Cybersecurity, quali novità per l’energia? Il governo alle prese con la direttiva NIS

Martedì 18 ottobre il Parlamento italiano ha approvato la Legge di delegazione europea 2016-2017. Come noto, il provvedimento conferisce le deleghe legislative al Governo per far recepire nel nostro ordinamento le direttive e gli altri atti dell’Unione europea adottati nell’anno precedente. Per quest’anno, tra le misure dell’Ue, vi è anche la cosiddetta Direttiva NIS (Network Information System) il cui termine di recepimento a livello comunitario è fissato il 9 maggio 2018. La NIS rappresenta il primo provvedimento di carattere generale adottato in ambito europeo sul tema della sicurezza informatica; in particolare, si prevede l’adozione di una serie di iniziative da parte degli Stati membri per migliorare le capacità di sicurezza cibernetica e aumentare il livello di collaborazione nella prevenzione delle minacce e nelle eventuali misure di risposta ad attacchi cyber. L’obiettivo che anche l’Italia dovrà conseguire è l’adozione di una Strategia nazionale in materia di sicurezza della rete e dei sistemi informativi, definendo gli operatori di servizi in quei settori – come l’energia – reputati essenziali dal punto di vista della sicurezza cibernetica. La normativa potrebbe avere delle ricadute importanti anche per gli investimenti delle aziende, che potrebbero optare per un trasferimento della sicurezza energetica dai dipartimenti operativi direttamente nei CDA. Infatti, la direttiva qualifica come operatori di servizi essenziali nel settore energetico quei soggetti pubblici o privati il cui operato è “fondamentale per il mantenimento di attività sociali e/o indispensabili”: per l’elettrico, le imprese che esercitano attività di fornitura, i gestori del sistema di distribuzione e i gestori del sistema di trasmissione; per il sotto-settore petrolio, i gestori di oleodotti e i gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto; per il gas, le imprese fornitrici, i gestori dell’impianto di stoccaggio, i gestori del sistema GNL, imprese di gas naturale, i gestori di impianti di raffinazione e trattamento di gas naturale, oltre – naturalmente – ai DSO e ai TSO. Insomma, un provvedimento importante che avrà degli impatti sul business delle energy companies e il cui punto di vista dovrà auspicabilmente essere tenuto da conto dal Governo italiano nella fase di recepimento. Secondo le indiscrezioni, il decreto che recepirà la NIS sarà elaborato dalla Presidenza del Consiglio e dal Ministero dell’interno: il rischio intravisto – ma è solo un’ipotesi – è che una gestione della materia dal solo punto di vista della sicurezza nazionale e delle opportunità dal punto di vista sistemico e industriale, possa affievolire la diffusione di una cultura aziendale improntata alla gestione responsabile delle reti e delle informazioni sensibili.