SlideShare une entreprise Scribd logo

La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giovanna Dondossola)

Sardegna Ricerche
Sardegna Ricerche

La presentazione di Giovanna Dondossola dal titolo "Regolamentazione e quadro normativo", realizzato durante l’evento “La Cybersecurity nelle Smart Grid”. L’evento è stato organizzato dalla Piattaforma Energie rinnovabili per parlare di sicurezza informatica nelle reti energetiche. L’evento si inserisce nelle attività di divulgazione del Progetto Complesso "Reti Intelligenti per la gestione efficiente dell'energia", sviluppato nell'attuale programmazione comunitaria POR FESR Sardegna 2014-2020.

Environnement
1  sur  37
Télécharger pour lire hors ligne
La Cybersecurity nelle Smart Grid “Regolamentazione e quadro normativo” Giovanna Dondossola, Ricerca sul Sistema Energetico - RSE S.p.A. 2 ottobre 2020
Agenda e Indice Apertura lavori Carla Sanna, Piattaforma Energie Rinnovabili, Sardegna Ricerche h. 10:00- 10:10 Le reti intelligenti nella Smart Specialization Strategies della Regione Sardegna Fabrizio Pilo - Direttore del Dipartimento di Ingegneria Elettrica ed Elettronica, Ordinario di Sistemi Elettrici per l'Energia (DIEE - UNICA) h. 10:10- 10:20 Le attività di RSE nell’ambito della Cybersecurity nelle Smart grid Luciano Martini – RSE Direttore Dipartimento Tecnologie della Trasmissione e della Distribuzione - TTD h. 10:20- 10:50 Regolamentazione e quadro normativo Giovanna Dondossola – RSE Leading Scientist - TTD h.10:50- 11:00 Problematiche nel Controllore Centrale d’Impianto CEI 0-16 (Allegati O e T) Fabrizio Pilo - DIEE – UNICA, Presidente del CT 316 del CEI h.11:00-11:20 Sicurezza delle comunicazioni nei sistemi di controllo Mauro G. Todeschini – RSE Ricercatore senior - TTD h.11:20- 11:40 Monitoraggio della sicurezza e rilevamento di anomalie cyber Roberta Terruggia – RSE Ricercatrice senior - TTD h.11:40- 12:00 Raccomandazioni conclusive Giovanna Dondossola – RSE Leading Scientist - TTD h. 12:00- 12:30 Dibattito e chiusura lavori • Transizione energetica – target europei e nazionali • Transizione digitale del settore energia – minacce cyber • Regolamentazione Europea e Legislazione Italiana • Standard internazionali di riferimento • Normativa italiana
Transizione energetica – target 2030
Digitalizzazione
Codici di rete e scambi di dati Regolamento UE 2017/1485 Guideline on electricity transmission System Operation – SO GL
[IEC SRD 63268] Modello concettuale SG
Architettura SGAM
Transizione digitale
Tecnologie di comunicazione Wireless technologies
DSOGRI Workshop – 7 September 2020 – online event Minacce DER
• Art. 5 criteri per l'identificazione degli operatori di servizi essenziali a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali; b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; c) un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio. • All. II Settori 1. Energia: Energia elettrica, Petrolio, Gas 2. Trasporti: aereo, ferroviario, vie d’acqua, su strada 3. Bancario 4. Mercati finanziari 5. Sanitario 6. Acqua potabile 7. Infrastrutture digitali: IXP, DNS, TLD 11 Direttiva (UE) 2016/1148 –
• Art. 6 Effetti negativi rilevanti – fattori intersettoriali a) il numero di utenti che dipendono dal servizio fornito dal soggetto interessato; b) la dipendenza di altri settori di cui all'allegato II dal servizio fornito da tale soggetto; c) l'impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche e sociali o sulla pubblica sicurezza; d) la quota di mercato di detto soggetto; e) la diffusione geografica relativamente all'area che potrebbe essere interessata da un incidente; f) l'importanza del soggetto per il mantenimento di un livello sufficiente del servizio, tenendo conto della disponibilità di strumenti alternativi per la fornitura di tale servizio. 12 Direttiva (UE) 2016/1148 –
Direttiva (UE) 2016/1148 – • Art. 9 Gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) 1. Ogni Stato membro designa uno o più CSIRT, che abbia il compito di trattare gli incidenti e i rischi secondo una procedura ben definita. È possibile creare un CSIRT all'interno dell'autorità competente. 13
CAPO IV SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEGLI OPERATORI DI SERVIZI ESSENZIALI Articolo 14 Obblighi in materia di sicurezza e notifica degli incidenti 14 Direttiva (UE) 2016/1148
Direttiva (UE) 2016/1148 – art. 14 1. Gli Stati membri provvedono affinché gli operatori di servizi essenziali adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente. 2. Gli Stati membri provvedono affinché gli operatori di servizi essenziali adottino misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di tali servizi essenziali, al fine di assicurare la continuità di tali servizi. 15
Direttiva (UE) 2016/1148 – art. 14 3. Gli Stati membri provvedono affinché gli operatori di servizi essenziali notifichino senza indebito ritardo all'autorità competente o al CSIRT gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati. Le notifiche includono le informazioni che consentono all'autorità competente o al CSIRT di determinare qualsiasi impatto transfrontaliero dell'incidente. La notifica non espone la parte che la effettua a una maggiore responsabilità. 4. Per determinare la rilevanza dell'impatto di un incidente si tiene conto in particolare dei seguenti parametri: a) il numero di utenti interessati dalla perturbazione del servizio essenziale; b) la durata dell'incidente; c) la diffusione geografica relativamente all'area interessata dall'incidente. 16
Direttiva (UE) 2016/1148 – art. 14 5. Sulla base delle informazioni fornite nella notifica da parte dell'operatore di servizi essenziali, l'autorità competente o il CSIRT informa l'altro o gli altri Stati membri interessati se l'incidente ha un impatto rilevante sulla continuità dei servizi essenziali in quello Stato membro. A tal fine l'autorità competente o il CSIRT preserva, conformemente al diritto dell'Unione o alla legislazione nazionale conforme al diritto dell'Unione, la sicurezza e gli interessi commerciali dell'operatore di servizi essenziali, nonché la riservatezza delle informazioni fornite nella sua notifica. Ove le circostanze lo consentano, l'autorità competente o il CSIRT fornisce all'operatore di servizi essenziali che effettua la notifica di incidente le pertinenti informazioni relative al seguito della notifica stessa, come le informazioni che possano facilitare un trattamento efficace dell'incidente. Su richiesta dell'autorità competente o del CSIRT, il punto di contatto unico trasmette le notifiche di cui al primo comma ai punti di contatto unici degli altri Stati membri interessati. 17
Direttiva (UE) 2016/1148 – art. 14 6. Dopo aver consultato l'operatore notificante dei servizi essenziali, l'autorità competente o il CSIRT può informare il pubblico in merito ai singoli incidenti, qualora sia necessaria la sensibilizzazione del pubblico per evitare un incidente o gestire un incidente in corso. 7. Le autorità competenti, agendo unitamente nell'ambito del gruppo di cooperazione, possono elaborare e adottare orientamenti sulle circostanze in cui gli operatori di servizi essenziali sono tenuti a notificare gli incidenti, compresi i parametri per determinare la rilevanza dell'impatto di un incidente. 18
Network Code on Cybersecurity
Cybersecurity Act • Regolamento europeo EU 2019/881 entrato in vigore il 27 Giugno 2019 • Nuovo mandato all’ENISA per la definizione del quadro europeo di certificazione della cyber sicurezza • Art. 46-64 dedicati alla certificazione • Schema di certificazione ENISA pubblicato a Luglio 2020
Legislazione italiana • La Strategia Energetica Nazionale (SEN) fa riferimento allo schema nazionale di cybersecurity, partendo dal Decreto della Presidenza del Consiglio dei Ministri - DPCM Gentiloni del 17 febbraio 2017 • Il Decreto Gentiloni definiva l’architettura e i ruoli delle istituzioni preposte alla implementazione dello schema nazionale di cybersecurity in collaborazione con i fornitori dei servizi essenziali • Il Decreto Gentiloni promuoveva la costituzione di un Centro di Valutazione e Certificazione Nazionale (CVCN) e affidava la gestione del Centro al Ministero dello Sviluppo Economico
Legislazione italiana (cont.) • Il decreto-legge n. 65, entrato in vigore il 24 Giugno 2018, costituisce l’attuazione italiana della Direttiva europea NIS (EU 2016/1148) • Un primo fondamentale provvedimento stabilito dal decreto n.65 è relativo all’identificazione degli operatori classificati come fornitori di servizi essenziali, quali quelli energetici, soggetti agli obblighi in materia di sicurezza e notifica degli incidenti indicati dall'Art. 14, e alle relative sanzioni amministrative in caso di inadempienza di cui all' Art. 21 • Il decreto stabilisce che tali obblighi non si applicano alle micro imprese e alle piccole imprese che in base alla definizione contenuta nella raccomandazione della Commissione europea n.2003/361/CE, sono tutte quelle imprese che occupano meno di 50 persone e realizzano un fatturato annuo o un totale di bilancio annuo non superiori a 10 Meuro
Legislazione italiana (cont.) • Il decreto-legge n. 105, approvato il 21 Settembre 2019 dal Consiglio dei Ministri, modificato e convertito dal decreto per la legge di conversione n.133 entrato in vigore il 21 Novembre 2019, introduce disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica • Il perimetro riguarda tutte le infrastrutture critiche, private e pubbliche aventi una sede nel territorio nazionale, che assicurano un servizio essenziale per le attività civili, sociali o economiche fondamentali per la nazione, e che per la fornitura di tale servizio si avvalgono di reti, sistemi informativi e servizi informatici dal cui malfunzionamento o utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale • L’ Art.1 stabilisce che entro quattro mesi dall’entrata in vigore della legge di conversione è richiesta l’individuazione delle amministrazioni, degli enti e degli operatori inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto degli obblighi stabiliti dalla legge
Legislazione italiana (cont.) • L’ Art.1 stabilisce che entro dieci mesi dall’entrata in vigore della legge di conversione il Ministero dello Sviluppo Economico definisce le procedure che i soggetti privati del settore energia devono seguire per la notifica degli incidenti cyber al gruppo di intervento per la sicurezza informatica (CSIRT) già prevista dal D.L. n.65 • Vengono inoltre stabilite le misure organizzative, di gestione del rischio e di mitigazione e gestione degli incidenti che garantiscono elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici tenendo conto degli standard definiti a livello internazionale ed europeo
Legislazione italiana (cont.) • I soggetti individuati che intendono approvvigionarsi di beni, sistemi e servizi ICT devono darne comunicazione al CVCN, unitamente alla valutazione del rischio associato all’oggetto della fornitura in relazione all’ambito di impiego • Entro al massimo sessanta giorni dalla comunicazione, il CVCN può effettuare verifiche preliminari ed imporre condizioni e test di hardware e software da effettuare in collaborazione con i soggetti individuati secondo un approccio gradualmente crescente nelle verifiche di sicurezza • Tali condizioni e test di hardware e software condizionano i relativi bandi di gara e contratti al rispetto delle condizioni e all’esito favorevole dei test disposti dal CVCN • L’onere dell’effettuazione delle attività di test risulta a carico dei soggetti inclusi nel perimetro di sicurezza nazionale
Legislazione italiana (cont.) • Il CVCN assume il compito di elaborare le misure di sicurezza che riguardano l’affidamento di forniture di beni, sistemi e servizi ICT, definisce le metodologie di verifica e di test, effettua le verifiche avvalendosi di laboratori accreditati dallo stesso CVCN, se necessario elabora ed adotta nuovi schemi di certificazione cibernetica tenendo contro degli standard definiti a livello internazionale ed europeo • Il mancato adempimento da parte dei soggetti inclusi nel perimetro degli obblighi previsti dalla legge comporta sanzioni amministrative e pecuniarie fino a 1.8 Meuro
Legislazione italiana (cont.) • Misure preventive e di risposta agli attacchi cyber che coinvolgono il piano legale, tecnologico e organizzativo • Misure preventive • misure di sicurezza • screening tecnologico CVCN • ispezioni e sanzioni • istituzione della figura del security manager aziendale • Misure di risposta • La notifica deve avvenire entro 6 ore dal primo incidente ad uno degli asset del perimetro • La Presidenza del Consiglio ha la facoltà di intervenire in merito ai dispositivi compromessi
Legislazione italiana (cont.) • DPCM1: in corso di approvazione • modalità e criteri procedurali di individuazione dei soggetti inclusi nel perimetro; l’elenco delle organizzazioni incluse nel perimetro dovrebbe essere disponibile entro un paio di mesi • criteri che i soggetti inclusi devono adottare per la predisposizione dell’elenco delle reti, dei sistemi e dei servizi, loro architettura e componentistica • DPCM2: CdM fine Ottobre 2020 • Misure di sicurezza e notifiche • DPR • Procedure, modalità e termini con cui il CVNV e i centri preposti valutano i beni, i sistemi e i servizi che i soggetti inclusi nel perimetro intendono acquisire • Criteri tecnici per l’individuazione delle categorie e dell’elenco dei beni, sei sistemi e dei servizi a cui si applica la procedura di valutazione • Procedure, modalità e termini con cui le autorità competenti effettuano le verifiche e le ispezioni per l’accertamento del rispetto degli obblighi stabiliti dal DL • DPCM3: laboratori di accreditamento • DPCM4: prodotti da analizzare
Standard internazionali Cyber security concepts IEC SyC Smart Energy – Cyber Security Task Force https://syc-se.iec.ch/deliveries/cybersecurity-guidelines/
[CIGRE WG C4.47] DSOGRI Workshop – 7 September 2020 – online event Power System Resilience
IEC SyC Smart Energy – Cyber Security Task Force https://syc-se.iec.ch/deliveries/cybersecurity-guidelines/ Standard internazionali
DSOGRI Workshop – 7 September 2020 – online event NIST Framework
Functions and categories DSOGRI Workshop – 7 September 2020 – online event NIST Framework (cont.)
Normativa Italiana • CEI 0-16 «Regola tecnica di riferimento per la connessione di Utenti attivi e passivi alle reti AT e MT delle imprese distributrici di energia elettrica» Aprile 2019 • Allegato O – CCI e MCI • Allegato T – Modello dati e cybersecurity • Recepisce lo standard IEC 61850 e IEC 62351 • CEI 0-21 «Regola tecnica di riferimento per la connessione di Utenti attivi e passivi alle reti BT delle imprese distributrici di energia elettrica» Aprile 2019 • Allegato X - CIR
1. World Energy Council, “Cyber challenges to the energy transition”, 2019 2. Clean Energy for all Europeans Package, European Union 2019 3. Ministero dello Sviluppo Economico, Proposta di piano nazionale integrato per l’energia e il clima. MiSE, Dicembre 2019, https://www.mise.gov.it/images/stories/documenti/Proposta_di_Piano_Nazionale_Integrato_per_Ene rgia_e_il_Clima_Italiano.pdf 4. IEA Digitalization & Energy, webinar 7 February 2018 5. IEA ETIP Wind Report 6. ETIP SNET R&I Roadmap 2020-2030 7. IEC System Committee Smart Energy, WG 3, SRD 63268 8. NIS Directive EU 2016/1148 9. Cybersecurity Act Regulation (EU 2019/881) https://eur-lex.europa.eu/eli/reg/2019/881/oj DSOGRI Workshop – 7 September 2020 – online event Riferimenti
10. Smart Grid Task Force-Expert Group 2-Cybersecurity , «Recommendations to the European Commission for the Implementation of Sector-Specific Rules for Cybersecurity Aspects of Cross- Border Electricity Flows, on Common Minimum Requirements, Planning, Monitoring, Reporting and Crisis Management» 2019 11. Ministero dello Sviluppo Economico, Strategia Energetica Nazionale, 10 Novembre 2017, https://www.mise.gov.it/images/stories/documenti/Testo-integrale-SEN-2017.pdf 12. NIST Cybersecurity Framework Version 1.1, Aprile 2018, https://www.nist.gov/cyberframework/framework 13. IEC Technology Report, “Cyber security and resilience guidelines for the smart energy operational environment”, 2019 14. Norma CEI 0-16, “Regola tecnica di riferimento per la connessione di Utenti attivi e passivi alle reti AT e MT delle imprese distributrici di energia elettrica”, 17 aprile 2019 15. DossieRSE, «Cyber Security nella transizione energetica e digitale», Dicembre 2019, https://www.dossierse.it/ 36 Riferimenti
Thank you!

Recommandé

Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Sardegna Ricerche
 
L'evoluzione della regolazione del settore idrico
L'evoluzione della regolazione del settore idrico L'evoluzione della regolazione del settore idrico
L'evoluzione della regolazione del settore idrico
ARERA
 
Paparan Mitigasi BPBD Kab.Kuningan 2
Paparan Mitigasi BPBD Kab.Kuningan 2Paparan Mitigasi BPBD Kab.Kuningan 2
Paparan Mitigasi BPBD Kab.Kuningan 2
BPBD Kabupaten Kuningan - Jawa Barat
 
Developing delay requirements
Developing delay requirementsDeveloping delay requirements
Developing delay requirements
csk selva
 
Verra’s Consolidated REDD methodology for high-integrity forest carbon projects
Verra’s Consolidated REDD methodology for high-integrity forest carbon projectsVerra’s Consolidated REDD methodology for high-integrity forest carbon projects
Verra’s Consolidated REDD methodology for high-integrity forest carbon projects
CIFOR-ICRAF
 
PAPARAN KEPALA BIRO PERENCANAAN KEMENTERIAN PERHUBUNGAN
PAPARAN KEPALA BIRO PERENCANAAN KEMENTERIAN PERHUBUNGAN PAPARAN KEPALA BIRO PERENCANAAN KEMENTERIAN PERHUBUNGAN
PAPARAN KEPALA BIRO PERENCANAAN KEMENTERIAN PERHUBUNGAN
Tri Damri
 
USU - Migas dalam konteks ketahanan energi nasional.pptx
USU - Migas dalam konteks ketahanan energi nasional.pptxUSU - Migas dalam konteks ketahanan energi nasional.pptx
USU - Migas dalam konteks ketahanan energi nasional.pptx
Sampe Purba
 
PERDA RTRW Kab Pasuruan Periode 2009-2029 12 Juli 2010
PERDA RTRW Kab Pasuruan Periode 2009-2029 12 Juli 2010PERDA RTRW Kab Pasuruan Periode 2009-2029 12 Juli 2010
PERDA RTRW Kab Pasuruan Periode 2009-2029 12 Juli 2010
Probolinggo Property
 

Recommandé

Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Sardegna Ricerche
 
L'evoluzione della regolazione del settore idrico
L'evoluzione della regolazione del settore idrico L'evoluzione della regolazione del settore idrico
L'evoluzione della regolazione del settore idrico
ARERA
 
Paparan Mitigasi BPBD Kab.Kuningan 2
Paparan Mitigasi BPBD Kab.Kuningan 2Paparan Mitigasi BPBD Kab.Kuningan 2
Paparan Mitigasi BPBD Kab.Kuningan 2
BPBD Kabupaten Kuningan - Jawa Barat
 
Developing delay requirements
Developing delay requirementsDeveloping delay requirements
Developing delay requirements
csk selva
 
Verra’s Consolidated REDD methodology for high-integrity forest carbon projects
Verra’s Consolidated REDD methodology for high-integrity forest carbon projectsVerra’s Consolidated REDD methodology for high-integrity forest carbon projects
Verra’s Consolidated REDD methodology for high-integrity forest carbon projects
CIFOR-ICRAF
 
PAPARAN KEPALA BIRO PERENCANAAN KEMENTERIAN PERHUBUNGAN
PAPARAN KEPALA BIRO PERENCANAAN KEMENTERIAN PERHUBUNGAN PAPARAN KEPALA BIRO PERENCANAAN KEMENTERIAN PERHUBUNGAN
PAPARAN KEPALA BIRO PERENCANAAN KEMENTERIAN PERHUBUNGAN
Tri Damri
 
USU - Migas dalam konteks ketahanan energi nasional.pptx
USU - Migas dalam konteks ketahanan energi nasional.pptxUSU - Migas dalam konteks ketahanan energi nasional.pptx
USU - Migas dalam konteks ketahanan energi nasional.pptx
Sampe Purba
 
PERDA RTRW Kab Pasuruan Periode 2009-2029 12 Juli 2010
PERDA RTRW Kab Pasuruan Periode 2009-2029 12 Juli 2010PERDA RTRW Kab Pasuruan Periode 2009-2029 12 Juli 2010
PERDA RTRW Kab Pasuruan Periode 2009-2029 12 Juli 2010
Probolinggo Property
 
Instagram Hacker 2014 v3.7.2 - easy way to hack Instagram account !
Instagram Hacker 2014 v3.7.2 - easy way to hack Instagram account !Instagram Hacker 2014 v3.7.2 - easy way to hack Instagram account !
Instagram Hacker 2014 v3.7.2 - easy way to hack Instagram account !
Home
 
perda no 22 2010 ttg rtrwp jabar 2009 2029
perda no 22 2010 ttg rtrwp jabar 2009 2029perda no 22 2010 ttg rtrwp jabar 2009 2029
perda no 22 2010 ttg rtrwp jabar 2009 2029
Probolinggo Property
 
Il Pug (Piano Urbanistico Generale) di Ferrara in sintesi
Il Pug (Piano Urbanistico Generale) di Ferrara in sintesiIl Pug (Piano Urbanistico Generale) di Ferrara in sintesi
Il Pug (Piano Urbanistico Generale) di Ferrara in sintesi
Estensecom
 
Tutorial nuvole di parole
Tutorial nuvole di paroleTutorial nuvole di parole
Tutorial nuvole di parole
Rosangela Mapelli
 
Introduction of cryptography and network security
Introduction of cryptography and network securityIntroduction of cryptography and network security
Introduction of cryptography and network security
NEHA PATEL
 
Decreto 1072-de-2015
Decreto 1072-de-2015Decreto 1072-de-2015
Decreto 1072-de-2015
carolina Aldana Sosa
 
Accreditamento strutture sanitarie lombardia
Accreditamento strutture sanitarie lombardiaAccreditamento strutture sanitarie lombardia
Accreditamento strutture sanitarie lombardia
martino massimiliano trapani
 
kakatiya university btech ece syllabus
kakatiya university btech ece syllabuskakatiya university btech ece syllabus
kakatiya university btech ece syllabus
Srinivasa Rao
 
Resume Pelaksanaan New Site Development Kabupaten Kapuas
Resume Pelaksanaan New Site Development Kabupaten KapuasResume Pelaksanaan New Site Development Kabupaten Kapuas
Resume Pelaksanaan New Site Development Kabupaten Kapuas
Bagus ardian
 
Edilizia sanitaria
Edilizia sanitariaEdilizia sanitaria
Edilizia sanitaria
martino massimiliano trapani
 
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
mobi-TECH
 
La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei dati
Vincenzo Calabrò
 
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza CiberneticoBenedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Legal Hackers Roma
 
Gaia Morelli - Perimetro Cibernetico
Gaia Morelli - Perimetro CiberneticoGaia Morelli - Perimetro Cibernetico
Gaia Morelli - Perimetro Cibernetico
Legal Hackers Roma
 
Digitalizzazione 2017 - Intervento Carola Caputo
Digitalizzazione 2017 - Intervento Carola CaputoDigitalizzazione 2017 - Intervento Carola Caputo
Digitalizzazione 2017 - Intervento Carola Caputo
ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
News SSL 11 2015
News SSL 11 2015News SSL 11 2015
News SSL 11 2015
Roberta Culiersi
 
20190314 - Seminario UNINFO Security Summit
20190314 - Seminario UNINFO Security Summit 20190314 - Seminario UNINFO Security Summit
20190314 - Seminario UNINFO Security Summit
uninfoit
 
News SSL 20 2015
News SSL 20 2015News SSL 20 2015
News SSL 20 2015
Roberta Culiersi
 
News SSL 23 2016
News SSL 23 2016News SSL 23 2016
News SSL 23 2016
Roberta Culiersi
 
Fake News: quale ruolo per le piattaforme online?
Fake News: quale ruolo per le piattaforme online?Fake News: quale ruolo per le piattaforme online?
Fake News: quale ruolo per le piattaforme online?
marco scialdone
 
News SSL 09 2017
News SSL 09 2017News SSL 09 2017
News SSL 09 2017
Roberta Culiersi
 
Dl crescita comunicato del consiglio dei ministri
Dl crescita comunicato del consiglio dei ministriDl crescita comunicato del consiglio dei ministri
Dl crescita comunicato del consiglio dei ministri
Unapass
 

Contenu connexe

Tendances

Tendances (10)

Instagram Hacker 2014 v3.7.2 - easy way to hack Instagram account !
Instagram Hacker 2014 v3.7.2 - easy way to hack Instagram account !Instagram Hacker 2014 v3.7.2 - easy way to hack Instagram account !
Instagram Hacker 2014 v3.7.2 - easy way to hack Instagram account !
 
perda no 22 2010 ttg rtrwp jabar 2009 2029
perda no 22 2010 ttg rtrwp jabar 2009 2029perda no 22 2010 ttg rtrwp jabar 2009 2029
perda no 22 2010 ttg rtrwp jabar 2009 2029
 
Il Pug (Piano Urbanistico Generale) di Ferrara in sintesi
Il Pug (Piano Urbanistico Generale) di Ferrara in sintesiIl Pug (Piano Urbanistico Generale) di Ferrara in sintesi
Il Pug (Piano Urbanistico Generale) di Ferrara in sintesi
 
Tutorial nuvole di parole
Tutorial nuvole di paroleTutorial nuvole di parole
Tutorial nuvole di parole
 
Introduction of cryptography and network security
Introduction of cryptography and network securityIntroduction of cryptography and network security
Introduction of cryptography and network security
 
Decreto 1072-de-2015
Decreto 1072-de-2015Decreto 1072-de-2015
Decreto 1072-de-2015
 
Accreditamento strutture sanitarie lombardia
Accreditamento strutture sanitarie lombardiaAccreditamento strutture sanitarie lombardia
Accreditamento strutture sanitarie lombardia
 
kakatiya university btech ece syllabus
kakatiya university btech ece syllabuskakatiya university btech ece syllabus
kakatiya university btech ece syllabus
 
Resume Pelaksanaan New Site Development Kabupaten Kapuas
Resume Pelaksanaan New Site Development Kabupaten KapuasResume Pelaksanaan New Site Development Kabupaten Kapuas
Resume Pelaksanaan New Site Development Kabupaten Kapuas
 
Edilizia sanitaria
Edilizia sanitariaEdilizia sanitaria
Edilizia sanitaria
 

Similaire à La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giovanna Dondossola)

Dl crescita comunicato del consiglio dei ministri
Dl crescita comunicato del consiglio dei ministriDl crescita comunicato del consiglio dei ministri
Dl crescita comunicato del consiglio dei ministri
Unapass
 
Open Data & Diritto – lo stato dell’arte - Ernesto Belisario (Agorà Digitale)
Open Data & Diritto – lo stato dell’arte - Ernesto Belisario (Agorà Digitale)Open Data & Diritto – lo stato dell’arte - Ernesto Belisario (Agorà Digitale)
Open Data & Diritto – lo stato dell’arte - Ernesto Belisario (Agorà Digitale)
OpenGeoDataItalia
 

Similaire à La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giovanna Dondossola) (20)

La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
 
La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei dati
 
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza CiberneticoBenedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
 
Gaia Morelli - Perimetro Cibernetico
Gaia Morelli - Perimetro CiberneticoGaia Morelli - Perimetro Cibernetico
Gaia Morelli - Perimetro Cibernetico
 
Digitalizzazione 2017 - Intervento Carola Caputo
Digitalizzazione 2017 - Intervento Carola CaputoDigitalizzazione 2017 - Intervento Carola Caputo
Digitalizzazione 2017 - Intervento Carola Caputo
 
News SSL 11 2015
News SSL 11 2015News SSL 11 2015
News SSL 11 2015
 
20190314 - Seminario UNINFO Security Summit
20190314 - Seminario UNINFO Security Summit 20190314 - Seminario UNINFO Security Summit
20190314 - Seminario UNINFO Security Summit
 
News SSL 20 2015
News SSL 20 2015News SSL 20 2015
News SSL 20 2015
 
News SSL 23 2016
News SSL 23 2016News SSL 23 2016
News SSL 23 2016
 
Fake News: quale ruolo per le piattaforme online?
Fake News: quale ruolo per le piattaforme online?Fake News: quale ruolo per le piattaforme online?
Fake News: quale ruolo per le piattaforme online?
 
News SSL 09 2017
News SSL 09 2017News SSL 09 2017
News SSL 09 2017
 
Dl crescita comunicato del consiglio dei ministri
Dl crescita comunicato del consiglio dei ministriDl crescita comunicato del consiglio dei ministri
Dl crescita comunicato del consiglio dei ministri
 
News SSL 12 2015
News SSL 12 2015News SSL 12 2015
News SSL 12 2015
 
Open Data: i nuovi obblighi normativi
Open Data: i nuovi obblighi normativiOpen Data: i nuovi obblighi normativi
Open Data: i nuovi obblighi normativi
 
News SSL 10 2016
News SSL 10 2016News SSL 10 2016
News SSL 10 2016
 
Net neutrality
Net neutralityNet neutrality
Net neutrality
 
Open Data & Diritto – lo stato dell’arte - Ernesto Belisario (Agorà Digitale)
Open Data & Diritto – lo stato dell’arte - Ernesto Belisario (Agorà Digitale)Open Data & Diritto – lo stato dell’arte - Ernesto Belisario (Agorà Digitale)
Open Data & Diritto – lo stato dell’arte - Ernesto Belisario (Agorà Digitale)
 
Antenne protocollo anci ministero comunicazione 171203
Antenne protocollo anci ministero comunicazione 171203Antenne protocollo anci ministero comunicazione 171203
Antenne protocollo anci ministero comunicazione 171203
 
Accessibilità e trasparenza nei siti della Pubblica Amministrazione: cosa st...
Accessibilità e trasparenza nei siti della Pubblica Amministrazione: cosa st...Accessibilità e trasparenza nei siti della Pubblica Amministrazione: cosa st...
Accessibilità e trasparenza nei siti della Pubblica Amministrazione: cosa st...
 
CEIm Magazine-aprile 2022
CEIm Magazine-aprile 2022CEIm Magazine-aprile 2022
CEIm Magazine-aprile 2022
 

Plus de Sardegna Ricerche

Plus de Sardegna Ricerche (20)

Progetto PRELuDE PRotocollo ELaborazione Dati per l'Efficienza Energetica in ...
Progetto PRELuDE PRotocollo ELaborazione Dati per l'Efficienza Energetica in ...Progetto PRELuDE PRotocollo ELaborazione Dati per l'Efficienza Energetica in ...
Progetto PRELuDE PRotocollo ELaborazione Dati per l'Efficienza Energetica in ...
 
PRELuDE - La valutazione del comfort termoigrometrico con sensori non invasivi
PRELuDE - La valutazione del comfort termoigrometrico con sensori non invasiviPRELuDE - La valutazione del comfort termoigrometrico con sensori non invasivi
PRELuDE - La valutazione del comfort termoigrometrico con sensori non invasivi
 
PRELuDE - Rete di sensori innovativi per il monitoraggio energetico e control...
PRELuDE - Rete di sensori innovativi per il monitoraggio energetico e control...PRELuDE - Rete di sensori innovativi per il monitoraggio energetico e control...
PRELuDE - Rete di sensori innovativi per il monitoraggio energetico e control...
 
PRELuDE - La simulazione degli interventi migliorativi per il padiglione Mand...
PRELuDE - La simulazione degli interventi migliorativi per il padiglione Mand...PRELuDE - La simulazione degli interventi migliorativi per il padiglione Mand...
PRELuDE - La simulazione degli interventi migliorativi per il padiglione Mand...
 
PRELuDE - Il Building Information Modelling per la gestione dell'audit energe...
PRELuDE - Il Building Information Modelling per la gestione dell'audit energe...PRELuDE - Il Building Information Modelling per la gestione dell'audit energe...
PRELuDE - Il Building Information Modelling per la gestione dell'audit energe...
 
Il progetto PRELuDE, attività e risultati raggiunti
Il progetto PRELuDE, attività e risultati raggiuntiIl progetto PRELuDE, attività e risultati raggiunti
Il progetto PRELuDE, attività e risultati raggiunti
 
PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Energetica in...
PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Energetica in...PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Energetica in...
PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Energetica in...
 
PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Il progetto P...
PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Il progetto P...PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Il progetto P...
PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Il progetto P...
 
PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Energetica in...
PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Energetica in...PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Energetica in...
PROGETTO PRELuDE3 PRotocollo ELaborazione Dati per l'Efficienza Energetica in...
 
Progetto PRELuDE: presentazione di Giuseppe Desogus in occasione di Sinnova 2019
Progetto PRELuDE: presentazione di Giuseppe Desogus in occasione di Sinnova 2019Progetto PRELuDE: presentazione di Giuseppe Desogus in occasione di Sinnova 2019
Progetto PRELuDE: presentazione di Giuseppe Desogus in occasione di Sinnova 2019
 
La soluzione di agrivoltaico dinamico_Insolight - Sardegna_Raphaël Sonney
La soluzione di agrivoltaico dinamico_Insolight - Sardegna_Raphaël SonneyLa soluzione di agrivoltaico dinamico_Insolight - Sardegna_Raphaël Sonney
La soluzione di agrivoltaico dinamico_Insolight - Sardegna_Raphaël Sonney
 
Introduzione AIAS - Alessandra Scognamiglio
Introduzione AIAS - Alessandra ScognamiglioIntroduzione AIAS - Alessandra Scognamiglio
Introduzione AIAS - Alessandra Scognamiglio
 
L’impronta idrica della produzione di idrogeno elettrolitico su larga scala -...
L’impronta idrica della produzione di idrogeno elettrolitico su larga scala -...L’impronta idrica della produzione di idrogeno elettrolitico su larga scala -...
L’impronta idrica della produzione di idrogeno elettrolitico su larga scala -...
 
Produzione di elettrodi migliorata per un’elettrolisi più efficiente - Albert...
Produzione di elettrodi migliorata per un’elettrolisi più efficiente - Albert...Produzione di elettrodi migliorata per un’elettrolisi più efficiente - Albert...
Produzione di elettrodi migliorata per un’elettrolisi più efficiente - Albert...
 
Soluzioni per il trattamento dell’acqua destinata all’elettrolisi - Giulia Sp...
Soluzioni per il trattamento dell’acqua destinata all’elettrolisi - Giulia Sp...Soluzioni per il trattamento dell’acqua destinata all’elettrolisi - Giulia Sp...
Soluzioni per il trattamento dell’acqua destinata all’elettrolisi - Giulia Sp...
 
Soluzioni digitali per la flessibilità del sistema energetico - M.Repossi _ L...
Soluzioni digitali per la flessibilità del sistema energetico - M.Repossi _ L...Soluzioni digitali per la flessibilità del sistema energetico - M.Repossi _ L...
Soluzioni digitali per la flessibilità del sistema energetico - M.Repossi _ L...
 
Digitalizzazione del sistema energetico - M.Gawronska
Digitalizzazione del sistema energetico - M.GawronskaDigitalizzazione del sistema energetico - M.Gawronska
Digitalizzazione del sistema energetico - M.Gawronska
 
Avvio lavori - M.Gawronska
Avvio lavori - M.GawronskaAvvio lavori - M.Gawronska
Avvio lavori - M.Gawronska
 
Esempi applicativi di impiego dell’energia termica nelle microreti
Esempi applicativi di impiego dell’energia termica nelle microretiEsempi applicativi di impiego dell’energia termica nelle microreti
Esempi applicativi di impiego dell’energia termica nelle microreti
 
“Cogenerazione ad alto rendimento: opportunità per le PMI e la PA, aggiorname...
“Cogenerazione ad alto rendimento: opportunità per le PMI e la PA, aggiorname...“Cogenerazione ad alto rendimento: opportunità per le PMI e la PA, aggiorname...
“Cogenerazione ad alto rendimento: opportunità per le PMI e la PA, aggiorname...
 

La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giovanna Dondossola)

  • 1. La Cybersecurity nelle Smart Grid “Regolamentazione e quadro normativo” Giovanna Dondossola, Ricerca sul Sistema Energetico - RSE S.p.A. 2 ottobre 2020
  • 2. Agenda e Indice Apertura lavori Carla Sanna, Piattaforma Energie Rinnovabili, Sardegna Ricerche h. 10:00- 10:10 Le reti intelligenti nella Smart Specialization Strategies della Regione Sardegna Fabrizio Pilo - Direttore del Dipartimento di Ingegneria Elettrica ed Elettronica, Ordinario di Sistemi Elettrici per l'Energia (DIEE - UNICA) h. 10:10- 10:20 Le attività di RSE nell’ambito della Cybersecurity nelle Smart grid Luciano Martini – RSE Direttore Dipartimento Tecnologie della Trasmissione e della Distribuzione - TTD h. 10:20- 10:50 Regolamentazione e quadro normativo Giovanna Dondossola – RSE Leading Scientist - TTD h.10:50- 11:00 Problematiche nel Controllore Centrale d’Impianto CEI 0-16 (Allegati O e T) Fabrizio Pilo - DIEE – UNICA, Presidente del CT 316 del CEI h.11:00-11:20 Sicurezza delle comunicazioni nei sistemi di controllo Mauro G. Todeschini – RSE Ricercatore senior - TTD h.11:20- 11:40 Monitoraggio della sicurezza e rilevamento di anomalie cyber Roberta Terruggia – RSE Ricercatrice senior - TTD h.11:40- 12:00 Raccomandazioni conclusive Giovanna Dondossola – RSE Leading Scientist - TTD h. 12:00- 12:30 Dibattito e chiusura lavori • Transizione energetica – target europei e nazionali • Transizione digitale del settore energia – minacce cyber • Regolamentazione Europea e Legislazione Italiana • Standard internazionali di riferimento • Normativa italiana
  • 5. Codici di rete e scambi di dati Regolamento UE 2017/1485 Guideline on electricity transmission System Operation – SO GL
  • 6. [IEC SRD 63268] Modello concettuale SG
  • 10. DSOGRI Workshop – 7 September 2020 – online event Minacce DER
  • 11. • Art. 5 criteri per l'identificazione degli operatori di servizi essenziali a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali; b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; c) un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio. • All. II Settori 1. Energia: Energia elettrica, Petrolio, Gas 2. Trasporti: aereo, ferroviario, vie d’acqua, su strada 3. Bancario 4. Mercati finanziari 5. Sanitario 6. Acqua potabile 7. Infrastrutture digitali: IXP, DNS, TLD 11 Direttiva (UE) 2016/1148 –
  • 12. • Art. 6 Effetti negativi rilevanti – fattori intersettoriali a) il numero di utenti che dipendono dal servizio fornito dal soggetto interessato; b) la dipendenza di altri settori di cui all'allegato II dal servizio fornito da tale soggetto; c) l'impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche e sociali o sulla pubblica sicurezza; d) la quota di mercato di detto soggetto; e) la diffusione geografica relativamente all'area che potrebbe essere interessata da un incidente; f) l'importanza del soggetto per il mantenimento di un livello sufficiente del servizio, tenendo conto della disponibilità di strumenti alternativi per la fornitura di tale servizio. 12 Direttiva (UE) 2016/1148 –
  • 13. Direttiva (UE) 2016/1148 – • Art. 9 Gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) 1. Ogni Stato membro designa uno o più CSIRT, che abbia il compito di trattare gli incidenti e i rischi secondo una procedura ben definita. È possibile creare un CSIRT all'interno dell'autorità competente. 13
  • 14. CAPO IV SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEGLI OPERATORI DI SERVIZI ESSENZIALI Articolo 14 Obblighi in materia di sicurezza e notifica degli incidenti 14 Direttiva (UE) 2016/1148
  • 15. Direttiva (UE) 2016/1148 – art. 14 1. Gli Stati membri provvedono affinché gli operatori di servizi essenziali adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente. 2. Gli Stati membri provvedono affinché gli operatori di servizi essenziali adottino misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di tali servizi essenziali, al fine di assicurare la continuità di tali servizi. 15
  • 16. Direttiva (UE) 2016/1148 – art. 14 3. Gli Stati membri provvedono affinché gli operatori di servizi essenziali notifichino senza indebito ritardo all'autorità competente o al CSIRT gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati. Le notifiche includono le informazioni che consentono all'autorità competente o al CSIRT di determinare qualsiasi impatto transfrontaliero dell'incidente. La notifica non espone la parte che la effettua a una maggiore responsabilità. 4. Per determinare la rilevanza dell'impatto di un incidente si tiene conto in particolare dei seguenti parametri: a) il numero di utenti interessati dalla perturbazione del servizio essenziale; b) la durata dell'incidente; c) la diffusione geografica relativamente all'area interessata dall'incidente. 16
  • 17. Direttiva (UE) 2016/1148 – art. 14 5. Sulla base delle informazioni fornite nella notifica da parte dell'operatore di servizi essenziali, l'autorità competente o il CSIRT informa l'altro o gli altri Stati membri interessati se l'incidente ha un impatto rilevante sulla continuità dei servizi essenziali in quello Stato membro. A tal fine l'autorità competente o il CSIRT preserva, conformemente al diritto dell'Unione o alla legislazione nazionale conforme al diritto dell'Unione, la sicurezza e gli interessi commerciali dell'operatore di servizi essenziali, nonché la riservatezza delle informazioni fornite nella sua notifica. Ove le circostanze lo consentano, l'autorità competente o il CSIRT fornisce all'operatore di servizi essenziali che effettua la notifica di incidente le pertinenti informazioni relative al seguito della notifica stessa, come le informazioni che possano facilitare un trattamento efficace dell'incidente. Su richiesta dell'autorità competente o del CSIRT, il punto di contatto unico trasmette le notifiche di cui al primo comma ai punti di contatto unici degli altri Stati membri interessati. 17
  • 18. Direttiva (UE) 2016/1148 – art. 14 6. Dopo aver consultato l'operatore notificante dei servizi essenziali, l'autorità competente o il CSIRT può informare il pubblico in merito ai singoli incidenti, qualora sia necessaria la sensibilizzazione del pubblico per evitare un incidente o gestire un incidente in corso. 7. Le autorità competenti, agendo unitamente nell'ambito del gruppo di cooperazione, possono elaborare e adottare orientamenti sulle circostanze in cui gli operatori di servizi essenziali sono tenuti a notificare gli incidenti, compresi i parametri per determinare la rilevanza dell'impatto di un incidente. 18
  • 19. Network Code on Cybersecurity
  • 20. Cybersecurity Act • Regolamento europeo EU 2019/881 entrato in vigore il 27 Giugno 2019 • Nuovo mandato all’ENISA per la definizione del quadro europeo di certificazione della cyber sicurezza • Art. 46-64 dedicati alla certificazione • Schema di certificazione ENISA pubblicato a Luglio 2020
  • 21. Legislazione italiana • La Strategia Energetica Nazionale (SEN) fa riferimento allo schema nazionale di cybersecurity, partendo dal Decreto della Presidenza del Consiglio dei Ministri - DPCM Gentiloni del 17 febbraio 2017 • Il Decreto Gentiloni definiva l’architettura e i ruoli delle istituzioni preposte alla implementazione dello schema nazionale di cybersecurity in collaborazione con i fornitori dei servizi essenziali • Il Decreto Gentiloni promuoveva la costituzione di un Centro di Valutazione e Certificazione Nazionale (CVCN) e affidava la gestione del Centro al Ministero dello Sviluppo Economico
  • 22. Legislazione italiana (cont.) • Il decreto-legge n. 65, entrato in vigore il 24 Giugno 2018, costituisce l’attuazione italiana della Direttiva europea NIS (EU 2016/1148) • Un primo fondamentale provvedimento stabilito dal decreto n.65 è relativo all’identificazione degli operatori classificati come fornitori di servizi essenziali, quali quelli energetici, soggetti agli obblighi in materia di sicurezza e notifica degli incidenti indicati dall'Art. 14, e alle relative sanzioni amministrative in caso di inadempienza di cui all' Art. 21 • Il decreto stabilisce che tali obblighi non si applicano alle micro imprese e alle piccole imprese che in base alla definizione contenuta nella raccomandazione della Commissione europea n.2003/361/CE, sono tutte quelle imprese che occupano meno di 50 persone e realizzano un fatturato annuo o un totale di bilancio annuo non superiori a 10 Meuro
  • 23. Legislazione italiana (cont.) • Il decreto-legge n. 105, approvato il 21 Settembre 2019 dal Consiglio dei Ministri, modificato e convertito dal decreto per la legge di conversione n.133 entrato in vigore il 21 Novembre 2019, introduce disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica • Il perimetro riguarda tutte le infrastrutture critiche, private e pubbliche aventi una sede nel territorio nazionale, che assicurano un servizio essenziale per le attività civili, sociali o economiche fondamentali per la nazione, e che per la fornitura di tale servizio si avvalgono di reti, sistemi informativi e servizi informatici dal cui malfunzionamento o utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale • L’ Art.1 stabilisce che entro quattro mesi dall’entrata in vigore della legge di conversione è richiesta l’individuazione delle amministrazioni, degli enti e degli operatori inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto degli obblighi stabiliti dalla legge
  • 24. Legislazione italiana (cont.) • L’ Art.1 stabilisce che entro dieci mesi dall’entrata in vigore della legge di conversione il Ministero dello Sviluppo Economico definisce le procedure che i soggetti privati del settore energia devono seguire per la notifica degli incidenti cyber al gruppo di intervento per la sicurezza informatica (CSIRT) già prevista dal D.L. n.65 • Vengono inoltre stabilite le misure organizzative, di gestione del rischio e di mitigazione e gestione degli incidenti che garantiscono elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici tenendo conto degli standard definiti a livello internazionale ed europeo
  • 25. Legislazione italiana (cont.) • I soggetti individuati che intendono approvvigionarsi di beni, sistemi e servizi ICT devono darne comunicazione al CVCN, unitamente alla valutazione del rischio associato all’oggetto della fornitura in relazione all’ambito di impiego • Entro al massimo sessanta giorni dalla comunicazione, il CVCN può effettuare verifiche preliminari ed imporre condizioni e test di hardware e software da effettuare in collaborazione con i soggetti individuati secondo un approccio gradualmente crescente nelle verifiche di sicurezza • Tali condizioni e test di hardware e software condizionano i relativi bandi di gara e contratti al rispetto delle condizioni e all’esito favorevole dei test disposti dal CVCN • L’onere dell’effettuazione delle attività di test risulta a carico dei soggetti inclusi nel perimetro di sicurezza nazionale
  • 26. Legislazione italiana (cont.) • Il CVCN assume il compito di elaborare le misure di sicurezza che riguardano l’affidamento di forniture di beni, sistemi e servizi ICT, definisce le metodologie di verifica e di test, effettua le verifiche avvalendosi di laboratori accreditati dallo stesso CVCN, se necessario elabora ed adotta nuovi schemi di certificazione cibernetica tenendo contro degli standard definiti a livello internazionale ed europeo • Il mancato adempimento da parte dei soggetti inclusi nel perimetro degli obblighi previsti dalla legge comporta sanzioni amministrative e pecuniarie fino a 1.8 Meuro
  • 27. Legislazione italiana (cont.) • Misure preventive e di risposta agli attacchi cyber che coinvolgono il piano legale, tecnologico e organizzativo • Misure preventive • misure di sicurezza • screening tecnologico CVCN • ispezioni e sanzioni • istituzione della figura del security manager aziendale • Misure di risposta • La notifica deve avvenire entro 6 ore dal primo incidente ad uno degli asset del perimetro • La Presidenza del Consiglio ha la facoltà di intervenire in merito ai dispositivi compromessi
  • 28. Legislazione italiana (cont.) • DPCM1: in corso di approvazione • modalità e criteri procedurali di individuazione dei soggetti inclusi nel perimetro; l’elenco delle organizzazioni incluse nel perimetro dovrebbe essere disponibile entro un paio di mesi • criteri che i soggetti inclusi devono adottare per la predisposizione dell’elenco delle reti, dei sistemi e dei servizi, loro architettura e componentistica • DPCM2: CdM fine Ottobre 2020 • Misure di sicurezza e notifiche • DPR • Procedure, modalità e termini con cui il CVNV e i centri preposti valutano i beni, i sistemi e i servizi che i soggetti inclusi nel perimetro intendono acquisire • Criteri tecnici per l’individuazione delle categorie e dell’elenco dei beni, sei sistemi e dei servizi a cui si applica la procedura di valutazione • Procedure, modalità e termini con cui le autorità competenti effettuano le verifiche e le ispezioni per l’accertamento del rispetto degli obblighi stabiliti dal DL • DPCM3: laboratori di accreditamento • DPCM4: prodotti da analizzare
  • 29. Standard internazionali Cyber security concepts IEC SyC Smart Energy – Cyber Security Task Force https://syc-se.iec.ch/deliveries/cybersecurity-guidelines/
  • 30. [CIGRE WG C4.47] DSOGRI Workshop – 7 September 2020 – online event Power System Resilience
  • 31. IEC SyC Smart Energy – Cyber Security Task Force https://syc-se.iec.ch/deliveries/cybersecurity-guidelines/ Standard internazionali
  • 32. DSOGRI Workshop – 7 September 2020 – online event NIST Framework
  • 33. Functions and categories DSOGRI Workshop – 7 September 2020 – online event NIST Framework (cont.)
  • 34. Normativa Italiana • CEI 0-16 «Regola tecnica di riferimento per la connessione di Utenti attivi e passivi alle reti AT e MT delle imprese distributrici di energia elettrica» Aprile 2019 • Allegato O – CCI e MCI • Allegato T – Modello dati e cybersecurity • Recepisce lo standard IEC 61850 e IEC 62351 • CEI 0-21 «Regola tecnica di riferimento per la connessione di Utenti attivi e passivi alle reti BT delle imprese distributrici di energia elettrica» Aprile 2019 • Allegato X - CIR
  • 35. 1. World Energy Council, “Cyber challenges to the energy transition”, 2019 2. Clean Energy for all Europeans Package, European Union 2019 3. Ministero dello Sviluppo Economico, Proposta di piano nazionale integrato per l’energia e il clima. MiSE, Dicembre 2019, https://www.mise.gov.it/images/stories/documenti/Proposta_di_Piano_Nazionale_Integrato_per_Ene rgia_e_il_Clima_Italiano.pdf 4. IEA Digitalization & Energy, webinar 7 February 2018 5. IEA ETIP Wind Report 6. ETIP SNET R&I Roadmap 2020-2030 7. IEC System Committee Smart Energy, WG 3, SRD 63268 8. NIS Directive EU 2016/1148 9. Cybersecurity Act Regulation (EU 2019/881) https://eur-lex.europa.eu/eli/reg/2019/881/oj DSOGRI Workshop – 7 September 2020 – online event Riferimenti
  • 36. 10. Smart Grid Task Force-Expert Group 2-Cybersecurity , «Recommendations to the European Commission for the Implementation of Sector-Specific Rules for Cybersecurity Aspects of Cross- Border Electricity Flows, on Common Minimum Requirements, Planning, Monitoring, Reporting and Crisis Management» 2019 11. Ministero dello Sviluppo Economico, Strategia Energetica Nazionale, 10 Novembre 2017, https://www.mise.gov.it/images/stories/documenti/Testo-integrale-SEN-2017.pdf 12. NIST Cybersecurity Framework Version 1.1, Aprile 2018, https://www.nist.gov/cyberframework/framework 13. IEC Technology Report, “Cyber security and resilience guidelines for the smart energy operational environment”, 2019 14. Norma CEI 0-16, “Regola tecnica di riferimento per la connessione di Utenti attivi e passivi alle reti AT e MT delle imprese distributrici di energia elettrica”, 17 aprile 2019 15. DossieRSE, «Cyber Security nella transizione energetica e digitale», Dicembre 2019, https://www.dossierse.it/ 36 Riferimenti