Obblighi vincolanti per compagnie di navigazione, porti e Autorità Marittime. Circolare n. 177/2025 che entrerà in vigore dal 1° novembre 2026
Roma. Il Ministero delle Infrastrutture e dei Trasporti, attraverso il Comando generale del Corpo delle Capitanerie di Porto – Guardia Costiera e l’Autorità Network and Information Security (NIS) – Settore Trasporti – ha pubblicato la Circolare “Sicurezza della Navigazione – Serie Generale n. 177/2025”, datata 16 dicembre 2025.
Si tratta di un documento che introduce un quadro avanzato, moderno, coerente con gli standard internazionali e vincolante di misure di cybersicurezza destinate a rafforzare la resilienza del comparto marittimo–portuale, alla luce della crescente digitalizzazione dei sistemi di bordo, delle infrastrutture portuali e delle procedure operative. L’entrata in vigore è fissata dal 1° novembre 2026.
La circolare risponde all’adozione sempre più diffusa di sistemi di bordo come ECDIS, AIS, GMDSS, sistemi OT connessi, interfacce nave-porto e canali di accesso remoto: tecnologie digitali e sistemi avanzati di navigazione e di cartografia nautica è vero che hanno aumentato l’efficienza del settore, ma hanno anche ampliato l’area d’attacco esposta a minacce informatiche sempre più sofisticate. I Computer Based System (CBS), che comprendono sia sistemi Information Technology (IT) sia l’Operational Technology (OT), costituiscono, infatti, un asse portante delle operazioni marittime e portuali e, proprio per questo, sono bersagli potenziali di attacchi in grado di compromettere la sicurezza della navigazione, la continuità operativa della logistica portuale e la protezione dell’ambiente marino.
Questa nuova disciplina risponde alle indicazioni dell’International Maritime Organization (IMO) e delle principali Linee guida internazionali in materia; integra gli standard tecnici contenuti nel quadro europeo definito dalla Direttiva (UE) 2022/2555 (NIS2) e dal D.lgs. 138/2024; norme che ricomprendono porti, Amministrazioni Marittime e operatori critici tra i soggetti essenziali della cybersicurezza nazionale.
In questo orizzonte, la Circolare n. 177/2025 definisce obblighi e raccomandazioni per compagnie di navigazione, comandanti di navi, gestori di impianti portuali e Autorità statali coinvolte, richiedendo l’adozione di un approccio strutturato di gestione del rischio informatico, la piena integrazione delle misure cyber nei Safety Management System (SMS) e nei Piani di Security delle navi nazionali, l’aggiornamento delle procedure interne, l’adozione di misure tecniche e organizzative adeguate e proporzionate, nonché la formalizzazione di processi di prevenzione, rilevazione, risposta e recovery in caso di incidente informatico.
Non viene dimenticata la puntuale formazione del personale con l’introduzione di un percorso di qualificazione per equipaggi, Company Security Officer, Port Facility Security Officer e tecnici IT/OT, al fine di assicurare una preparazione aggiornata rispetto alle tecniche di attacco e ai requisiti di risposta.
Particolare attenzione è riservata alla gestione dei sistemi critici – propulsione, governo, generazione dell’energia, sistemi di caricazione, comunicazioni interne ed esterne, sistemi di monitoraggio accessi, reti dedicate ai passeggeri, infrastrutture portuali e servizi VTS – che devono essere oggetto di una valutazione periodica (almeno una volta l’anno), documentata e basata sui principi di analisi e valutazione del rischio (risk assessment). La valutazione del rischio deve essere aggiornata ogni qualvolta si presentino delle nuove minacce o a seguito di attacchi anche senza conseguenze.
La circolare estende l’attenzione anche alle tecnologie emergenti dei sistemi autonomi e ai servizi nave-terra impiegati nelle operazioni di navi di superficie autonome marittime (Maritime Autonomous Surface Ship (MASS), riconoscendo le nuove vulnerabilità associate alla navigazione digitale. Sebbene i principali rischi associati alle MASS siano simili ad altre minacce alla sicurezza informatica nel settore marittimo, si prevede che con l’adozione della tecnologia MASS aumenteranno i nuovi rischi correlati al controllo remoto (Remote Operations Center, ROC) e ai processi decisionali basati sui sensori.
La gestione degli incidenti informatici viene rafforzata anche attraverso il coordinamento con gli obblighi di notifica previsti dal D.lgs. 138/2024, che impongono ai soggetti rientranti nel perimetro NIS2 la segnalazione degli incidenti significativi al CSIRT Italia (Computer Security Incident Response Team) rendendo così la notifica degli incidenti informatici un elemento fondamentale della strategia nazionale di risposta.
Abele Carruezzo
*Si allega Circolare: Sicurezza della Navigazione Serie Generale n. 177/2025
