Gestione del rischio informatico, nuove regole per navi e porti

Collocando il rischio cibernetico tra le principali minacce alla sicurezza della navigazione, il Ministero delle Infrastrutture e dei Trasporti ridefinisce le priorità della sicurezza marittima nazionale.
Con la Circolare “Sicurezza della Navigazione – Serie Generale n. 177/2025”, emanata il 16 dicembre dello scorso anno, il Comando Generale delle Capitanerie di Porto, di concerto con l’Autorità NIS per il settore Trasporti, introduce un quadro normativo vincolante destinato a incidere in modo profondo sull’organizzazione e sulla gestione operativa del comparto marittimo.
Le nuove disposizioni si applicano alle navi battenti bandiera italiana, alle società di gestione certificate ISM e agli impianti portuali, imponendo un aggiornamento strutturato delle misure di difesa digitale.
L’intervento normativo si inserisce nel percorso di armonizzazione con gli standard internazionali dell’IMO e con la Direttiva europea NIS2, recepita in Italia dal Decreto Legislativo 138/2024, rafforzando l’allineamento tra disciplina nazionale ed europea in materia di cybersicurezza.
La progressiva integrazione tra tecnologie informatiche e operative ha reso navi e terminal portuali sempre più dipendenti da sistemi digitali interconnessi.
Apparati come ECDIS, AIS, sistemi di automazione di bordo, piattaforme di monitoraggio e interfacce di accesso remoto nave-terra hanno migliorato l’efficienza e la sicurezza delle operazioni, ma hanno al contempo ampliato la superficie di esposizione ad attacchi informatici. Vulnerabilità che possono compromettere i Computer Based System e incidere sulla continuità operativa, sulla sicurezza della navigazione e sulla tutela dell’ambiente marino, rendendo necessario un intervento normativo organico.
La Circolare 177/2025 segna infatti il passaggio da un approccio prevalentemente volontario a un modello obbligatorio, sistemico e integrato. Le compagnie di navigazione sono chiamate a includere la gestione del rischio cyber all’interno dei propri Safety Management System e dei piani di security, adottando procedure che coprano l’intero ciclo di vita della minaccia: prevenzione, identificazione, risposta agli incidenti e recupero delle funzionalità compromesse. L’obiettivo è garantire la resilienza dei sistemi critici di bordo, dalla propulsione al governo nave, dalla produzione di energia alla gestione del carico.
Un elemento centrale del nuovo impianto regolatorio è rappresentato dal fattore umano. Il Ministero richiede che l’adeguamento tecnologico sia accompagnato da programmi di formazione continua e qualificata rivolti agli equipaggi, ai Company e Port Facility Security Officer e al personale tecnico IT/OT. La consapevolezza del rischio e la capacità di riconoscere tecniche di attacco sempre più sofisticate diventano strumenti essenziali per prevenire e gestire eventi cyber.
Il provvedimento guarda inoltre alle tecnologie emergenti, includendo indicazioni specifiche per i sistemi autonomi e per i servizi digitali integrati nave-terra, anticipando le vulnerabilità di un settore in rapida automazione. La gestione delle emergenze cyber viene infine collegata agli obblighi di notifica previsti dalla NIS2: gli operatori dovranno segnalare tempestivamente gli incidenti significativi al CSIRT Italia, rafforzando il coordinamento tra il comparto marittimo e il sistema nazionale di difesa cibernetica.
Come evidenziato dal Comando Generale delle Capitanerie di Porto e dall’Autorità NIS, la cybersicurezza diventa così parte integrante della sicurezza marittima complessiva. Per consentire agli operatori di adeguarsi progressivamente ai nuovi standard, l’entrata in vigore definitiva delle disposizioni è fissata al 1° novembre 2026.