È stato pubblicato sulla Gazzetta Ufficiale numero 132 del 9 giugno 2018, il Decreto Legislativo numero 65 del 18 maggio 2018. Entrato in vigore il 24 giugno 2018, costituisce l’attuazione italiana della Direttiva europea NIS (EU 2016/1148) sulla sicurezza delle reti e dei sistemi digitali. Che cosa significa un decreto legislativo sulla cyber security per il settore energia? Un primo fondamentale provvedimento è stabilito dal decreto: entro il 9 novembre di quest’anno dovranno essere identificati tutti i fornitori di servizi essenziali, e quindi anche energetici, soggetti agli obblighi in materia di sicurezza e notifica degli incidenti indicati dall’Articolo 14, e alle relative sanzioni amministrative in caso di inadempienza di cui all’Articolo 21.

Il decreto (Articolo 15) stabilisce che tali obblighi non si applicano alle micro imprese e alle piccole imprese (in base alla definizione contenuta nella raccomandazione della Commissione Europea numero 2003/361/CE, sono tutte quelle imprese che occupano meno di 50 persone e realizzano un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro). Quali e quanti produttori di energia, prosumer o aggregatori rientreranno nella categoria di PMI esente dagli obblighi di cyber security imposti dal decreto? Ma soprattutto, che impatto provocherebbe un eventuale incidente cyber in termini di MW non forniti al sistema elettrico o di carico non assorbito? Quanti e quali utenti subirebbero un disservizio prolungato a causa di un attacco sufficientemente distribuito in termini di superficie cyber?

Questioni e perplessità sollevate nella giornata di presentazione dell’Energy Cybersecurity Report organizzata il 12 luglio dal Politecnico di Milano. I big player concordano sul fatto che la cyber security è una dimensione irrinunciabile per il business dell’energia e il welfare della nazione, che necessita cooperazione tra operatori energetici, fornitori di prodotti e di servizi digitali.

Per gli operatori il metodo è tracciato: occorre procedere con la classificazione degli asset, la scelta delle misure di sicurezza commisurate al livello di rischio, le richieste di conformità agli standard di cyber security e di certificazione verso i fornitori di prodotti e servizi.

Un dibattito interessante, che conferma il ruolo chiave della ricerca sulla cyber security applicata ai servizi energetici sviluppata da RSE nell’ambito del programma finanziato dal fondo della Ricerca di Sistema, e finalizzata a produrre strumenti di valutazione dei rischi e misure di sicurezza idonee all’esercizio di sistemi energetici eterogenei sia da punto di vista elettrico che digitale.