Cybersecurity nel settore energetico: analisi dei rischi e strategie di difesa

Published by on
Ascolta l'articolo
19:05

 

Il settore energetico italiano riveste un'importanza fondamentale per la produzione e la distribuzione di energia con un impatto determinante sull'economia nazionale e sul benessere della società. La transizione verso fonti di energia rinnovabile, come il solare e l'eolico, sta progressivamente modificando il panorama energetico italiano con un ottimo impatto a livello ambientale. Allo stesso tempo, però, introduce nuove complessità e potenziali vulnerabilità nel dominio della cybersecurity. 

Nello specifico, la maggiore dipendenza dalla generazione distribuita richiede sistemi di controllo più sofisticati e interconnessi, ampliando di fatto la superficie di attacco potenziale. I sistemi più recenti, infatti, potrebbero presentare considerazioni di sicurezza diverse rispetto alle infrastrutture tradizionali basate su combustibili fossili. 

La posizione geografica strategica dell'Italia nel Mediterraneo e il suo ruolo nelle catene di approvvigionamento energetico internazionali la rendono, inoltre, un obiettivo potenzialmente interessante per minacce informatiche di natura geopolitica. Un'interruzione dell'infrastruttura energetica italiana potrebbe avere ripercussioni regionali più ampie, rendendola un bersaglio per attori statali o per coloro che cercano di destabilizzare il mercato energetico europeo.    

In questo contesto, le minacce alla cybersecurity sono in costante aumento a livello globale, con una particolare attenzione rivolta alle infrastrutture critiche. Il settore energetico si configura come un bersaglio primario, data la sua criticità e il potenziale di causare interruzioni ad alto impatto. Per comprendere appieno il panorama della cybersecurity analizziamo in questo articolo dati, tendenze, normative e strategie di difesa specifiche per il contesto italiano. 

 

Trend generali nel settore energetico

Analizzando il settore dell’energia nel contesto italiano evidenziamo subito tre principali tendenze: il continuo aumento degli attacchi, la gravità degli impatti e una criticità ed essenzialità del settore. Vediamole nel dettaglio. 

 

Continuo aumento degli attacchi informatici 

Il Rapporto Clusit 2025 evidenzia un significativo incremento del 15% degli incidenti informatici diretti alle infrastrutture critiche italiane rispetto all’anno precedente, con il 2% diretto al settore dell'energia.  

Il numero elevato di attacchi in Italia, se confrontato con la media globale, suggerisce la presenza di specifiche vulnerabilità o fattori che rendono il paese un bersaglio privilegiato. Tali fattori potrebbero includere difese di cybersecurity meno robuste, un grado di digitalizzazione elevato non accompagnato da adeguate misure di sicurezza, o dinamiche geopolitiche particolari. È importante considerare che i dati del Rapporto Clusit, pur essendo significativi, si basano sugli incidenti gravi riportati pubblicamente, il che implica che il numero reale di attacchi potrebbe essere ancora maggiore. Molte organizzazioni potrebbero non divulgare pubblicamente gli attacchi cibernetici subiti a causa di potenziali danni reputazionali o per altre ragioni, portando a una sottostima della vera portata del problema. 

 

Gravità degli attacchi sempre critica 

La severità degli attacchi, che nel 62% dei casi è tipo critica/grave nel tempo indica una sofisticazione crescente e un intento potenzialmente più distruttivo da parte dei criminali informatici che prendono di mira il settore energetico. È probabile che gli aggressori stiano affinando le loro tecniche per massimizzare l'impatto e la potenziale interruzione, spinti da guadagni finanziari o da motivazioni geopolitiche.    

 

Criticità ed essenzialità del settore  

Il settore dell'energia rimane un obiettivo privilegiato per i criminali informatici proprio a causa della sua natura di infrastruttura critica. Infrastrutture come centrali elettriche, reti di distribuzione del gas e sistemi idrici sono particolarmente vulnerabili e attraggono attacchi mirati. L'interconnessione delle infrastrutture energetiche a livello europeo implica che attacchi riusciti in Italia potrebbero avere effetti a cascata su altri stati membri. La rete elettrica e i gasdotti sono spesso transnazionali, quindi un'interruzione in un paese può portare a carenze o blackout in altri stati.    

 

Principali criticità dell'infrastruttura energetica italiana 

Di seguito analizziamo le principali criticità del settore energetico in Italia che possono renderlo vulnerabile e un facile bersaglio per gli attaccanti malevoli.

 

Dipendenza dai legacy sistems 

La dipendenza da sistemi legacy obsoleti, come i sistemi SCADA utilizzati per le operazioni industriali, può rendere l'infrastruttura vulnerabile. Questi sistemi più datati potrebbero mancare di funzionalità di sicurezza moderne e presentare vulnerabilità note. La lunga durata dei sistemi di controllo industriale nel settore energetico implica che l'aggiornamento o la sostituzione può essere un processo lento e costoso, lasciandoli esposti per periodi prolungati. A differenza dei sistemi IT con cicli di vita più brevi, i sistemi OT sono spesso progettati per decenni di operatività, rendendoli suscettibili a nuove minacce che emergono molto tempo dopo la loro implementazione.    

 

Integrazione di dispositivi intelligenti (IoT) 

La crescente integrazione di dispositivi IoT per il monitoraggio e la gestione di asset critici introduce nuove sfide per la sicurezza. Spesso questi dispositivi non dispongono di protezioni di sicurezza integrate sufficienti. Una percentuale significativa di responsabili della sicurezza ritiene che le proprie tecnologie attuali siano inadeguate per proteggere efficacemente i dispositivi IoT. Il volume e la diversità di questi dispositivi all'interno dell'infrastruttura energetica creano una superficie di attacco più ampia e complessa, difficile da monitorare e proteggere. Ogni dispositivo connesso rappresenta un potenziale punto di ingresso per gli aggressori se non adeguatamente protetto e gestito.  

 

Rischio di terze parti 

L'infrastruttura energetica si affida, inoltre, a vaste reti di fornitori e provider di servizi, ognuno dei quali può potenzialmente introdurre vulnerabilità. Gli aggressori potrebbero prendere di mira fornitori terzi meno sicuri per ottenere accesso a dati sensibili o sistemi critici. La complessità e l'opacità delle moderne catene di approvvigionamento rendono difficile valutare e mitigare tutti i potenziali rischi di cybersecurity introdotti da partner esterni. Una vulnerabilità in un fornitore apparentemente minore potrebbe essere sfruttata per compromettere un importante fornitore di energia.    

 

Mancanza di consapevolezza e formazione 

Molte organizzazioni in Italia potrebbero avere una comprensione limitata delle minacce informatiche e delle misure di sicurezza. La mancanza di consapevolezza e formazione rende più facile per gli aggressori sfruttare le vulnerabilità. Un divario nelle competenze e nella consapevolezza in materia di cybersecurity all'interno del settore energetico italiano potrebbe essere un fattore che contribuisce a rendere il paese un bersaglio più facile. 

 

Ridotti budget e investimenti aziendali 

Infine, i budget per la cybersecurity in Italia sono relativamente bassi rispetto ad altri paesi europei. Investimenti insufficienti in misure di cybersecurity possono lasciare il settore energetico italiano con difese più deboli contro attacchi sofisticati. Un finanziamento adeguato è fondamentale per implementare tecnologie di sicurezza avanzate, disporre di personale qualificato e condurre valutazioni di sicurezza regolari. 

 

Tipologie di attaccanti nel settore energetico

Tra gli attori malevoli degli incidenti cyber in Italia in ambito energetico evidenziamo: 

  • Cybercrime: si conferma la principale causa di incidenti nel settore, con attacchi finalizzati all'estorsione di denaro tramite ransomware, al furto di dati sensibili e alla compromissione di sistemi per scopi di spionaggio industriale.  
  • Hacktivism: si registra un aumento degli attacchi di matrice "hacktivism", ovvero azioni condotte da gruppi con motivazioni ideologiche o politiche, che mirano a sabotare le infrastrutture o a diffondere messaggi di protesta.  

Le motivazioni degli attori delle minacce sono diverse. La cybercriminalità è principalmente guidata dall'estorsione finanziaria (ransomware). L'hacktivism è caratterizzato da attacchi motivati da ragioni ideologiche o politiche. Gli attacchi sponsorizzati da stati (gruppi APT) mirano allo spionaggio, al sabotaggio o all'interruzione di infrastrutture critiche, spesso legati a conflitti geopolitici. In questo contesto, l'Italia è particolarmente esposta ad attacchi geopolitici. Comprendere le motivazioni alla base degli attacchi informatici è fondamentale per sviluppare un'intelligence sulle minacce efficace e strategie di difesa proattive. Motivazioni diverse implicano obiettivi, tattiche e potenziali impatti differenti. 

 

Normative NIS2 e CER e gli obblighi di legge 

L’Europa ha iniziato negli ultimi anni a normare in modo più stringente la sicurezza informatica delle infrastrutture critiche, introducendo direttive come NIS2 e CER. Queste normative stabiliscono obblighi di legge specifici che le aziende del settore energetico devono rispettare per rafforzare la loro resilienza contro gli attacchi informatici e garantire la protezione dei servizi essenziali. Vediamole nel dettaglio. 

 

Direttiva NIS2  

La Direttiva NIS2 (Network and Information Security 2) rappresenta un importante passo avanti per rafforzare la cybersecurity in Europa: questa direttiva ha un impatto significativo sul settore dell'energia, introducendo obblighi più stringenti in materia di cybersecurity. Ecco cosa prevede specificamente per questo settore:  

 

Inclusione nel perimetro e distinzione tra entità 


Il settore energetico è esplicitamente incluso tra i settori critici coperti dalla NIS2, a causa della sua importanza per il funzionamento della società e dell'economia.  

La direttiva distingue tra "entità essenziali" e "entità importanti" in base a criteri di dimensione e criticità del servizio fornito. Questa distinzione influisce sul livello di supervisione e sulle sanzioni applicabili in caso di non conformità. Generalmente, le grandi aziende del settore energetico saranno classificate come "essenziali", mentre le medie imprese potrebbero rientrare nella categoria "importanti".  

 

Obblighi di cybersecurity 


Le entità del settore energetico, sia essenziali che importanti, sono tenute a rispettare una serie di obblighi, tra cui:  

  • Governance e responsabilità: gli organi di amministrazione e direzione (es. Consiglio di Amministrazione) devono assumersi la responsabilità della cybersecurity, approvando le misure di gestione del rischio e supervisionandone l'attuazione. Devono inoltre seguire una formazione periodica in materia di cybersecurity e fornire una formazione analoga ai dipendenti 
  • Gestione del rischio: le aziende devono implementare un sistema di gestione del rischio che includa l'identificazione e valutazione dei rischi informatici, l'implementazione di misure di sicurezza adeguate per mitigare i rischi identificati e test e audit regolari per verificare l'efficacia delle misure di sicurezza
  • Misure tecniche e organizzative: la NIS2 non prescrive misure specifiche, ma fornisce un elenco non esaustivo di aree da considerare su cui le organizzazioni devono concentrarsi per migliorare la loro sicurezza informatica. Tra queste è fondamentale sviluppare solide politiche di sicurezza informatica e implementare una gestione efficace degli incidenti, che comprenda prevenzione, rilevamento, risposta e ripristino. È altrettanto importante garantire la sicurezza della supply chain, la sicurezza delle reti e dei sistemi informativi, la gestione delle vulnerabilità e l'adozione di pratiche come il backup e il ripristino dei dati
  • Notifica degli incidenti: le entità devono notificare tempestivamente alle autorità competenti gli incidenti di sicurezza che hanno un impatto significativo sulla fornitura dei servizi.  

 

Focus sulla supply chain 

Data la complessità delle catene di approvvigionamento nel settore dell’energia, la NIS2 pone un forte accento sulla sicurezza della supply chain. Le aziende devono valutare i rischi legati ai propri fornitori e adottare misure per garantire che anche questi rispettino standard di sicurezza adeguati. 

 

Direttiva CER 

La Direttiva sulla resilienza delle entità critiche (CER - Critical Entities Resilience Directive), formalmente Direttiva (UE) 2022/2557, introduce un quadro normativo per rafforzare la resilienza delle infrastrutture critiche in tutta l'Unione Europea, con un impatto significativo sul settore energetico. A differenza della NIS2, che si concentra sulla cybersecurity, la CER si occupa principalmente della resilienza fisica delle entità critiche, sebbene ci sia una forte sinergia tra le due direttive.  Ecco cosa prevede la CER specificamente per il settore dell’energia:  

 

Identificazione delle entità critiche 


La CER stabilisce che gli Stati membri devono identificare le entità critiche nel settore energetico che forniscono servizi essenziali per il mantenimento di funzioni vitali della società, dell'economia, della salute pubblica, della sicurezza e dell'ambiente.  

Questo processo di identificazione si basa su una valutazione del rischio che considera la probabilità e l'impatto di eventuali incidenti che potrebbero interrompere la fornitura di servizi essenziali. Rientrano in questa categoria diverse tipologie di entità, tra cui:   

  • Operatori del settore elettrico: centrali di produzione, reti di trasmissione e distribuzione, gestori del mercato elettrico 
  • Operatori del settore del gas: impianti di estrazione, stoccaggio, trasporto e distribuzione del gas naturale 
  • Operatori del settore petrolifero: raffinerie, oleodotti, depositi e distributori di prodotti petroliferi 
  • Operatori del settore del teleriscaldamento: impianti di produzione e reti di distribuzione del calore 
  • Operatori del settore dell'idrogeno: impianti di produzione, stoccaggio e trasporto dell'idrogeno 

 

Obblighi per le entità critiche 

Le entità critiche identificate nel settore energetico sono soggette a una serie di obblighi, tra cui:  

  • Valutazione del rischio: la Direttiva impone di effettuare regolarmente valutazioni del rischio per identificare le potenziali minacce e vulnerabilità che potrebbero compromettere la fornitura dei servizi essenziali. Queste valutazioni devono considerare sia i rischi naturali (es. inondazioni, terremoti) che quelli causati dall'uomo (come attacchi terroristici, sabotaggi).  
  • Misure di resilienza: adottare misure adeguate per prevenire, proteggere, rispondere e riprendersi da incidenti che potrebbero interrompere la fornitura dei servizi essenziali. Queste misure possono includere: misure di sicurezza fisica per proteggere le infrastrutture da accessi non autorizzati, piani di emergenza e di continuità operativa per garantire la ripresa delle attività in caso di incidente, sistemi di allarme e di monitoraggio per rilevare tempestivamente eventuali anomalie o minacce, la cooperazione con le autorità competenti e con altre entità critiche.  
  • Notifica degli incidenti: notificare alle autorità competenti gli incidenti che hanno un impatto significativo sulla fornitura dei servizi essenziali.  

  

Supporto e coordinamento a livello europeo

La CER prevede che gli Stati membri designino un'autorità competente responsabile dell'attuazione della direttiva e della supervisione delle entità critiche. La Commissione Europea supporta gli Stati membri attraverso la condivisione di buone pratiche, lo sviluppo di orientamenti e il coordinamento delle attività a livello UE.  

 

Sinergie tra la Direttiva NIS2 e CER 

È importante sottolineare la forte sinergia tra la CER e la NIS2. Mentre la CER si concentra sulla resilienza fisica, la NIS2 si concentra sulla cybersecurity. Entrambe le direttive mirano a proteggere le infrastrutture critiche e a garantire la continuità dei servizi essenziali, riconoscendo l'interconnessione tra il mondo fisico e quello digitale. Pertanto, le entità critiche del settore Energy & Utilities devono considerare entrambi gli aspetti per garantire una resilienza completa. 

 

Strategie di prevenzione per gli incidenti informatici 

L'analisi vista finora evidenzia un significativo aumento degli attacchi informatici in Italia, come sottolineato dal Rapporto Clusit 2025. Le infrastrutture critiche rimangono un obiettivo primario per gli aggressori, con conseguenze potenzialmente gravi per i servizi essenziali. La Direttiva NIS2 e CER e le strategie nazionali di cybersecurity rappresentano fattori chiave per il rafforzamento delle difese ma permangono sfide continue, tra cui: 

  • La necessità di un miglioramento costante della consapevolezza e delle competenze in materia di cybersecurity all'interno del settore
  • L'importanza di investimenti adeguati in tecnologie e personale di sicurezza in grado di monitorare e rispondere proattivamente alle minacce
  • La difficoltà di proteggere sistemi energetici sempre più complessi e interconnessi
  • La natura in continua evoluzione delle minacce informatiche che richiede una postura di sicurezza proattiva e agnostica. 

Si raccomanda di dare priorità all'applicazione delle Direttive, di considerare l'adozione di servizi di sicurezza avanzati come i sistemi di monitoraggio e risposta attivi H24 con esperti di cybersecurity a più livelli sempre disponibili in grado di bloccare sul nascere qualsiasi minaccia informatica e tentativo di intrusione. In questa direzione, CYBEROO si distingue in Italia con il suo servizio di monitoraggio e risposta H24 (MDR) riconosciuto da Gartner come l’unico italiano nella Gartner® Market Guide for Managed Detection and Response Services. 

Alla base di un servizio evoluto, dev’esserci la consapevolezza di investire nelle proprie infrastrutture, nella modernizzazione dei sistemi legacy e nella protezione dei dispositivi IoT, oltre allo sviluppo di strategie di sicurezza della catena di approvvigionamento, di piani di risposta agli incidenti, di programmi di formazione e una maggiore condivisione di informazioni e collaborazione all'interno del settore e con le agenzie di cybersecurity nazionali e internazionali. 

Di Luca Benatti - Head of Business Development Manager, CYBEROO

 

Nuova call-to-action
Tags:
Back to Blog

Related Articles