NIS2: obblighi e rischi di Cybersecurity per Utility, ESCo e Aziende energivore

La Direttiva NIS2 (EU 2022/2555) rappresenta un salto di qualità nella strategia europea per rafforzare la sicurezza informatica, rispondendo alla crescente esposizione delle infrastrutture critiche. Entrata in vigore il 17 ottobre 2024 impone nuovi obblighi a organizzazioni pubbliche e private operanti in settori considerati “essenziali” o “importanti” — tra cui energia, acqua, trasporti, sanità, digitale e manifattura critica.

NIS2 introduce la classificazione in Soggetti Essenziali (Essential Entities) e Soggetti Importanti (Important Entities), secondo criteri dimensionali (>50 dipendenti o >10 milioni € di fatturato) e di rilevanza settoriale.

NIS2: chi è coinvolto e cosa si rischia

Le utility che gestiscono energia elettrica, gas, reti idriche o servizi pubblici sono a tutti gli effetti Soggetti Essenziali. Le ESCo (Energy Service Company), se superano le soglie dimensionali e operano nel miglioramento dell’efficienza energetica in ambiti strategici (es. industrie energivore, edifici pubblici), possono ricadere tra i Soggetti Importanti.

Secondo l’ACN (Agenzia per la cybersicurezza nazionale), il mancato rispetto degli obblighi può comportare multe fino a 10 milioni di euro o il 2% del fatturato globale, oltre alla responsabilità diretta dei vertici aziendali.

Rischi concreti per Utility ed ESCo

Le aziende del settore energetico sono tra le più esposte a cyber attacchi, per vari motivi:

• Interconnessione dei sistemi OT e IT: la convergenza tra tecnologie operative e informatiche crea nuovi vettori di attacco, soprattutto nei sistemi SCADA e di automazione.

• Dipendenza dalla supply chain: vulnerabilità nei fornitori o partner terzi possono diventare punti d’ingresso critici.

• Bassa percezione del rischio nelle PMI energetiche: molte ESCo, pur operando in settori strategici, non hanno ancora adottato strumenti adeguati di valutazione e protezione (come analisi di vulnerabilità, backup sicuri, piani di continuità operativa).

• Digitalizzazione spinta: contatori intelligenti, gestione remota, piattaforme IoT: tutti elementi che aumentano la superficie d’attacco.

Le minacce si stanno spostando “dall’IT all’OT”, coinvolgendo impianti fisici e asset reali. Un attacco può significare fermo produzione, interruzione servizi o danni reputazionali. La sicurezza informatica diventa quindi un fattore abilitante per garantire business continuity, oltre che compliance normativa.

Non a caso, un recente Rapporto sulle Utility riporta che, negli ultimi tre anni, le utility italiane hanno subito quasi 300 attacchi dichiarati che hanno colpito soprattutto multiutility e aziende con servizi a rete situate nel centro-nord del Paese.

NIS2: Obblighi in materia di Cybersecurity

Entro il 31 maggio 2025, tutti i soggetti potenzialmente coinvolti devono registrarsi presso l’ACN, fornendo dati su attività, sedi, responsabili sicurezza, asset digitali e mercati serviti.

Le imprese devono implementare una Governance della sicurezza che contenga i seguenti punti:

• Valutazione del rischio

• Piani di gestione incidenti

• Business continuity e recovery

• Security by design e access management

• Formazione obbligatoria del personale

• Misure di cifratura, segmentazione di rete, logging, etc.

Per quanto riguarda la notifica degli incidenti, la comunicazione degli eventi deve avvenire:

• entro 24 ore dall’identificazione iniziale

• entro 72 ore con dettagli tecnici

• entro 1 mese con report finale e azioni correttive

Il Regolamento Macchine, una nota operativa

In arrivo a gennaio 2027, il Regolamento Macchine introduce obblighi di cyber sicurezza su sistemi di controllo e automazione industriale. Rilevante per impianti OT. Fa riferimento allo standard IEC 62443, già adottato da diversi operatori energetici.

Perché è urgente agire

Il settore utility è sempre più digitalizzato e connesso. Il mix energetico italiano si basa su un sistema interdipendente tra rinnovabili, reti intelligenti e sistemi di accumulo. Qualsiasi attacco cyber a uno di questi nodi può generare ricadute sistemiche.

Per ESCo e aziende energivore, l’adeguamento non è solo normativo: è una condizione per partecipare a gare, accedere a fondi pubblici o collaborare con partner internazionali. Essere conformi a NIS2 sarà un vero e proprio “bollino di affidabilità” per il futuro.

Utility, ESCo e aziende energivore sono in prima linea nella sfida della sicurezza digitale. La Direttiva NIS2 impone un cambio di paradigma: non è più sufficiente “proteggere il perimetro”, ma serve una cultura aziendale orientata alla resilienza. La compliance non è un costo, ma un investimento strategico per garantire competitività, continuità e fiducia.