Il Ministero delle Infrastrutture e dei Trasporti, attraverso il Comando Generale del Corpo delle Capitanerie di Porto - Guardia Costiera e l'Autorità NIS - Settore Trasporti, ha comunicato la pubblicazione della nuova circolare n. 177/2025 dal titolo “Maritime Cyber Risk. Aggiornamento delle misure di sicurezza per le navi nazionali, le società di gestione ISM (Company ISM) e i gestori di impianti portuali” che entrerà pienamente in vigore dal primo novembre 2026. Il documento introduce un quadro avanzato, moderno e vincolante di misure di cybersicurezza destinate a rafforzare la resilienza del comparto marittimo-portuale, alla luce della crescente digitalizzazione dei sistemi di bordo, delle infrastrutture portuali e delle procedure operative.

La nuova disciplina, coerente con gli indirizzi dell'IMO e con le più recenti linee guida internazionali in materia, integra gli standard contenuti nei principali riferimenti tecnici del settore e si armonizza con il quadro europeo definito dalla direttiva 2022/2555 - NIS2 e dal relativo decreto legislativo 138/2024, che ricomprendono porti, amministrazioni marittime e operatori critici tra i soggetti essenziali della cybersicurezza nazionale.

Annunciando la pubblicazione della circolare, con data 16 dicembre 2025, il Comando Generale del Corpo delle Capitanerie di Porto ha ricordato che l'adozione diffusa di sistemi di bordo come ECDIS, AIS, GMDSS, sistemi OT connessi, interfacce nave-porto e canali di accesso remoto ha aumentato l'efficienza del settore, ma ha contestualmente ampliato la superficie d'attacco esposta a minacce informatiche sempre più sofisticate. I Computer Based System (CBS), che comprendono sia sistemi IT sia OT, costituiscono infatti un asse portante delle operazioni marittime e portuali e, proprio per questo, rappresentano un bersaglio potenziale di attacchi in grado di compromettere la sicurezza della navigazione, la continuità operativa e la protezione dell'ambiente marino. In tale scenario, la nuova circolare definisce obblighi e raccomandazioni per compagnie di navigazione, comandanti di navi, gestori di impianti portuali e autorità statali coinvolte, richiedendo l'adozione di un approccio strutturato di gestione del rischio informatico, la piena integrazione delle misure cyber nei Safety Management System (SMS) e nei piani di security delle navi nazionali, l'aggiornamento delle procedure interne, l'adozione di misure tecniche e organizzative adeguate e proporzionate, nonché la formalizzazione di processi di prevenzione, rilevazione, risposta e recovery in caso di incidente. Il provvedimento introduce inoltre la formazione del personale, rendendo necessario un percorso di qualificazione per equipaggi, Company Security Officer, Port Facility Security Officer e tecnici IT/OT, al fine di assicurare una preparazione aggiornata rispetto alle tecniche di attacco e ai requisiti di risposta. Particolare attenzione è riservata alla gestione dei sistemi critici - tra cui propulsione, governo, generazione dell'energia, sistemi di caricazione, comunicazioni interne ed esterne, sistemi di monitoraggio accessi, reti dedicate ai passeggeri, infrastrutture portuali e servizi VTS - che devono essere oggetto di una valutazione periodica, documentata e basata sui principi di rischio.

La circolare estende inoltre l'attenzione alle tecnologie emergenti, con espliciti riferimenti ai sistemi autonomi e ai servizi integrati nave-terra utilizzati nelle operazioni MASS, riconoscendone la crescente diffusione e la necessità di affrontare le nuove vulnerabilità correlate. La gestione degli incidenti informatici viene rafforzata anche attraverso il coordinamento con gli obblighi di notifica previsti dal decreto legislativo 138/2024, che impongono ai soggetti rientranti nel perimetro NIS2 la segnalazione degli incidenti significativi al CSIRT Italia, rendendo così la notifica degli incidenti informatici un elemento fondamentale della strategia nazionale di risposta.