Energia a idrogeno: strategie di cyber resilience

Tuttavia, è essenziale implementare misure di cybersecurity flessibili per affrontare le crescenti minacce informatiche a fronte della rapida evoluzione del settore.

Incremento degli attacchi cyber al settore energia idrogeno

Secondo il rapporto CLUSIT 2024, in Italia, i cyber attacchi contro il settore energetico sono raddoppiati negli ultimi quattro anni, con il 90% dei casi classificati come di impatto “Critico” o “Alto”. Di fatto, le attività cybercriminali continuano a essere la principale causa del 96% degli incidenti nel settore verificatesi nel primo trimestre del 2024.

È doveroso evidenziare che gli attacchi informatici e il sabotaggio fisico nel settore energetico sono stati tra i metodi maggiormente utilizzati dalla Russia, nel conflitto Russia -Ucraina in atto, per creare divisioni e ridurre la fiducia pubblica nei governi europei. Dal 2022, di fatto, si sono registrati numerosi attacchi contro diverse aziende energetiche europee.

Secondo quanto si evince dal report “Eurelectric snapshot of cybersecurity 2024”, l’Europa sta investendo significativamente nella sicurezza informatica, con il settore energetico che si colloca al secondo posto per spesa, subito dopo il settore bancario. È degna di nota, a comprova di ciò, la recente esercitazione pan-europea organizzata dalla Commissione europea per valutare la resilienza delle infrastrutture energetiche dell’UE contro attacchi informatici simulati.

Settore dell’energia dell’idrogeno come gestire le sfide di cyber resilience

Gli impianti di produzione di idrogeno e le reti di distribuzione stanno diventando sempre più digitalizzati, integrando sistemi IT e OT che sono particolarmente vulnerabili agli attacchi informatici che possono compromettere la continuità operativa e la sicurezza, oltre a causare disastri ambientali significativi, data la presenza di materiali pericolosi e beni di alto valore. Pertanto, è quanto mai essenziale implementare soluzioni di sicurezza informatica per garantire operazioni sicure e ininterrotte

Inoltre, molti sistemi di controllo industriale utilizzano software e sistemi operativi che in alcuni casi sono obsoleti e non sempre compatibili con le più recenti soluzioni di sicurezza. Inoltre, l’adozione di protocolli di sicurezza – che potrebbero richiedere riavvii o modifiche significative – rischia di interrompere i processi produttivi, generando rischi operativi considerevoli. Ancora, le peculiarità di questi sistemi industriali possono rendere gli aggiornamenti standard di sicurezza IT causa di instabilità.

È doveroso evidenziare, altresì, che gli impianti di idrogeno – diversamente dagli impianti di produzione convenzionali o dalle centrali elettriche con layout e protocolli di sicurezza uniformi – spesso mancano di un piano di sicurezza unificato. Ciò è dovuto dal fatto che molti di essi derivano da progetti pilota o da ambienti di laboratorio, dove le misure di sicurezza informatica di base potrebbero essere state trascurate durante la transizione. Ne consegue che questa mancanza di standardizzazione e di approccio coerente alla sicurezza rende tali impianti particolarmente vulnerabili alle minacce informatiche.

Sfide di cybersecurity nel settore dell’idrogeno in termini di priorità IT vs OT

Il settore dell’energia dell’idrogeno, come pocanzi evidenziato, si basa su ambienti IT e OT, e la distinzione tra i due ambienti, per quanto riguarda la sicurezza informatica, è definita principalmente dai diversi obiettivi/priorità di protezione. Vediamo di che si tratta.

Priorità OT

Negli ambienti di produzione, l’obiettivo principale è mantenere la disponibilità dell’impianto e garantire che le operazioni non vengano interrotte da attacchi informatici. Il secondo livello di priorità si concentra sull’integrità dei dati, ovvero, la protezione da alterazioni o da manipolazioni non autorizzate dovute ad attacchi. Inoltre, anche se la privacy dei dati rimane un fattore importante, è considerata non prioritaria; mentre la protezione delle informazioni sensibili e della proprietà intellettuale hanno la precedenza.

Priorità IT

 Le priorità nella sicurezza informatica sono invertite: la privacy dei dati viene prima di tutto, seguita dall’integrità dei dati e infine dalla disponibilità del sistema.

Ne consegue che l’inversione di priorità tra i sistemi IT e OT rappresenta una sfida complessa per lo sviluppo di una strategia di sicurezza equilibrata che soddisfi i requisiti e i rischi specifici di ciascuna area.

Cybersecurity nell’energia ad idrogeno: un approccio su misura

Il settore dell’energia ad idrogeno necessita, di fatto, di un approccio alla sicurezza informatica su misura per gestire le sfide uniche degli impianti di produzione di idrogeno. Ovvero, è essenziale sviluppare e implementare misure di sicurezza flessibili ma solide, in grado di proteggere dalle minacce attuali e di adattarsi alle sfide future. Ne consegue che la strategia di difesa può essere suddivisa in tre livelli critici, ciascuno adattato a vulnerabilità e rischi specifici. E, precisamente:

Livello di sicurezza dell’impianto

Questo livello si basa su procedure volte a proteggere l’intera struttura, includendo meccanismi di difesa sia fisica sia digitale. È in particolare focalizzato sulla prevenzione dell’accesso fisico non autorizzato a infrastrutture critiche, adottando misure di sicurezza tradizionali e avanzate per le aree particolarmente sensibili.

Livello di sicurezza della rete

L’obiettivo è salvaguardare le reti di automazione da accessi non autorizzati attraverso il monitoraggio delle interfacce tra reti IT e OT e per l’accesso remoto. La segmentazione della rete, l’uso di comunicazioni crittografate e l’adozione di principi zero-trust assicurano un’architettura sicura che isola le aree critiche e ne controlla l’accesso.

Livello di integrità del sistema

Questo livello mira a impedire l’accesso non autorizzato ai sistemi di automazione, ai dati e ai canali di comunicazione, oltre a prevenirne la manipolazione. L’obiettivo principale è evitare tempi di inattività imprevisti e salvaguardare la proprietà intellettuale attraverso funzionalità di sicurezza integrate.

Normative di sicurezza per l’energia ad idrogeno: un quadro completo

La protezione delle infrastrutture energetiche dell’idrogeno è supportata da diverse normative e standard di sicurezza, tra cui NIS2, IEC 62443 e CER (Critical Entities Resilience). Questi regolamenti forniscono un quadro normativo per proteggere le infrastrutture critiche del settore energetico – incluso quello dell’idrogeno – da minacce fisiche e cibernetiche, assicurando la resilienza dei servizi essenziali e promuovendo pratiche di sicurezza avanzate1.

Direttiva NIS2

La direttiva NIS2 mira a garantire un livello comune elevato di sicurezza informatica nell’Unione Europea per i settori critici, come l’energia. Richiede agli Stati membri di migliorare la loro preparazione, collaborazione e cultura della sicurezza, basandosi su misure tecniche e organizzative per gestire i rischi legati alla sicurezza dei sistemi informatici e imponendo obblighi di notifica degli incidenti.

IEC 62443

Lo standard internazionale IEC 62443 fornisce un framework applicativo per le misure di sicurezza richieste dalla Direttiva NIS2. È specifico per i sistemi di automazione e controllo industriale, fornendo strumenti pratici per implementare misure di cybersecurity, particolarmente rilevanti per settori come l’energia.

Sinergia tra NIS2 e IEC 62443

Lo standard internazionale IEC 62443 fornisce un supporto concreto e tecnicamente specifico per attuare i requisiti generali della Direttiva NIS2, nonostante operino su livelli e contesti diversi. Di fatto, la sinergia tra le due normative permette alle organizzazioni di assicurare la conformità dei sistemi industriali, migliorando la continuità operativa dei servizi essenziali. In pratica, si osservano:

• Armonizzazione degli obiettivi di sicurezza tra le due normative, mirata a potenziare la resilienza complessiva contro le minacce informatiche.
• Adozione di un approccio strutturato alla gestione del rischio, in cui le best practice dell’IEC 62443 offrono una guida essenziale per una corretta valutazione del rischio informatico.
• Integrazione nei processi di conformità, con audit e certificazioni basati sugli standard IEC 62443 che, se inseriti in un programma di cybersecurity strutturato, possono dimostrare l’aderenza ai requisiti NIS2.

CER e NIS2: rafforzare la resilienza energetica

La nuova direttiva CER sostituisce la direttiva europea sulle infrastrutture critiche del 2008 e, insieme alla NIS2, mira a rafforzare la resilienza delle infrastrutture critiche, incluso il settore dell’energia ad idrogeno.

Di fatto, il settore dell’energia ad idrogeno deve garantire la propria resilienza in termini di produzione, di stoccaggio e di trasporto di idrogeno. È doveroso evidenziare che la direttiva CER si sovrappone in parte alla NIS2, essendo più orientata alla protezione fisica delle infrastrutture. Tuttavia, è necessario che la resilienza si estenda anche alle minacce fisiche, quali: reati terroristici, sabotaggi e calamità naturali.

Inoltre, a differenza della NIS2, la direttiva CER non distingue tra entità “essenziali” e “importanti”, utilizzando invece la terminologia generale di “entità critiche” per i fornitori di servizi essenziali identificati sulla base della valutazione del rischio. Ancora, le entità critiche ai sensi della CER devono rispettare le misure di gestione del rischio di sicurezza informatica e gli obblighi di segnalazione imposti dalla NIS2.

Cyber Resilience Act (CRA) e AI Act: sicurezza e conformità nel settore dell’idrogeno

Le organizzazioni che forniscono hardware e software critici al settore dell’energia ad idrogeno devono considerare il Cyber Resilience Act, che introduce requisiti di cybersecurity per i prodotti con elementi digitali, inclusi i dispositivi IoT.

Di fatto, il CRA si applica a tutti i prodotti IoT e stabilisce misure migliorate per l’hardware utilizzato nelle infrastrutture critiche. Pertanto, i sistemi di automazione e di controllo industriali, i sistemi di gestione di rete, le interfacce di rete fisiche, i firewall, i router, i modem e gli switch nel settore dell’idrogeno saranno sottoposti a un attento esame.

È doveroso evidenziare che le organizzazioni devono conformarsi non solo a NIS2 e CER, ma anche all’AI Act, quando i sistemi AI sono utilizzati nel settore dell’energia ad idrogeno. Ciò richiede l’adozione di misure di sicurezza informatica per supportare la gestione del rischio AI. Ciò richiede un approccio olistico alla conformità, integrando le pratiche di sicurezza informatica e la gestione del rischio AI.

Network Code on Cybersecurity (NCCS) Standard

Lo standard Network Code on Cybersecurity (NCCS) è entrato in vigore a marzo 2024 e fornisce norme per il settore dell’energia elettrica dell’UE per affrontare gli aspetti di cibersicurezza dei flussi transfrontalieri di energia elettrica. Esso mira a rendere il sistema elettrico dell’UE più resiliente e sicuro, stabilendo norme riguardanti: la valutazione dei rischi per la sicurezza informatica; i requisiti minimi comuni di cibersicurezza; la pianificazione; la reportistica e il monitoraggio; la gestione delle crisi.

Inoltre, lo standard NCCS impatta anche il settore dell’energia ad idrogeno, considerando che è collegata al sistema elettrico tramite un processo di elettrificazione come vettore energetico.

Risk Preparedness Regulation nel settore energetico

La Risk Preparedness Regulation è in vigore da giugno 2019 e sarà revisionata entro settembre 2025. Essa mira a migliorare la cooperazione tra gli Stati membri dell’UE per: identificare meglio le possibili crisi elettriche; predisporre piani di gestione delle crisi; gestire le crisi quando si verificano. Inoltre, la regolamentazione stabilisce una metodologia comune e norme atte a favorire la cooperazione tra i paesi dell’UE per prevenire e per prepararsi a gestire le crisi dell’energia elettrica in uno spirito di solidarietà e trasparenza.

ISO/IEC 27019:2024 “Information security controls for the energy utility industry”

La ISO/IEC 27019:2024 stabilisce requisiti specifici per il funzionamento sicuro dei sistemi di controllo dei processi e le misure di sicurezza per il settore dell’energia e amplia i controlli per includere i vari aspetti specifici del settore energetico, rispetto ai controlli della ISO 27001:2022 e della ISO 27002:2022.

Sfide attuali e prospettive future

Ci troviamo dinanzi ad una vera e propria galassia normativa europea a cui conformarsi e ci si auspica che non vengano introdotte nuove regolamentazioni, in modo da permettere al settore dell’energia, incluso quello dell’idrogeno, di conformarsi completamente. Inoltre, i miglioramenti normativi dovrebbero essere proposti solo quando strettamente necessari, evitando sovrapposizioni con regolamenti esistenti. Ancora, è fondamentale promuovere lo sviluppo di una forza lavoro qualificata, dato che l’industria della cybersecurity richiede un incremento di personale qualificato per affrontare le minacce in evoluzione e, a tal proposito, l’UE ha istituito la Skills Academy.

I governi, per facilitare la resilienza di questo ecosistema strategico, dovrebbero promuovere investimenti che permettano al settore di gestire efficacemente i rischi cyber in costante aumento, riconoscendo e compensando i costi aggiuntivi in termini di misure di sicurezza e di conformità normativa.

L’importanza strategica della cyber resilience nel settore dell’energia a idrogeno

La cyber resilience è essenziale per il futuro del settore dell’energia ad idrogeno. Ne consegue che le organizzazioni devono rafforzare le difese informatiche per contrastare attacchi hacker sempre più sofisticati e distruttivi. Ovvero, si tratta di proteggere tali infrastrutture per garantirne l’affidabilità e la sostenibilità.

In quest’ottica sono state promulgate le direttive europee che richiedono l’implementazione di principi di gestione del rischio, di continuità operativa e di cybersecurity, adottando un approccio basato sul rischio e sulla resilienza.

Il futuro dell’energia ad idrogeno richiederà ai vari stakeholder, altresì, di mantenere il passo con le innovazioni, oltre a garantire una continua collaborazione per migliorare la cybersecurity delle infrastrutture critiche energetiche in Europa. Senza dimenticare l’importanza di promuovere una formazione continua e svolgere esercitazioni periodiche per consolidare la cultura della cyber resilience nel settore.