Conformità a NIS2 per il settore dell'acqua potabile

L'acqua potabile sicura e affidabile è un servizio pubblico fondamentale nell'Unione Europea. Gli impianti di trattamento delle acque, le reti di distribuzione e i sistemi di monitoraggio della qualità dipendono sempre più da sistemi di controllo digitali e tecnologie di monitoraggio remoto. Man mano che questi sistemi diventano più interconnessi, aumentano anche l'esposizione al rischio informatico.

La direttiva NIS2 stabilisce obblighi di cybersicurezza a livello UE per le entità Essenziali e Importanti e amplia significativamente l'ambito del quadro NIS originale. La conformità a NIS2 per il settore dell'acqua potabile riflette l'importanza cruciale di proteggere le infrastrutture di approvvigionamento idrico da interruzioni, contaminazioni o guasti del servizio.

La direttiva si applica alle organizzazioni di medie e grandi dimensioni che operano nei settori designati, incluso quello dell'acqua potabile. Molte aziende idriche pubbliche e private possono rientrare nel campo di applicazione a seconda delle dimensioni e della scala operativa.

Se la vostra organizzazione opera nel settore dell'acqua potabile, potrebbe rientrare in NIS2 come entità Essenziale o Importante.

Il settore dell'acqua potabile è classificato come:

Allegato pertinente: Allegato I (Entità Essenziali)

• Entità Essenziale ai sensi dell'Allegato I

• Fornitori e distributori di acqua destinata al consumo umano, esclusi i distributori per i quali la distribuzione di acqua è una parte non essenziale della loro attività generale di distribuzione di altre merci e beni

Copertura del sottosettore (Allegato I – Acqua potabile):

La conformità a NIS2 per il settore dell'acqua potabile si applica a:

Ciò include aziende idriche comunali, autorità idriche regionali e operatori privati responsabili di impianti di trattamento e sistemi di distribuzione che soddisfano le soglie dimensionali UE.

Anche le PMI possono rientrare nel campo di applicazione se soddisfano le soglie dimensionali di NIS2 o sono designate come fornitori critici dalle autorità nazionali. L'applicabilità di NIS2 alle PMI è quindi rilevante per gli operatori regionali e intercomunali che gestiscono infrastrutture idriche essenziali.

• Imprese di medie dimensioni (≥50 addetti e/o €10 milioni di fatturato annuo o totale di bilancio)
• Grandi imprese oltre tali soglie
• Entità designate come fornitori idrici critici ai sensi della legge nazionale, ove applicabile

Ai sensi del Articolo 21 della direttiva NIS2, le entità del settore dell'acqua potabile devono attuare misure tecniche e organizzative adeguate e proporzionate per gestire i rischi di cybersicurezza.

Le misure obbligatorie comprendono:

Per il settore dell'acqua potabile, queste misure di sicurezza NIS2 devono riguardare i sistemi di controllo industriale (ICS), sistemi SCADA (supervisione e acquisizione dati), le stazioni di pompaggio remote e le tecnologie di monitoraggio della qualità dell'acqua.

La conformità a NIS2 per il settore dell'acqua potabile richiede una robusta segmentazione tra gli ambienti IT e quelli di tecnologia operativa (OT). Le entità devono garantire la resilienza contro incidenti informatici che potrebbero interrompere la continuità dell'approvvigionamento o compromettere i processi di trattamento delle acque.

• Quadro di gestione del rischio
• Procedure di gestione degli incidenti
• Continuità operativa e disaster recovery
• Sicurezza della catena di fornitura
• Sviluppo e manutenzione sicuri
• Politiche relative alla crittografia
• Controllo degli accessi e MFA (autenticazione a più fattori)
• Gestione delle vulnerabilità e delle patch
• Formazione sull'igiene informatica
• Uso di comunicazioni sicure

Le entità del settore dell'acqua potabile devono rispettare i termini di segnalazione degli incidenti previsti da NIS2 per gli incidenti significativi.

Gli obblighi di segnalazione includono:

Le segnalazioni devono essere inviate al CSIRT nazionale competente o all'autorità competente.

La regola di segnalazione entro 24 ore prevista da NIS2 è particolarmente importante quando gli incidenti interessano i sistemi di trattamento, le infrastrutture di pompaggio o le reti di distribuzione. Qualsiasi evento informatico che interrompa la continuità dell'approvvigionamento o minacci la qualità dell'acqua può essere considerato significativo.

La mancata segnalazione entro i termini prescritti può comportare azioni di vigilanza e sanzioni pecuniarie.

La conformità a NIS2 per il settore dell'acqua potabile impone una responsabilità diretta sull'organo di gestione.

I principali requisiti di governance includono:

Il Articolo 21 della direttiva NIS2 eleva la cybersicurezza da questione tecnica a responsabilità a livello di consiglio di amministrazione. La leadership senior nelle aziende idriche deve garantire che controlli e misure di continuità appropriati siano documentati, attuati e periodicamente revisionati.

Date le implicazioni per la salute pubblica derivanti dall'interruzione del servizio idrico, i fallimenti di governance possono avere gravi conseguenze operative e legali.

• Approvazione delle misure di gestione del rischio informatico da parte dell'organo di gestione
• Supervisione continua dell'attuazione
• Formazione obbligatoria sulla cybersicurezza per la direzione
• Potenziale esposizione a responsabilità personali ai sensi della legge nazionale

In quanto entità dell'Allegato I, i fornitori di acqua potabile classificati come entità Essenziali sono soggetti a supervisione proattiva. Le autorità competenti possono effettuare audit, ispezioni e valutazioni di cybersicurezza indipendentemente dal verificarsi di un incidente.

Le sanzioni amministrative per la non conformità sono:

Le leggi nazionali di recepimento possono dettagliare le procedure di vigilanza, ma la direttiva stabilisce soglie minime armonizzate per le sanzioni tra gli Stati membri.

A causa della natura essenziale dell'approvvigionamento idrico, l'attività di vigilanza dovrebbe concentrarsi sulla resilienza, la mitigazione del rischio e la continuità operativa.

• Entità Essenziali: Fino a €10 milioni o 2% del fatturato annuo mondiale totale (la cifra più alta tra le due)

Le PMI del settore dell'acqua potabile dovrebbero seguire passi strutturati verso la conformità a NIS2:

La preparazione anticipata riduce il rischio di interventi di vigilanza e protegge la continuità del servizio.

1. Effettuare una valutazione delle lacune rispetto a NIS2
2. Mappare le infrastrutture critiche di trattamento e distribuzione
3. Formalizzare un quadro documentato di gestione del rischio informatico
4. Aggiornare e testare i piani di risposta agli incidenti e di continuità
5. Rivedere i contratti con fornitori e vendor SCADA
6. Formare la direzione e i responsabili operativi
7. Istituire un flusso di segnalazione 24h/72h/1 mese

Le entità del settore dell'acqua potabile affrontano rischi specifici del settore ai sensi di NIS2:

La conformità a NIS2 per il settore dell'acqua potabile è quindi un requisito fondamentale di resilienza per la tutela della salute pubblica.

• Interruzione del servizio: Incidenti informatici possono interrompere il trattamento o la distribuzione dell'acqua.
• Rischio per la salute pubblica: Sistemi compromessi potrebbero compromettere i controlli sulla qualità dell'acqua.
• Compromissione della catena di fornitura: I fornitori di tecnologie possono introdurre vulnerabilità.
• Sanzioni regolamentari: La non conformità può comportare rilevanti sanzioni finanziarie.
• Danno reputazionale: La fiducia pubblica nella sicurezza dell'acqua è altamente sensibile ai guasti del servizio.