Da un punto di vista normativo, il settore aeroportuale è naturalmente compreso fin dall’inizio nel perimetro della Direttiva NIS (Direttiva UE 2016/1148). E nel perimetro della Direttiva NIS 2 lo è altrettanto. Tuttavia, è soggetto anche a normative di settore.
Ma facciamo una premessa.
Indice degli argomenti
Sfide informatiche e minacce fisiche nel settore aeroportuale
Il contesto aeroportuale è particolarmente sfidante in termini di minacce di cyber security che devono essere gestite.
Al di là delle minacce legate all’hacktivism ed al cybercrime che ogni organizzazione deve affrontare, infatti, un aeroporto rappresenta un punto particolarmente delicato in termini di interazione fra minacce informatiche e minacce fisiche.
Un aeroporto gestisce ad importanti misure di sicurezza legate al contrasto al terrorismo, al contrabbando, nonché ai flussi di persone che tentino illecitamente di entrare o anche di uscire dal Paese.
Queste attività possono avere alle spalle organizzazioni di criminalità internazionale o anche legate a stati sovrani, con ampia capacità di mettere in atto attacchi informatici sofisticati, magari a supporto del superamento di varchi di controllo fisici.
Tutto questo, in un contesto in cui al centro del business dell’aeroporto stesso, c’è il supportare e facilitare il flusso di viaggiatori, di merci, ma anche del personale delle tante organizzazioni che gestiscono i diversi aspetti dell’operatività dei voli e dell’aeroporto: da chi si occupa del catering a bordo, ai negozianti, fino al personale delle diverse compagnie aeree.
Il ruolo dei sistemi IT
Gli strumenti informatici sono sempre più rilevanti: dai sistemi per il controllo dei bagagli, al controllo dei documenti ai varchi, all’interazione con compagnie aeree di tutto il mondo, ai sistemi di controllo delle diverse infrastrutture tecnologiche, ogni attività ormai utilizza sistemi più o meno informatizzati.
È evidente quindi quanto la sicurezza di questi sistemi sia rilevante: non solo, come per ogni organizzazione, per tutelare l’operatività e il patrimonio aziendale, per esempio rispetto ad attacchi di ransomware, ma anche a supporto di infrastrutture
che sono fondamentali per la vita economica e sociale del Paese, nonché per il contrasto ad attività illecite che possono essere particolarmente gravi. Basti pensare all’evoluzione che ha avuto l’attenzione alla sicurezza di aerei ed aeroporti dopo gli attentati dell’11 settembre 2001.
L’attenzione ai temi di cyber security è quindi un aspetto fondamentale nella gestione dei sistemi IT e OT degli aeroporti, e qui ancor più che in altri contesti richiede la cooperazione e il coordinamento con un gran numero di attori interni ed esterni all’azienda, coordinamento che in molti casi richiede però anche la capacità di tutelarsi rispetto a possibili azioni ostili che possano originare, volontariamente o meno, da questi stessi attori.
Le normative di settore
Fra le normative di settore, particolarmente rilevante su questi temi, è il Regolamento di esecuzione della Commissione Europea (UE) 2015/1998 che stabilisce “disposizioni particolareggiate per l’attuazione delle norme fondamentali comuni sulla sicurezza aerea, per quanto riguarda le misure di cibersicurezza”, modificato anche a valle dell’emanazione della Direttiva NIS con il Regolamento di esecuzione (UE) 2019/1583.
Si deve considerare poi che alcuni aeroporti possono ricadere nel perimetro di normative nazionali anche più stringenti, come il Perimetro di sicurezza nazionale cibernetica.
Infine, possono essere rilevanti, anche dal punto di vista operativo, la normativa sul trattamento dei dati personali, in particolare per quanto riguarda la videosorveglianza e, sempre su questi temi, i vincoli posti dalla normativa relativa all’utilizzo di sistemi di intelligenza artificiale, per esempio per il riconoscimento facciale.
I sistemi OT
I sistemi da considerare non sono solamente sistemi IT, ma anche i tanti sistemi OT che supportano l’operatività delle infrastrutture aeroportuali, e che sono distribuiti su aree anche molto ampie.
Su questo, oltre alle logiche di gestione del rischio, anche la Direttiva NIS 2, con il corrispondente Decreto legislativo 138/2024 di recepimento, è chiara: le reti ed i sistemi dell’azienda sono tutti in perimetro, quindi anche gli ambiti OT che, tipicamente, sono meno presidiati in termini di gestione della sicurezza, oltre ad essere gestiti da funzioni diverse e con le quali è necessario un forte coordinamento.
La Direttiva NIS 2 nel settore aeroportuale
Alla base di tutto però, c’è un modello organizzativo e di gestione che individui delle responsabilità chiare, e che possa dare agli organi apicali quella certezza di presidio della tematica che, oltre ad essere richiesta dalla normativa, è una necessità per affrontare le responsabilità personali che la normativa stessa definisce.
Per questo, il modello organizzativo deve assicurare una gestione della tematica trasversale, non limitata ai sistemi informativi, che coinvolga tutte le funzioni e le aree aziendali impattate.
Se in ambito IT e OT si possono infatti trovare molte delle azioni di mitigazione del rischio, l’individuazione del rischio stesso coinvolge principalmente le altre funzioni che gestiscono i processi operativi sopra descritti, che possono essere il vero obiettivo degli attacchi e dove si possono individuare gli impatti e valutare le caratteristiche e gli obiettivi degli attaccanti.
L’analisi del rischio
È proprio l’analisi del rischio che deve guidare l’individuazione di misure di sicurezza efficaci.
L’analisi, in questo caso, dovrebbe essere particolarmente attenta alle minacce ed alle potenziali vulnerabilità. Deve infatti consentire di verificare quali siano gli ambiti di maggiore criticità in funzione, per esempio, di possibili interazioni con il contesto fisico, anche in termini di misure di mitigazione.
Questa esigenza è particolarmente forte dove eventuali incidenti non si manifestino in termini di disservizi riconoscibili, ma possano concretizzarsi per esempio in termini di inefficacia di alcuni controlli a livello fisico.
Al di là dell’implementazione delle misure di base generali obbligatorie previste dalle diverse normative, l’analisi dei rischi potrebbe portare quindi facilmente all’opportunità di implementare misure più specifiche per il contesto.
Per esempio, sarà importante un’adeguata situational awareness, anche attraverso la collaborazione con le diverse autorità e organizzazioni che possono contribuire, in modo da individuare nel tempo le minacce che possano essere particolarmente rilevanti o attive.
Il focus sulla supply chain
In questo contesto, l’attenzione alla supply chain richiesta dalla Direttiva NIS 2 si integra con una gestione più ampia legata al rischio di terze parti.
Molti soggetti che possono rappresentare un rischio anche involontario dal punto di vista aziendale non sono infatti fornitori in senso stretto. Per esempio, possono essere soggetti ai quali l’aeroporto fornisce servizi, come le compagnie aeree, o loro fornitori.
I temi centrali della Nis 2
La gestione degli incidenti e la continuità operativa, anch’esse fra i temi centrali della direttiva NIS2, sono naturalmente fondamentali per rilevare, contenere e mitigare un eventuale incidente.
In un contesto così complesso, in cui gli incidenti possono presentarsi in modi diversi e possono coinvolgere direttamente funzioni non IT anche nella gestione operativa, è sicuramente utile prevedere procedure che si integrino con quelle per la gestione di altri incidenti di sicurezza (non IT/OT), come anche esercitazioni per assicurare la chiarezza ed efficacia di tali procedure.
Al di là di possibilità più gravi, sicuramente un disservizio che interessi l’operatività di un aeroporto ha un impatto sociale importante.
Si tratta di temi complessi e attività impegnative che, soprattutto per le strutture più piccole, possono essere difficili da affrontare in autonomia.
Su questi temi, la collaborazione, particolarmente all’interno di associazioni settoriali, può essere particolarmente proficua, proprio perché si tratta di un tema rilevante per l’intero settore, con problematiche simili.
L’adeguamento alla direttiva NIS2 comporterà nei prossimi anni attività e investimenti importanti, che aiuteranno anche a gestire uno scenario geopolitico la cui evoluzione potrebbe rendere questi temi particolarmente critici.
