Il cyber risk management nel settore dello shipping
21/01/2021
Rubrica a cura dello Studio Legale Mordiglia, Genova-Milano - www.mordiglia.it - mail@mordiglia.it
A partire dal 1° gennaio 2021, in occasione della prima verifica annuale del Document of Compliance (DOC) di cui al Codice ISM, tutte le compagnie di navigazione saranno tenute ad implementare il proprio sistema di gestione della sicurezza (sistema SMS) attraverso l’adozione di una certificazione che comprovi un’adeguata valutazione dei c.d. cyber risks (rischi cibernetici).
La rapida evoluzione della tecnologia in tutti i settori, compreso il settore marittimo, e la crescita esponenziale dei rischi legati alla vulnerabilità dei sistemi informatici hanno portato il Legislatore a ripensare la normativa vigente. I rischi connessi alla verificazione di un attacco cyber possono infatti non solo inficiare il sistema informatico delle compagnie di navigazione attraverso la perdita di informazioni e dati sensibili, ma anche concretizzarsi in danni economici legati all’interruzione del business con consequenziali danni alla reputazione.
In questo scenario, anche il settore marittimo ha mostrato una certa attenzione alla questione relativa alle minacce informatiche. Con un importante intervento, l’International Maritime Organization (IMO) ha ritenuto opportuno introdurre il concetto di cyber risk management nel settore dello shipping, definendo lo stesso come quel “processo di identificazione, analisi, verifica e comunicazione di un cyber-related risk accettando, evitando, trasferendo o mitigando lo stesso rischio ad un livello accettabile e considerando costi/benefici delle azioni da intraprendere”. In tal modo, i rischi in ambito cyber vengono considerati e mitigati nell’ambito degli esistenti sistemi di gestione della sicurezza, nell’ottica di una globale verifica e comparazione fra l’attuale organizzazione e quella desiderata.
Si tratta di una novità molto importante per migliorare la sicurezza della nave che ha altresì trovato un accoglimento a livello nazionale nella Circolare sulla Sicurezza della Navigazione emessa dal Comando Generale del Corpo delle Capitanerie di Porto il 13 dicembre 2019 (circolare serie generale 155/19). Quest’ultima, nel recepire le best practice a fondamento del processo di cyber risk management, richiama i due importanti interventi dell’IMO: (i) la Risoluzione MSC. 428(98) “Maritime Cyber Risk Management in Safety Management Systems” del 16 giugno 2017 e (ii) la Circolare 3/MSC – FAL 1 “Guidelines on Maritime Cyber Risk Management” del 5 luglio 2017. Con il primo intervento richiamato sub (i), l’IMO ha introdotto un sistema di raccomandazioni attraverso le quali è stato determinato che la valutazione del rischio informatico rientra fra gli obiettivi del Codice ISM, invitando dunque le compagnie di navigazione ad adattare il proprio sistema SMS alle suddette indicazioni. Con il secondo intervento sub (ii) vengono invece fornite delle linee guida su come condurre un’adeguata valutazione dei cyber risks conformemente alle indicazioni di cui alla Risoluzione. In particolare, viene introdotta la distinzione fra Information e Operational Technology per meglio individuare le possibili vulnerabilità dei sistemi informatici nell’ottica di una maggiore protezione dello scambio di informazioni.
Accanto alle suddette iniziative dell’IMO, recepite nella Circolare del Comando Generale del Corpo delle Capitanerie di Porto, particolare attenzione merita il recente aggiornamento delle linee guida per la sicurezza informatica pubblicato nel mese di dicembre 2020 da BIMCO di concerto con altre organizzazioni quali l’International Chamber of Shipping (ICL), Intercargo, Intertanko, International Union of Marine Insurance (IUMI) e l’Oil Companies International Marine Forum (OCIMF). La quarta versione delle linee guida BIMCO, nel sostituire la precedente edizione di novembre 2019, contiene dei miglioramenti nel campo della valutazione e gestione del rischio informatico. In particolare, viene aggiornata la sezione relativa al “risk assessment” con l’introduzione di una valutazione del rischio da parte di terzi per le aziende con capacità limitate nello svolgimento di suddetto processo.