La normativa NIS2 (Network and Information Security) introdotta dalla Direttiva Ue 2022/2555 (del 14/12/2022, e recepita con il D.Lgs. n. 138/2024), nell’ordinamento interno, ha introdotto un rinnovato assetto della cyber security, orientata a consolidare quel “livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”.
Questa espressione aveva fatto la sua comparsa con la Direttiva (UE) 2016/1148 (la Direttina NIS) e che, a seguito del suo recepimento con il D.Lgs. 65/2018, è stata affiancata dalla diversa, ma speculare, normativa collegata al D.L. n. 105/2019, introduttivo del Perimetro di sicurezza nazionale cibernetica.
Questo perimetro è orientato ad assicurare un “livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici”, delle amministrazioni pubbliche, degli enti e degli operatori nazionali pubblici e privati, avverso i rischi specifici di cyber security, e dai quali possa derivare un pregiudizio per la sicurezza nazionale.
Indice degli argomenti
Normativa NIS2, prime fasi applicative
I temi posti dalla nuova normativa NIS2, anzi dal sistema di gestione che di fatto con essa viene introdotto, unitamente alla Determinazione del direttore generale dell’Agenzia per la Cybersicurezza nazionale del 26/11/2024, e relativa alle prime fasi applicative, consente di applicare i necessari riferimenti pratici, per l’attuazione concreta del dettato normativo, in funzione della prima scadenza generale, prevista per il 28/02/2025.
Correttivo Codice Appalti, cosa cambia per il 2025: tutti le novità in questo White Paper
Quanto sopra si consolida anche in considerazione del fatto, che, dall’entrata in vigore del Decreto di recepimento, non risultano ancora vigenti atti giuridici settoriali di tipo integrativo, emessi dal ministero delle Infrastrutture e dei Trasporti, quale Autorità di settore NIS. E, dunque, riferibili alle autorità nazionali competenti in materia di port security, ed applicabili alle società di gestione degli impianti portuali di tipo ISPS.
Impianti portuali ISPS e normativa NIS2
Per quanto concerne l’appartenenza all’Allegato 1, gli impianti portuali ISPS, sono espressamente richiamati nel Settore 2.
Trasporti, Sottosettore c), Trasporto per vie d’acqua, del D.Lgs. n. 138/2024. Il sottosettore indicato, presenta dunque i seguenti sottosettori, considerati ad alta
criticità:
Per quanto di interesse, assumono rilievo le organizzazioni di cui al secondo capoverso, confermando così, con il richiamo al Regolamento (UE) n. 725/2004, l’inclusione di tutte le infrastrutture portuali che realizzano l’interfaccia nave/porto, per le finalità di port security, e previste dal Regolamento comunitario attuativo del Codice ISPS.
Port Facility Security Assessment
In questo senso, risulta utile ricordare come gli impianti portuali sottoposti alla disciplina ISPS, siano tenuti a dotarsi di un documento di valutazione dei rischi specifici di security (Port Facility Security Assessment), unitamente al conseguente piano operativo, contenente le specifiche misure di prevenzione e protezione dei rischi di security valutati, che devono essere implementate nell’infrastruttura di trasporto (Port Facility Security Plan), a cura del PFSO o del Security Manager, con funzione di PFSO.
La definizione di porto offerta dalla Direttiva 65
Allo stesso modo, sono richiamati gli organi di gestione dei porti, di cui alla Direttiva 2005/65/CE, come recepita con il D.Lgs. n. 203/2007. In questo caso, la definizione di porto offerta dalla Direttiva 65, inquadra l’infrastruttura come “una specifica area terrestre e marittima con confini definiti dallo Stato membro in cui il porto è situato, comprendente impianti e attrezzature intesi ad agevolare le operazioni commerciali di trasporto marittimo”.
Una definizione questa, che il D.Lgs. di recepimento declina correttamente sul piano più specifico della port security, e di qui evidenzia il legame con gli impianti portuali ISPS, definendo così il porto come, “una specifica area terrestre e marittima, comprendente impianti ed attrezzature intesi ad agevolare le operazioni commerciali di trasporto marittimo … che ha al suo interno uno o più impianti portuali dotati di un piano di sicurezza approvato a norma del Regolamento (UE) n. 725/2004”.
Il collegamento esistente tra porto ed impianto portuale
Il richiamo delle definizioni rende pertanto evidente, il collegamento che esiste tra porto (inteso come organo di gestione dei porti ed individuabile nelle ADSP o in assenza del capo di compartimento marittimo/AD) ed impianto portuale; un rapporto questo, che poggia sul piano del diritto amministrativo, non solo nei rapporti concessori di cui alla Legge n. 84/1994, come modificata dal D.Lgs. n. 169/2016, ma in particolare sul piano delle norme pubblicistiche di security portuale, di cui al D.Lgs. n. 203/2007.
Port security plan
Questo Decreto consolida, peraltro, il documento denominato Piano di security del porto o Port security plan (redatto previa esecuzione della valutazione di security del porto), quale documento che, “integra i piani di sicurezza degli impianti portuali elaborati a norma del Regolamento (CE) n. 725/2004”.
Il collegamento riconferma il nesso esistente tra impianto portuale ISPS e ADSP, anche e soprattutto rispetto alla valutazione dei rischi di security, che confluiscono nei diversi PFSA degli impianti portuali presenti nelle diverse circoscrizioni delle ADSP.
Un nesso fino ad oggi valorizzato rispetto ai rischi di security di tipo fisico, ma che oggi con la NIS2 dovranno essere formalmente valorizzati anche sul piano logico/informatico, con specifico riferimento ai Parr. B/15.3.5., B/15.7.3 e B/15.4.11. del Codice ISPS.
I criteri quantitativi e di soglia finanziaria
A questo punto, occorre volgere l’attenzione al D.Lgs. n 138/2024, ed in particolare ai suoi articoli 3 e 6, che congiuntamente consentono di definire a chi si applica la normativa e, in particolare, di distinguere fra i destinatari, i Soggetti essenziali ed i Soggetti importanti (categorie che sostituirebbero le precedenti classificazioni, di operatori di servizi essenziali e fornitori di servizi essenziali) considerati dalla nuova normativa.
Soggetti essenziali
In questo senso, l’art. 6, nei suoi commi 1 e 2, assorbe nella categoria dei Soggetti essenziali, anzitutto i soggetti di cui all’Allegato 1, che superano i massimali per le medie imprese di cui all’articolo 2, paragrafo 1, dell’allegato della raccomandazione 2003/361/CE, nonché le rimanenti categorie di cui al comma 1, lett. b) e ss., e di cui al comma 2, attraverso il richiamo all’art. 3, commi 6, 8, 9 e 10 (ivi incluso il richiamo all’art. 3, comma 5, lett. a, b, c, d).
Rilevano in questo senso i commi 8 e 9 dell’art. 3, con riferimento al comma 13 dello stesso articolo, laddove si prevede la facoltà in capo all’Autorità nazionale competente NIS, di individuare indipendentemente dalle dimensioni, soggetti specifici da ricondurre al perimetro NIS2 e fatta salva, al contrario, l’applicazione della clausola di salvaguardia (nei termini specificati dal successivo Dpcm in materia) di cui ai commi 4 e 12 dell’art. 3.
Soggetti importanti
Con criterio di residualità, il comma 3 dell’art. 6, classifica come soggetti importanti quelli di cui all’art. 3 che non sono considerati essenziali ai sensi dei commi 1 e 2 dell’art. 6, fatto salvo che non sia diversamente specificato.
In particolare, si fa riferimento all’art. 3, comma 2 del D.Lgs. n. 138/2024, per cui la normativa NIS2 si applica ai soggetti di cui alle categorie degli Allegati I e II, che superano i massimali per le piccole imprese ai sensi dell’art. 2, par. 2, dell’allegato della raccomandazione 2003/361/CE.
Da quanto sopra, ne discende che il consolidamento dei settori indicati negli Allegati, unitamente alla fissazione di criteri dimensionali e di fatturato specifici, per medie imprese, piccole imprese e microimprese (qualora appartenenti a settori critici), rappresentano i due principali criteri di riferimento, per l’applicazione della norma.
A chi si applica la direttiva NIS2
Con riferimento all’ambito specifico di esame del presente contributo, e riferito agli impianti portuali ISPS, la Direttiva NIS2 (come recepita dal D.Lgs 138/2024), si applicherebbe ai soggetti che:
- sono compresi nell’Allegato I, del D.Lgs. n. 138/2024: Allegato I, settori ad alta criticità. Settore trasporti, trasporto per vie d’acqua: “Organi di gestione dei porti quali definiti all’articolo 3, punto 1), della Direttiva 2005/65/CE, compresi i relativi impianti portuali quali definiti all’articolo 2, punto 11) del Regolamento (CE) n. 725/2004, e soggetti che gestiscono opere o attrezzature all’interno dei porti”;
- superano i massimali per le piccole imprese ai sensi dell’articolo 2, paragrafo 1 o paragrafo 2, dell’Allegato alla raccomandazione 2003/361/CE, qualora: l’impresa occupa più di 250 persone (intesi come effettivi ex art. 5) – media impresa; l’impresa occupa più di 50 persone (intesi come effettivi ex art. 5) – piccola impresa;
- e l’impresa realizza un fatturato annuo o un totale di bilancio annuo superiori a 50 milioni di euro – media impresa; l’impresa realizza un fatturato annuo o un totale di bilancio annuo superiori a 10 milioni di euro – piccola impresa.
Il criterio dimensionale
Con particolare riferimento al criterio dimensionale [1], relativo al calcolo dei dipendenti (art. 5, Raccomandazione 2003/361/CE), gli effettivi corrispondono al numero di unità lavorative-anno (ULA), ovvero al numero di persone che, durante tutto l’anno in questione, hanno lavorato nell’impresa o per conto di tale impresa a tempo pieno. Il lavoro dei dipendenti che non hanno lavorato tutto l’anno oppure che hanno lavorato a tempo parziale, a prescindere dalla durata, o come lavoratori stagionali, è contabilizzato in frazioni di ULA. Gli effettivi sono composti:
- dai dipendenti che lavorano nell’impresa;
- dalle persone che lavorano per l’impresa, ne sono dipendenti e, per la legislazione nazionale, sono considerati come gli altri dipendenti dell’impresa;
- dai proprietari gestori;
- dai soci che svolgono un’attività regolare nell’impresa e beneficiano di vantaggi finanziari da essa forniti.
Gli apprendisti con contratto di apprendistato o gli studenti con contratto di formazione non sono contabilizzati come facenti parte degli effettivi. La durata dei congedi di maternità o parentali non è contabilizzata.
Il caso delle imprese autonome, associate o collegate
Oltre a questo, si consideri che quanto sopra vale sia rispetto all’impresa autonoma, ma anche rispetto alle imprese associate o collegate (vedi art. 3, commi 1, 2, 3 della raccomandazione 2003/361/CE), rispetto alle quali “i dati inclusi quelli relativi agli effettivi, sono determinati sulla base dei conti e di altri dati dell’impresa” (art. 6 commi 1 e 2 della raccomandazione 2003/361/CE).
In questo senso, risulta chiaro l’ultimo capoverso del punto 2.3., Faq Acn, ambito di applicazione, per cui “qualora il soggetto ritenga che ciò non sia proporzionato – tenuto anche conto dell’indipendenza dello stesso dalle sue imprese associate o collegate in termini di servizi che fornisce e di sistemi informativi e di rete che utilizza nella fornitura di tali servizi – potrà richiedere una deroga ai sensi dell’articolo 3, comma 4, del decreto NIS, in presenza degli specifici criteri stabiliti dal Dpcm sull’applicazione della clausola di salvaguardia, adottato ai sensi dell’articolo 40, comma 1, lettera a), del decreto NIS”.
Coordinamento tra ADSP ed impianti portuali ISPS sottoposti a normativa NIS2
Come visto, le ADSP sono incluse ex lege nell’ambito di applicazione del D.Lgs. n. 138/2024 ex Allegato 1, settore 2, sottosettore c), e dunque sarebbero verosimilmente non valorizzabili all’interno dell’Allegato 3, che fa riferimento all’elenco delle amministrazioni pubbliche redatto dall’Istituto nazionale di statistica (come richiamato dal comma 6 dell’art. 3 del D.Lgs. n. 138/2024) alle quali, estende in ogni caso l’applicazione del perimetro NIS2.
Quanto sopra si avvalora, anche considerando l’ente di gestione dei porti, quale elemento sistemico della catena di approvvigionamento (non solo digitale) di uno o più soggetti considerati essenziali o importanti (per esempio, gli impianti portuali ISPS), e dunque valorizzandone la catena di fornitura non solo digitale.
Questa impostazione, troverebbe ulteriormente valore, qualora le ADSP (quali organi di gestione dei porti) in via diretta e/o per mezzo di società controllate, siano invece impegnate nella fornitura di servizi informativi e di rete agli impianti portuali ISPS, presenti nei porti ricompresi nelle circoscrizioni di appartenenza.
In tal senso, sarebbero incluse anche le eventuali società controllate dall’Ente e operanti per la fornitura di reti pubbliche di comunicazione elettronica, o di servizi di comunicazione elettronica dedicati a tutti gli stakeholder portuali (da intendersi qui come utenti ed operatori interni ed esterni agli impianti portuali ISPS e dunque anche le utenze riconducibili all’accesso nelle piattaforme digitali del Port Community System [2].
Impianto portuale ISPS sottoposto a normativa NIS2
Quanto premesso, l’inclusione di un impianto portuale ISPS riconducibile al Regolamento CE 725/2004, all’interno della disciplina NIS2, consentirebbe un allineamento con l’organo di gestione dei porti, in via principale, in termini di obblighi e responsabilità, di cui agli articoli 23, 24, 25 e 26 del D.Lgs. 138/2024.
In questo modo la normativa Nis 2 del D.Lgs. di recepimento, diverrebbe assorbente rispetto ad altre normative di port security allo stato vigenti. Pertanto, rispetto alla gestione del rischio informatico da parte degli Impianti Portuali ISPS sottoposti a NIS2, i documenti di PFSA e PFSP, potrebbero fare solo riferimento alle procedure di gestione dei rischi informatici presenti nell’istituendo sistema di gestione della cyber security, introdotto ed implementato con l’autonoma normativa NIS2.
Si potrebbe quindi procedere analogamente a quanto avviene per il settore dello shipping, che valuta il rischio di cyber security all’interno Safety management system, e con riferimento al diverso Codice ISM, ai sensi della Risoluzione MSC 428(98) del 2017 (o presso separato sistema di gestione della sicurezza informatica), e che di tali valutazioni e procedure di gestione dei rischi, è previsto farsi mero rimando nello Ship security plan (SSP), quale equivalente del Port facility security plan (PFSP) sul versante impianto portuale.
Risk assessment sotto NIS2
In questo senso, con particolare riferimento al PFSA del singolo impianto portuale ISPS incluso nel perimetro NIS2, la valutazione del rischio rispetto alla cyber security dei dati e delle informazioni trattate, potrebbe pertanto essere assolta, con un rimando al risk assessment eseguito sotto NIS2 (verosimilmente sulla base dello standard ISO 27000, così come emerge dal Considerando 79 della Direttiva 2022/2555 8 e del quale dare atto, in termini di metodologia seguita, nella relazione finale di cui al Paragrafo B/15.7., Codice ISPS.
Verifica in sede di ispezioni Circolare 24 dell’Autorità designata
Un estratto delle risultanze del cybersecurity assessment citato, potrebbe inoltre essere incluso nel PFSA, anche per esigenze di verifica in sede di ispezioni Circolare 24 dell’Autorità designata, al fine di verificare che siano state introdotte misure di sicurezza delle informazioni all’interno del PFSP, a seguito di una preventiva valutazione del rischio, seppure avvenuta sotto una diversa normativa di riferimento.
L’obiettivo, anche per i soggetti Nis 2, è dunque di richiamare le risultanze del sistema di gestione Nis 2, all’interno della documentazione ordinaria di port security (PFSP e PFSA).
Ancora, la collocazione delle risultanze della valutazione del ischio cyber, potrebbero confluire in allegato al PFSA, qualora ammesso e con specifiche modalità, al fine di svincolare le esigenze di aggiornamento del PFSA (rispetto alle modifiche dell’infrastruttura portuale, come previste dal Reg. UE 725/2004), dalle diverse ed eventuali esigenze di aggiornamento e modifica della valutazione del rischio previsto con Nis 2, e questo con modalità condivise ed autorizzate.
Specularmente, solo le procedure di cyber security rilevanti in ambito ISPS, che implementano i controlli previsti nel perimetro della disciplina Nis 2, troverebbero inclusione nei conseguenti PFSP [3], ai fini della documentazione di quanto previsto dal Par. 25, Parte IV, del PNSM Rev. 2.
Impianto portuale ISPS non sottoposto a normativa Nis 2
Posto che gli impianti portuali ISPS, secondo la lettura congiunta della norma, sarebbero inclusi nel perimetro della normativa NIS2 (così come recepita dal D.Lgs. n. 138/2024), con riferimento ai criteri quantitativi e di soglia finanziaria, unitamente all’inserimento nell’Allegato 1, una riflessione a parte riguarderebbe quegli impianti portuali ISPS, che seppure inclusi nell’Allegato 1, Settore 2, non supererebbero i massimali per le medie imprese (art. 2, par. 1, raccomandazione 2003/361/CE) e per le piccole imprese (art. 2, par. 2, raccomandazione 2003/361/CE), oppure in clausola di salvaguardia.
Per queste categorie, in apparenza non tenute ad aderire alla normativa contenuta nel D.Lgs. n. 138/2024, si porrebbe in ogni caso la necessità di adottare idonee misure di cyber sicurezza, a seguito della valutazione degli specifici rischi nell’ambito del PFSA e di conseguenza del PFSP (Parr. B/15.3.5., B/15.7.3 e B/15.4.11), e questo valorizzando dunque l’attuale disciplina del Codice ISPS.
Questo tanto più considerando che le ADSP sarebbero incluse ex lege nel perimetro della normativa Nis 2. Questa circostanza, sarebbe da sola idonea a determinare un disallineamento in termini di valutazione del rischio cyber e di mancata adozione di misure di prevenzione e protezione condivise, all’interno dello stesso ecosistema portuale (con particolare riferimento, per esempio, agli accordi di PCS), che potenzialmente condivide le infrastrutture di reti ed i servizi informativi comuni.
La discrasia potrebbe essere presente in modo potenzialmente diverso, in tutte le circoscrizioni di ADSP nazionali, andando a minare i principi di riferimento della normativa Nis 2, e di ogni altra normativa applicabile.
Le FAQ di ACN sulla NIS2 negli impianti portuali
Sul tema dell’applicazione della NIS2 negli impianti portuali ISPS, lo scorso 17 febbraio 2025 è stato pubblicato un nuovo aggiornamento all’interno delle FAQ di ACN, per il Sottosettore c), Trasporto per vie d’acqua, in particolare inserendo i punti, A 1.2.C.1, A 1.2.C.2 ed A 1.2.C.3 in calce alla Sezione Trasporti, e questo con riferimento particolare agli organi di gestione dei porti, ex Direttiva 2005/65/CE (e susseguente D.Lgs n. 203/2007 di recepimento) e per gli impianti portuali ISPS, sottoposti al Reg. (CE) n. 725/2004.
Le FAQ prodotte hanno il merito di ribadire il nesso tra gli organi di gestione dei porti (le ADSP e dunque le ex Autorità Portuali) e gli impianti portuali ISPS, che si trovano all’interno della propria circoscrizione.
Si sottolinea quindi come il legame amministrativo (concessione o autorizzazione previsto dalla Legge 84/94) che lega concendente a concessionario, sia rilevante anche sul piano “sostanziale”, rispetto alle infrastrutture di rete e sistemi informativi condivisi (si pensi in tal senso anche alle piattaforme informatiche Port Community System o PCS aperte agli stakeholders privati e istituzionali in ambito portuale).
Un tema, questo, che rileva tantopiù per le ADSP che offrono in via diretta o tramite società controllate, connettività e servizi di rete agli utenti portuali e dunque infrastrutture fisiche per il collegamento delle reti dei singoli impianti portuali. Ecco quindi consolidarsi il rapporto di holding tra ADSP e soggetti giuridici a valle della catena di approvvigionamento, non solo digitale.
Per gli impianti portuali si ribadiscono, poi, i requisiti dimensionali e di fatturato di cui alla raccomandazione della commissione del 06/05/2023 (con riferimento al superamento almeno dei requisiti della piccola impresa, così qualificando l’impianto portuale nei soggetti importanti, mentre questo ricade nei soggetti essenziali, se ne supera i requisiti della media impresa, e considerato l’eventuale consolidamento con le imprese associate o collegate nel contesto delle imprese infragruppo e fatta sempre salvo, la clausola di salvaguardia di cui all’art. 3, commi 4 e 12 del D.Lgs. 138/2024), e privilegiando l’appartenenza ai settori critici di cui all’Allegato 1 (che ne fa quindi un sottosettore altamente critico), emerge in ogni caso la necessità di iscrizione alla piattaforma di ACN entro il 28 febbraio.
Rimane ferma, in ogni caso, la necessità dell’iscrizione entro la data indicata.
Di interesse, risulta il quesito relativo alla definizione dei “soggetti che gestiscono opere ed attrezzature all’interno dei porti”, e rispetto ai quali si fa riferimento sostanziale alle seguenti categorie, già indicate nel documento allegato:
- Servizi Tecnico Nautici (Pilotaggio, Rimorchio, Ormeggio e disormeggio).
- Terminalisti e Operatori portuali (ex artt. 16 e 18 della Legge 84/94).
- Servizi di Interesse generale per i singoli porti, tra i qali il servizio di raccolta e smaltimento rifiuti nave.
Con le FAQ indicate, ACN consolida quanto già indicato nel D.Lgs n. 138/2024, e focalizza nei Servizi Tecnico Nautici di cui all’art. 14 della Legge 84/94, nei servizi generali di gestione rifiuti generati dalle navi (per questi in ogni caso ci sarebbe stata anche l’indicazione di cui all’Allegato 2, Settore Gestione rifiuti da far valere), nonché nei soggetti concessionari ex art. 18 Legge 84/94 (spesso società già operanti quali impianti portuali ISPS), quelle ulteriori categorie che consolidano il perimetro di sicurezza delle reti e sistemi informativi, nell’ambito dei porti e degli impianti portuali ISPS.
Rimane da verificare infine, la valutazione relativa alla postura di cybersicurezza di quelle realtà professionali che interagiscono con le infrastrutture di rete e sistemi informativi portuali, ma che non ricadono in perimetro NIS2.
Questo al fine di una sempre più ampia diffusione delle pratiche di sicurezza informatica, in un settore, quale quello portuale, di particolare importanza sul piano economico e sociale.
Bibliografia
[1] Si veda Op.Europa.eu come richiamato nelle Faq di Acn, ambito di applicazione, punto 2.3.
[2] Si veda anche, la Direttiva 20/03/2018 del ministero delle Infrastrutture e dei Trasporti, contenente linee guida per omogeneizzare i sistemi PCS da attuare attraverso la piattaforma logistica nazionale.
[3] Cons. 79. “Poiché le minacce alla sicurezza dei sistemi informatici e di rete possono avere origini diverse, le misure di gestione dei rischi di cibersicurezza dovrebbero essere basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da eventi quali furti, incendi, inondazioni, problemi di telecomunicazione o interruzioni di corrente, o da qualsiasi accesso fisico non autorizzato nonché dai danni alle informazioni detenute dai soggetti essenziali o importanti e agli impianti di trattamento delle informazioni di questi ultimi e dalle interferenze con tali informazioni o impianti che possano compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di rete o accessibili attraverso di essi. Le misure di gestione dei rischi di cibersicurezza dovrebbero pertanto affrontare anche la sicurezza fisica e dell’ambiente dei sistemi informatici e di rete includendo misure volte a proteggere detti sistemi da guasti del sistema, errori umani, azioni malevole o fenomeni naturali, in linea con le norme europee e internazionali, come quelle di cui alla serie ISO/IEC 27000. A tale riguardo, i soggetti essenziali e importanti dovrebbero altresì, nell’ambito delle loro misure di gestione dei rischi di cibersicurezza, affrontare la questione della sicurezza delle risorse umane e disporre di strategie adeguate di controllo dell’accesso. Tali misure dovrebbero essere coerenti con la direttiva (UE) 2022/2557”.
PA: Guida pratica alla transizione al cloud per i servizi SaaS
