Cybersicurezza – Recenti novità normative
30/01/2026
Rubrica a cura dello Studio Legale Mordiglia, Genova-Milano - www.mordiglia.it -mail@mordiglia.it
A fronte di un settore marittimo sempre più digitalizzato e interconnesso, la gestione della sicurezza informatica è emersa come una componente strategica e non più accessoria della sicurezza nazionale, economica e ambientale.
In questo scenario, il Ministero delle Infrastrutture e dei Trasporti, con la Circolare n. 177/2025 del 16 dicembre 2025, ha introdotto un quadro normativo organico per la gestione del maritime cyber risk, destinato a diventare pienamente operativo dal 1° novembre 2026.
Il provvedimento, che abroga la precedente Circolare n. 155/2019, si rivolge a navi nazionali, società di gestione ISM (Company) e gestori di impianti portuali, con l’obiettivo di integrare stabilmente la gestione del rischio cyber nei sistemi di sicurezza esistenti.
L’approccio è olistico: non si limita alla neutralizzazione della minaccia, ma si estende alla prevenzione, al rilevamento, alla risposta e al ripristino della piena operatività, in linea con gli indirizzi dell’IMO (MSC-FAL.1/Circ.3/Rev.3), i requisiti IACS (UR E26/E27) e la Direttiva (UE) 2022/2555 (NIS2), recepita in Italia con il D. Lgs. n. 138/2024.
La Circolare n. 177/2025 impone, innanzitutto, un’evoluzione del concetto stesso di rischio.
Il tradizionale modello “CIA” (Confidenzialità, Integrità, Disponibilità) viene ampliato per includere due principi fondamentali per le interazioni digitali complesse: l’Autenticazione e la Non Ripudiabilità.
L’Autenticazione consiste nella verifica dell’identità di un utente o sistema prima di concedere l’accesso a risorse critiche. Meccanismi come l’autenticazione a più fattori (MFA) diventano essenziali per prevenire accessi non autorizzati che potrebbero compromettere i sistemi operativi (OT) e informatici (IT).
La Non Ripudiabilità è la garanzia che un utente non possa negare di aver compiuto una determinata azione. L’uso di firme digitali e registri di log sicuri diventa cruciale per attribuire la responsabilità in caso di anomalie, transazioni fraudolente o accessi illeciti, fornendo prove valide in sede investigativa.
La Circolare n. 177/2025 favorisce poi l’integrazione della gestione del rischio informatico nella cultura della sicurezza aziendale mediante l’identificazione di ruoli, responsabilità e sistemi critici e l’implementazione di misure tecniche e procedurali per la protezione, il rilevamento e la continuità operativa.
Per le società di gestione e le navi, la Circolare delinea un processo in 15 punti per integrare la cyber security nel Sistema di Gestione della Sicurezza (SMS) previsto dal Codice ISM. Questo processo richiede un aggiornamento profondo delle procedure esistenti. I passaggi salienti includono (i) politica aziendale (la politica di sicurezza della Company deve essere aggiornata per includere esplicitamente gli obiettivi di gestione del rischio cyber), (ii) nuove figure di responsabilità (vengono introdotte due nuove figure: il Cyber Company Officer a terra, responsabile della gestione complessiva, e il Cyber Security Officer a bordo, che può essere il Comandante o un altro membro dell’equipaggio con compiti direttivi), (iii) Risk Assessment (il cuore del processo è una valutazione del rischio dettagliata e periodica, che deve distinguere tra sistemi IT e OT), (iv) pianificazione di emergenza (l’SMS deve includere un “cyber security contingency plan” per la gestione degli incidenti, da testare tramite esercitazioni periodiche), (v) supporto e manutenzione (il Comandante e il Cyber Security Officer devono ricevere supporto qualificato da terra e le misure di sicurezza ricorrenti, come gli aggiornamenti software, devono essere integrate nel sistema di manutenzione pianificato della nave) e (vi) audit e verifiche (l’implementazione della gestione del rischio cyber sarà soggetta ad audit interni ed esterni, che dovranno verificare l’efficacia delle misure adottate).
La Circolare n. 177/2025 stabilisce un percorso differenziato per gli impianti portuali (port facilities), a seconda che rientrino o meno nel perimetro della Direttiva NIS2.
Per gli impianti portuali soggetti a NIS2, l’adempimento agli obblighi del D. Lgs. n. 138/2024 è considerato idoneo a soddisfare anche i requisiti del Codice ISPS. Il Piano di Sicurezza dell’Impianto Portuale (PFSP) potrà quindi fare rinvio alla documentazione predisposta ai fini NIS2. Rimane l’obbligo di nominare un responsabile della protezione cyber e di garantirne la formazione specifica.
Quanto agli impianti portuali non soggetti a NIS2, essi dovranno invece seguire un percorso più strutturato. Entro il 31 dicembre 2026, tali impianti dovranno predisporre e far approvare dall’Autorità designata appositi “addendum” al PFSA (Port Facility Security Assessment) e al PFSP. Tale processo include la nomina di un Cyber Port Facility Security Officer, l’elaborazione di un Cyber Risk Assessment specifico e l’integrazione delle procedure di gestione del rischio nel PFSP.
Anche per le banchine pubbliche, gestite da un’Autorità di Sistema Portuale o, in sua assenza, dalla Capitaneria di Porto, si applicano i medesimi principi di valutazione del rischio e aggiornamento dei piani di sicurezza.
Un altro pilastro della Circolare è il rafforzamento del “fattore umano”.
La responsabilità ultima resta in capo alle figure tradizionali (DPA, Comandante, CSO, PFSO), ma queste saranno affiancate da personale con competenze specialistiche. La Circolare è estremamente dettagliata sui percorsi formativi e le certificazioni richieste per le nuove figure.
Ad esempio, il Cyber Company Officer deve possedere certificazioni di alto livello orientate alla gestione (come CISM, ISO/IEC 27001 Lead Implementer o CISSP) e la formazione del Cyber Security Officer deve essere specifica per il contesto di bordo (come i corsi modello IMO, CompTIA Security+ o altre certificazioni riconosciute dal settore marittimo).
Al Cyber Port Facility Security Officer sono richieste competenze focalizzate sui sistemi di controllo industriale (ICS/OT), con certificazioni come GIAC GICSP, IEC 62443, o CISA.
Oltre a ciò, è prevista una formazione di base per tutto il personale coinvolto e una familiarizzazione specifica al momento dell’imbarco o dell’assunzione.
Infine, a partire dal 1° gennaio 2026, la procedura di segnalazione degli incidenti informatici seguirà un doppio canale. Fermo restando l’obbligo primario di notifica all’Agenzia per la Cybersicurezza Nazionale (ACN) secondo le regole NIS2, la Circolare introduce un obbligo di segnalazione parallelo ai fini del coordinamento marittimo: le Compagnie dovranno infatti inviare le segnalazioni anche all'Ufficio Maritime Security del Comando Generale (Reparto VI) e all’IMRCC e le Facilities dovranno informare, oltre all’ACN, l’Ufficio Maritime Security e l’Autorità designata del porto.
In conclusione, la Circolare n. 177/2025 segna un punto di svolta, imponendo a tutti gli operatori del settore marittimo un approccio proattivo e strutturato alla cybersicurezza. Non si tratta più di un mero adempimento tecnico, ma di un processo di gestione integrato che richiede investimenti in competenze, procedure e formazione continua. Le scadenze definite, in particolare l’entrata in vigore del 1° novembre 2026, richiedono un’azione immediata da parte di tutte le organizzazioni coinvolte per adeguare i propri sistemi di gestione e garantire la conformità al nuovo quadro normativo.
A fronte di un settore marittimo sempre più digitalizzato e interconnesso, la gestione della sicurezza informatica è emersa come una componente strategica e non più accessoria della sicurezza nazionale, economica e ambientale.
In questo scenario, il Ministero delle Infrastrutture e dei Trasporti, con la Circolare n. 177/2025 del 16 dicembre 2025, ha introdotto un quadro normativo organico per la gestione del maritime cyber risk, destinato a diventare pienamente operativo dal 1° novembre 2026.
Il provvedimento, che abroga la precedente Circolare n. 155/2019, si rivolge a navi nazionali, società di gestione ISM (Company) e gestori di impianti portuali, con l’obiettivo di integrare stabilmente la gestione del rischio cyber nei sistemi di sicurezza esistenti.
L’approccio è olistico: non si limita alla neutralizzazione della minaccia, ma si estende alla prevenzione, al rilevamento, alla risposta e al ripristino della piena operatività, in linea con gli indirizzi dell’IMO (MSC-FAL.1/Circ.3/Rev.3), i requisiti IACS (UR E26/E27) e la Direttiva (UE) 2022/2555 (NIS2), recepita in Italia con il D. Lgs. n. 138/2024.
La Circolare n. 177/2025 impone, innanzitutto, un’evoluzione del concetto stesso di rischio.
Il tradizionale modello “CIA” (Confidenzialità, Integrità, Disponibilità) viene ampliato per includere due principi fondamentali per le interazioni digitali complesse: l’Autenticazione e la Non Ripudiabilità.
L’Autenticazione consiste nella verifica dell’identità di un utente o sistema prima di concedere l’accesso a risorse critiche. Meccanismi come l’autenticazione a più fattori (MFA) diventano essenziali per prevenire accessi non autorizzati che potrebbero compromettere i sistemi operativi (OT) e informatici (IT).
La Non Ripudiabilità è la garanzia che un utente non possa negare di aver compiuto una determinata azione. L’uso di firme digitali e registri di log sicuri diventa cruciale per attribuire la responsabilità in caso di anomalie, transazioni fraudolente o accessi illeciti, fornendo prove valide in sede investigativa.
La Circolare n. 177/2025 favorisce poi l’integrazione della gestione del rischio informatico nella cultura della sicurezza aziendale mediante l’identificazione di ruoli, responsabilità e sistemi critici e l’implementazione di misure tecniche e procedurali per la protezione, il rilevamento e la continuità operativa.
Per le società di gestione e le navi, la Circolare delinea un processo in 15 punti per integrare la cyber security nel Sistema di Gestione della Sicurezza (SMS) previsto dal Codice ISM. Questo processo richiede un aggiornamento profondo delle procedure esistenti. I passaggi salienti includono (i) politica aziendale (la politica di sicurezza della Company deve essere aggiornata per includere esplicitamente gli obiettivi di gestione del rischio cyber), (ii) nuove figure di responsabilità (vengono introdotte due nuove figure: il Cyber Company Officer a terra, responsabile della gestione complessiva, e il Cyber Security Officer a bordo, che può essere il Comandante o un altro membro dell’equipaggio con compiti direttivi), (iii) Risk Assessment (il cuore del processo è una valutazione del rischio dettagliata e periodica, che deve distinguere tra sistemi IT e OT), (iv) pianificazione di emergenza (l’SMS deve includere un “cyber security contingency plan” per la gestione degli incidenti, da testare tramite esercitazioni periodiche), (v) supporto e manutenzione (il Comandante e il Cyber Security Officer devono ricevere supporto qualificato da terra e le misure di sicurezza ricorrenti, come gli aggiornamenti software, devono essere integrate nel sistema di manutenzione pianificato della nave) e (vi) audit e verifiche (l’implementazione della gestione del rischio cyber sarà soggetta ad audit interni ed esterni, che dovranno verificare l’efficacia delle misure adottate).
La Circolare n. 177/2025 stabilisce un percorso differenziato per gli impianti portuali (port facilities), a seconda che rientrino o meno nel perimetro della Direttiva NIS2.
Per gli impianti portuali soggetti a NIS2, l’adempimento agli obblighi del D. Lgs. n. 138/2024 è considerato idoneo a soddisfare anche i requisiti del Codice ISPS. Il Piano di Sicurezza dell’Impianto Portuale (PFSP) potrà quindi fare rinvio alla documentazione predisposta ai fini NIS2. Rimane l’obbligo di nominare un responsabile della protezione cyber e di garantirne la formazione specifica.
Quanto agli impianti portuali non soggetti a NIS2, essi dovranno invece seguire un percorso più strutturato. Entro il 31 dicembre 2026, tali impianti dovranno predisporre e far approvare dall’Autorità designata appositi “addendum” al PFSA (Port Facility Security Assessment) e al PFSP. Tale processo include la nomina di un Cyber Port Facility Security Officer, l’elaborazione di un Cyber Risk Assessment specifico e l’integrazione delle procedure di gestione del rischio nel PFSP.
Anche per le banchine pubbliche, gestite da un’Autorità di Sistema Portuale o, in sua assenza, dalla Capitaneria di Porto, si applicano i medesimi principi di valutazione del rischio e aggiornamento dei piani di sicurezza.
Un altro pilastro della Circolare è il rafforzamento del “fattore umano”.
La responsabilità ultima resta in capo alle figure tradizionali (DPA, Comandante, CSO, PFSO), ma queste saranno affiancate da personale con competenze specialistiche. La Circolare è estremamente dettagliata sui percorsi formativi e le certificazioni richieste per le nuove figure.
Ad esempio, il Cyber Company Officer deve possedere certificazioni di alto livello orientate alla gestione (come CISM, ISO/IEC 27001 Lead Implementer o CISSP) e la formazione del Cyber Security Officer deve essere specifica per il contesto di bordo (come i corsi modello IMO, CompTIA Security+ o altre certificazioni riconosciute dal settore marittimo).
Al Cyber Port Facility Security Officer sono richieste competenze focalizzate sui sistemi di controllo industriale (ICS/OT), con certificazioni come GIAC GICSP, IEC 62443, o CISA.
Oltre a ciò, è prevista una formazione di base per tutto il personale coinvolto e una familiarizzazione specifica al momento dell’imbarco o dell’assunzione.
Infine, a partire dal 1° gennaio 2026, la procedura di segnalazione degli incidenti informatici seguirà un doppio canale. Fermo restando l’obbligo primario di notifica all’Agenzia per la Cybersicurezza Nazionale (ACN) secondo le regole NIS2, la Circolare introduce un obbligo di segnalazione parallelo ai fini del coordinamento marittimo: le Compagnie dovranno infatti inviare le segnalazioni anche all'Ufficio Maritime Security del Comando Generale (Reparto VI) e all’IMRCC e le Facilities dovranno informare, oltre all’ACN, l’Ufficio Maritime Security e l’Autorità designata del porto.
In conclusione, la Circolare n. 177/2025 segna un punto di svolta, imponendo a tutti gli operatori del settore marittimo un approccio proattivo e strutturato alla cybersicurezza. Non si tratta più di un mero adempimento tecnico, ma di un processo di gestione integrato che richiede investimenti in competenze, procedure e formazione continua. Le scadenze definite, in particolare l’entrata in vigore del 1° novembre 2026, richiedono un’azione immediata da parte di tutte le organizzazioni coinvolte per adeguare i propri sistemi di gestione e garantire la conformità al nuovo quadro normativo.
CERCA
