Il sistema energetico europeo sta attraversando una trasformazione significativa, pur dovendo al contempo rimanere pienamente operativo. Questa evoluzione è guidata dall’integrazione su larga scala delle fonti rinnovabili, dalla decentralizzazione degli asset, dalle incertezze nelle catene di approvvigionamento, dal bilanciamento transfrontaliero e dalla progressiva convergenza tra Information Technology (IT) e Operational Technology (OT). Gli operatori del settore sono consapevoli dell’importanza della cybersecurity in questo contesto di trasformazione e la direttiva NIS2 si colloca al centro di questo scenario in evoluzione, non come un ulteriore adempimento formale, ma come un cambiamento strutturale nelle responsabilità e nelle aspettative lungo tutta la filiera delle infrastrutture critiche.
L’elenco delle sfide di sicurezza nell’ecosistema energetico è ampio, e le minacce abilitate dall’intelligenza artificiale introducono una pressione ulteriore, riducendo il tempo che intercorre tra la fase di targeting e quella di esecuzione, oltre ad aumentare il volume di attacchi “sufficientemente credibili” che le organizzazioni devono essere in grado di rilevare, filtrare, analizzare e contenere.
Nelle mie interazioni con i C-level nell’area EMEA emergono costantemente due criticità che contribuiscono ad aumentare il costo del rischio nel settore energetico: da un lato la resilienza delle terze parti, dall’altro la scalabilità.
Resilienza dell’ecosistema (non semplice “vendor risk”)
I consigli di amministrazione sono generalmente consapevoli della dipendenza dai fornitori; tuttavia, il modello operativo che governa tale dipendenza risulta spesso poco sviluppato.
Un esempio recente è rappresentato da un incidente verificatosi presso l’Oltenia Energy Complex, in Romania, alla fine di dicembre 2025, che ha subito un attacco ransomware. L’evento ha causato una parziale interruzione delle attività operative, compromettendo anche sistemi IT aziendali critici – inclusi ERP ed email – e impattando il sito web.
Nonostante la produzione energetica sia proseguita, tali disservizi ostacolano i processi decisionali, compromettono il coordinamento e fanno lievitare i costi di ripristino, poiché i sistemi deputati a procurement, pianificazione, comunicazione e gestione degli incidenti sono tipicamente i primi a essere colpiti.
La direttiva NIS2 impone un approccio più rigoroso. Richiede infatti che la sicurezza della supply chain venga trattata come una componente centrale della gestione del rischio, includendo esplicitamente aspetti di sicurezza nei rapporti con fornitori diretti e service provider. Si tratta di un cambiamento sottile ma rilevante: spinge i vertici aziendali a passare da verifiche periodiche a un modello di controllo continuo, che disciplini come le terze parti si connettono ai sistemi, a quali risorse accedono e con quale rapidità tali accessi possano essere limitati o revocati. Il mancato rispetto di questi requisiti può comportare conseguenze significative, inclusa la limitazione delle capacità operative del management.
Sfide interne da affrontare
Per rispondere a queste criticità, è necessario intervenire su tre aree chiave. In primo luogo, è fondamentale identificare i fornitori realmente critici – ossia quelli in grado di influenzare in modo significativo disponibilità, sicurezza e tempi di ripristino – e non limitarsi a considerare quelli con i contratti economicamente più rilevanti.
In secondo luogo, il principio di “fiducia” come base per l’accesso dei fornitori deve essere rivisto: dovrebbe essere trattato come un’eccezione temporanea, da giustificare e con una scadenza predefinita.
Infine, la capacità di gestire la cessazione dei rapporti con terze parti e la revoca degli accessi, anche in condizioni di emergenza, deve essere considerata una competenza misurabile e verificabile, non un’eventualità remota.
Elementi chiave per ridurre il costo del rischio
È essenziale porre un forte accento sul contenimento: l’implementazione di una segmentazione efficace e di solidi confini interni consente di limitare la propagazione degli attacchi e ridurre le perdite attese.
Occorre inoltre riconoscere che il principio dei privilegi agisce come un moltiplicatore del rischio. È quindi fondamentale che l’accesso di terze parti sia regolato secondo il principio del privilegio minimo, con limiti temporali e piena visibilità durante gli incidenti, non solo a posteriori.
Un ulteriore aspetto cruciale è la disponibilità di evidenze: se i controlli sono documentati esclusivamente a livello di policy, le organizzazioni sosterranno costi elevati in fase di audit, durante interruzioni operative e nelle analisi post-incidente.
Esecuzione su scala multi-giurisdizionale senza impattare l’OT
La seconda criticità riguarda la scalabilità. Molti gruppi energetici operano in più giurisdizioni, su diverse generazioni di sistemi OT e all’interno di culture operative eterogenee. In questo contesto, una singola “group policy” non è sufficiente a garantire resilienza a livello di gruppo.
La NIS2 riconosce l’importanza della cooperazione e del coordinamento a livello paneuropeo, anche attraverso meccanismi come i CSIRT e EU-CyCLONe, per gestire incidenti che attraversano frequentemente confini organizzativi e nazionali. Tuttavia, la natura architetturale degli ambienti OT tradizionali rende difficile per i grandi operatori reagire con la rapidità richiesta. Vincoli legati alla sicurezza, alle patch e alle interruzioni programmate limitano ciò che può essere modificato rapidamente, senza considerare le diverse trasposizioni nazionali della direttiva e le aspettative delle autorità di vigilanza che i grandi gruppi devono gestire.
Il modello di fallimento più comune è prevedibile: le organizzazioni standardizzano la documentazione, non i risultati. Armonizzano clausole contrattuali e template di reporting, ma lasciano il rischio distribuito in modo disomogeneo tra i vari siti. Ne consegue una qualità della segmentazione variabile, percorsi di accesso di terze parti incoerenti, identità frammentate e copertura dei log incompleta. Il risultato è un elevato dispendio di risorse senza una proporzionale riduzione del rischio.
Raccomandazioni
Per tradurre efficacemente la resilienza delle terze parti, come richiesta dalla NIS2, in una riduzione concreta del costo del rischio, è necessario concentrarsi su leve operative in grado di incidere sull’entità delle perdite potenziali.
In questo contesto, è fondamentale sviluppare una mappa dinamica delle dipendenze che consenta di identificare con chiarezza quali fornitori accedono ai diversi ambienti – IT, OT e cloud – e con quali livelli di privilegio. Allo stesso tempo, le organizzazioni dovrebbero adottare un approccio di “segmentazione per il contenimento”, operando nella consapevolezza che una compromissione possa essere già avvenuta e progettando i sistemi in modo da limitare la propagazione di qualsiasi potenziale violazione.
È inoltre essenziale gestire l’accesso di terze parti con la stessa disciplina applicata alle modifiche in produzione, applicando il principio del privilegio minimo, introducendo limiti temporali agli accessi e rafforzando i controlli di identità.
Parallelamente, le organizzazioni dovrebbero intervenire per ridurre la complessità operativa che genera rischio, limitando il numero di declinazioni delle policy e semplificando i piani di gestione. In questo scenario, il ruolo delle piattaforme non è semplicemente quello di offrire maggiori funzionalità, ma di garantire un’applicazione rigorosa dei controlli. L’adozione di un livello comune di segmentazione e di enforcement delle policy tra ambienti diversi consente di rendere i controlli sui terzi coerenti e verificabili.
La NIS2 premierà le organizzazioni in grado di dimostrare un controllo efficace anche in condizioni di pressione: conoscere le dipendenze critiche, limitare la propagazione degli incidenti e revocare rapidamente gli accessi di terze parti quando il contesto lo richiede.
Ricardo Ferreira, EMEA Field CISO di Fortinet
