionale di informazioni”.
Gianpaolo Zambonini (Ministero dell’Interno): “Le minacce cyber contro il nostro Ministero un gesto simbolico e politico, più che economico”
Nell’intervista, Gianpaolo Zambonini, Dirigente Superiore della Polizia di Stato e Direttore del Servizio per la Sicurezza Cibernetica del Ministero dell’Interno, ha messo in evidenza il livello della postura cyber dell’Italia e spiegato come risolvere alcune principali criticità per essere sempre più pronti a fronteggiare gli attacchi informatici.
“La cybersicurezza è divisa in due livelli. Quello tattico, delle singole realtà e dei singoli enti che si difendono, e quello strategico. Stiamo lavorando su più ambiti”, ha spiegato, “al cospetto di diverse tipologie di attacco e di varie tecnologie, tutte dialoganti tra loro. Gli attacchi di livello più elevato sono quelli di criminali informatici legati a Paesi stranieri. Le minacce cyber contro il Viminale sono un gesto simbolico e politico, più che economico. Nel nostro Ministero abbiamo sette SOC e stiamo cercando di realizzarne uno solo basato sull’AI.”
A livello strategico, “abbiamo creato un comitato che rappresenta tutte le realtà del Ministero a cui affidare la governance della cybersicurezza. Stiamo anche facendo uno scouting tecnologico molto oneroso e cercando di sviluppare software interni per avere dei nostri applicativi”.
“Perché”, ha concluso, “non abbiamo nostre tecnologie ma le possiamo solo valutare. Per questo motivo, rimaniamo dipendenti dalle tecnologie straniere. Questo rappresenta un rischio tecnologico. Occorre, quindi”, questa la sua proposta, “intervenire sia sul procurement pubblico, favorendo a livello normativo le eccellenze italiane e europee, sia avviare una riforma della Pubblica Amministrazione in grado di attrarre e trattenere, con adeguate retribuzioni, i migliori talenti”.
Riccardo Croce (Direttore CNAIPIC): “Si cerca di paralizzare un servizio pubblico essenziale per motivi economici e politici”
L’ultimo intervento della mattinata è stato quello di Riccardo Croce, Direttore del CNAIPIC, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche.
“Le infrastrutture vanno protette sia a livello fisico sia informatico”, ha esordito, “nonostante gli attacchi ai servizi pubblici essenziali oggi sono soprattutto cyber, rispetto ai sabotaggi fisici. Questo perché si è elevata la percezione per cui un attacco cyber può portare dei vantaggi, sia in termini di riscatto ed estorsioni, sia dalla forte valenza ideologica”.
“Questi ultimi tipi di attacchi”, ha continuato, “sono in termini assoluti una parte molto rilevante, sebbene sia difficile identificarne gli autori”.
Il valore aggiunto del CNAIPIC per le aziende private, ha spiegato, “è creare delle reti di protezioni stabili, aggiungendo tutte le informazioni che derivano dalla pratica investigativa”.
Dalla condivisione delle informazioni di diverso tipo, “sempre rispettando la tutela della reputazione dell’azienda, si possono migliorare i livelli di prevenzione e di intervento”. Se un incidente accade ma si è in un network strutturato, “non si parte da zero”, ha concluso Riccardo Croce, “ma la conoscenza che si ha è fondamentale per intervenire tempestivamente. Questo è un grande vantaggio per il primo intervento, soprattutto per gli incidenti più impattanti”.
Massimo Ravenna (CISO, Areti): “Mondo sicurezza e business devono essere vicini. Competenze umane e formazione del personale sono fondamentali”
A tracciare il bilancio di tutti questi interventi è stato Massimo Ravenna, il CISO di Areti. “Per me sono 4 i principali punti emersi: condivisione della comunicazione, trasferimento delle competenze umane, minacce ibride e resilienza di servizi e infrastrutture”.
E ha aggiunto, “questi punti sono stati toccati da realtà esterne ad Areti e Acea Produzione. Il mondo sicurezza, in generale, deve essere vicino a quello business. Servirà un lavoro di analisi, per identificare rischio e capire da dove possa arrivare la risposta. Così si potranno avere delle procedure che siano trasversali. Bisogna costruire questa grande matrice di presidi, rischi e piani di risposta Sono fondamentali per raggiungere questi obiettivi le competenze umane e la formazione del personale”.
Vai al sito di Cybersecurity Italia.
L'articolo Ciardi (ACN) alla giornata organizzata da ACEA per la sicurezza OT e resilienza per il settore energetico: “Sicurezza su supply chain e autonomia tecnologia UE per difendere le nostre democrazie” sembra essere il primo su CyberSecurity Italia.