“La cybersicurezza è oggi una componente imprescindibile della sicurezza marittima e della protezione delle infrastrutture critiche“. Così in una dichiarazione congiunta il Comando generale della Guardia costiera e l’Autorità NIS-Settore Trasporti.
Il Ministero delle infrastrutture e dei trasporti, attraverso il Comando generale del Corpo delle Capitanerie di Porto-Guardia Costiera e l’Autorita’ NIS-Settore Trasporti, comunica la pubblicazione della nuova Circolare ad oggetto: “Maritime Cyber Risk. Aggiornamento delle misure di sicurezza per le navi nazionali, le societa’ di gestione ISM (Company ISM) e i gestori di impianti portuali“.
Il documento, ha spiegato l’AGI, “introduce un quadro avanzato, moderno e vincolante di misure di cybersicurezza destinate a rafforzare la resilienza del comparto marittimo-portuale“. Tale quadro va ad operare, “alla luce della crescente digitalizzazione dei sistemi di bordo, delle infrastrutture portuali e delle procedure operative“.
Oltre alla definizione degli obblighi in materia, si è deliberata e riconosciuta la “formalizzazione di processi di prevenzione, rilevazione, risposta e recovery in caso di incidente“.
Quali sono le novità?
La nuova disciplina, scrive ancora l’AGI, “è coerente con gli indirizzi dell’IMO e con le più’ recenti linee guida internazionali in materia“. La stessa normativa integra “gli standard contenuti nei principali riferimenti tecnici del settore e si armonizza con il quadro europeo definito dalla Direttiva (UE) 2022/2555 – NIS2 e dal relativo D.lgs. 138/2024“.
Tali riferimenti “ricomprendono porti, amministrazioni marittime e operatori critici tra i soggetti essenziali della cybersicurezza nazionale“.
L’ANSA ha sottolineato “l’inserimento delle raccomandazioni per compagnie di navigazione, comandanti di navi, gestori di impianti portuali e Autorità statali coinvolte“. In questo senso ci sono delle precise richieste, che riguardano:
- l’adozione di un approccio strutturato di gestione del rischio informatico.
- La piena integrazione delle misure cyber nei Safety management system e nei Piani di security delle navi nazionali.
- L’aggiornamento delle procedure interne, l’adozione di misure tecniche e organizzative adeguate e proporzionate.
Formazione e valutazione
Il provvedimento introduce inoltre “la formazione del personale, rendendo necessario un percorso di qualificazione per equipaggi, company security officer, port facility security officer e tecnici It/Ot“. Tutto questo, “al fine di assicurare una preparazione aggiornata rispetto alle tecniche di attacco e ai requisiti di risposta“.
Visti i rischi insiti nelle procedure riguardanti la sicurezza cibernetica delle navi, si è data “una particolare attenzione alla gestione dei sistemi critici“. Tutti questi devono “essere oggetto di una valutazione periodica, documentata e basata sui principi di rischio“.
Massima centralità per “i servizi integrati nave-terra“
Inoltre, la circolare ha esteso l’attenzione “alle tecnologie emergenti, con espliciti riferimenti ai sistemi autonomi e ai servizi integrati nave-terra“. In questi termini ne ha riconosciuto “la crescente diffusione e la necessità di affrontare le nuove vulnerabilità correlate“.
La gestione degli incidenti informatici si rafforza anche attraverso “il coordinamento con gli obblighi di notifica previsti dal Decreto Legislativo 138/2024“. I quali, “impongono ai soggetti rientranti nel perimetro NIS2 la segnalazione degli incidenti significativi al Csirt Italia“. Ed è così che “la notifica degli incidenti informatici diventa un elemento fondamentale della strategia nazionale di risposta“.
Per approfondire
- Leggi la Circolare n. 177/2025.
