NIS2 nel settore energetico: come cambia la gestione del rischio cyber

Il sistema energetico europeo sta attraversando una significativa trasformazione, mantenendo però la piena operatività. Questo processo è guidato dall’integrazione delle fonti rinnovabili, dalla decentralizzazione degli asset, dal bilanciamento transfrontaliero e dalla convergenza tra Information Technology (IT) e Operational Technology (OT).

Gli operatori del settore energetico stanno inoltre riconoscendo l’aumento della vulnerabilità cybersecurity nel contesto di questa evoluzione. La direttiva NIS2 si colloca al centro di questa dinamica non come un semplice adempimento formale, ma come una strutturale e radicale modifica delle responsabilità e aspettative lungo tutta la filiera delle infrastrutture critiche.

I nuovi rischi cyber nell’ecosistema energetico

I rischi cybersecurity in ambito energetico sono crescenti, con le minacce abilitate dall’intelligenza artificiale che introducono pressioni aggiuntive. Il tempo tra targeting e attacco si riduce, mentre aumentano gli attacchi “credibili” che le organizzazioni devono rilevare, analizzare e contenere.

Esempio di incidente e costi del rischio

Nel dicembre 2025, l’Oltenia Energy Complex in Romania ha subito un attacco ransomware, causando interruzioni operative e compromettendo sistemi IT importanti come ERP ed email, oltre a impattare il sito web.

La produzione energetica non è stata interrotta, ma il disservizio ha ostacolato il processo decisionale, compromesso il coordinamento e aumentato il costo del ripristino, poiché i sistemi per procurement, pianificazione e gestione degli incidenti sono tipicamente tra i primi colpiti.

Imprese e nuove regole della NIS2

La direttiva NIS2 introduce un approccio più rigoroso alla sicurezza della supply chain. Ora i fornitori devono fornire sicurezza come un elemento centrale del rapporto contrattuale. Questo spinge le imprese ad adottare un modello di controllo continuo, in cui venga disciplinato come i fornitori si connettono ai sistemi, a quali risorse accedono e come velocemente tali accessi possano essere limitati o revocati in caso di emergenza.

Le tre aree chiave

• Priorità su fornitori realmente critici, non solo quelli economicamente più rilevanti.

• Rivedere il concetto di “fiducia” per l’accesso dei fornitori come un’eccezione temporanea da giustificare e con scadenza predefinita.

• Che la capacità di gestire la cessazione dei rapporti con terzi e la revoca degli accessi in emergenza sia considerata una competenza verificabile.

La direttiva richiede quindi un forte focus sul contenimento: una segmentazione ben definita e confini interni forti permettono di limitare la propagazione di eventuali minacce e a ridurre le perdite potenziali.

Accesso di terzi e privilegi

I privilegi sono un moltiplicatore di rischio. Deve applicarsi il principio del “minimo accesso” a fornitori esterni, con limiti temporali e visibilità totale durante gli incidenti. Non si tratta solo di registrare policy, ma di documentare e dimostrare controlli concreti.

Scalabilità e gestione a livello multiplo

Il fattore di scalabilità emerge come una delle sfide più complesse. Le organizzazioni operate in più giurisdizioni, su sistemi di diverse generazioni e in contesti operativi eterogenei. Una politica unica a livello di gruppo non è sufficiente: la gestione del rischio deve adattarsi alle particolarità locali.

I limiti tradizionali

I modelli tradizionali spesso falliscono standardizzando solo la documentazione. Policy, clausole contrattuali e template di reporting vengono armonizzati, il che però non significa che il controllo del rischio sia uniforme sui distinti siti operativi.

Si ha quindi un risultato disomogeneo: segmentazione incoerente, identità frammentate e dati incompleti. C’è un costo elevato in termini di tempo e risorse senza una proporzionale riduzione del rischio reale.

Rafforzare la resilienza operativa

Per ridurre concretamente il rischio, è necessario lavorare su leve operative che agiscano direttamente sull’esposizione al danno, come una mappatura dinamica delle dipendenze. Questo permette di sapere chi, in quale ambiente e con quale privilegio ha accesso ai sistemi.

Segmentazione per contenimento

• Assumere che un ambiente possa già essere compromesso

• Progettare i sistemi per limitarne la propagazione

Un’altra misura chiave è gestire il controllo degli accessi di terzi con gli stessi standards applicati alle modifiche in produzione. Devono entrare in gioco limiti temporali rigorosi, identità verificate e controlli di accesso minimo.

Ridurre la complessità

Una soluzione efficace richiede di ridurre la complessità operativa che genera rischio, semplificando il numero di policy in atto e migliorando la gestione unica in ambito multi-sito.

Ruolo delle piattaforme

Le piattaforme non devono solo offrire nuove funzioni, ma anche garantire l’applicazione rigorosa e coerente dei controlli. Il livello comune di segmentazione e enforcement tra ambienti diversi permette di rendere i controlli coerenza, verificabili e uniformi.

Conclusione

La NIS2 non rappresenta solo un passo formale, bensì una sfida operativa reale per le organizzazioni del settore energetico. Per sopravvivere all’evoluzione cyber e operativa, l’accettazione del modello NIS2 richiede una gestione attiva e proattiva, con focus su fornitori realmente critici, controllo continuo degli accessi, segmentazione efficace e gestione della complessità operativa ridotta.