News n. 17 – Dicembre 2025 –
EAUT è rientrata nel perimetro della cybersicurezza come “soggetto essenziale” nel settore delle acque potabili. Ad averlo reso noto è la ACN – Agenzia per la Cybersicurezza Nazionale che ha riconosciuto e confermato il ruolo strategico dell’ente nella tutela di un servizio considerato fondamentale e, allo stesso tempo, ad alta criticità per il Paese come quello della distribuzione della risorsa idrica destinata al consumo umano. La comunicazione si inserisce in un percorso già consolidato: da anni, infatti, EAUT investe nella sicurezza, nella protezione delle proprie infrastrutture e nell’innovazione tecnologica, adottando processi interni improntati alla massima responsabilità. Il riconoscimento dell’ACN attribuisce ora un’ulteriore responsabilità anche sul fronte della sicurezza informatica e tecnologica, componente essenziale per garantire la continuità operativa e la resilienza delle infrastrutture idriche.
|
|
 |
Direttive Europee NIS2
ACN e NIS2, il nuovo quadro europeo della cybersicurezza – L’Agenzia per la Cybersicurezza Nazionale rappresenta oggi uno dei presidi più rilevanti per la tutela degli interessi strategici del Paese in ambito digitale. Il suo ruolo è stato ulteriormente rafforzato dall’entrata in vigore del decreto legislativo n. 138/2024 con cui l’Italia ha recepito la Direttiva Europea NIS2 che mira a innalzare il livello di cybersicurezza nell’Unione Europea, introducendo requisiti comuni per la protezione delle reti e dei sistemi informativi e promuovendo una maggiore armonizzazione degli standard tra Stati membri. Tutto questo, con l’obiettivo di rendere più robuste e resilienti le infrastrutture critiche su cui si basa il funzionamento dei servizi essenziali. Il NIS2 è infatti finalizzato alla protezione da minacce sempre più sofisticate, definendo criteri di individuazione uniformi per i soggetti coinvolti e imponendo obblighi più stringenti in materia di prevenzione e gestione degli incidenti informatici. La direttiva prevede una mappatura dei settori critici, una distinzione tra soggetti essenziali e importanti, un meccanismo di identificazione basato su criteri oggettivi e un rafforzamento sostanziale dei poteri di vigilanza e sanzione. Particolare rilievo viene dato anche alla gestione coordinata delle vulnerabilità e delle crisi cibernetiche, con strumenti come il Cyber Crisis Liaison Organisation Network (CyCLONe) e con l’individuazione di autorità nazionali competenti per le emergenze quali la stessa ACN che è chiamata non solo a prevenire e mitigare i rischi cibernetici ma anche a sostenere il percorso di adeguamento dei soggetti coinvolti.
L’acqua è un bene essenziale e le sue infrastrutture idriche sono di vitale importanza e di fronte all’aumento delle tensioni mondiali cresce la preoccupazione che le forniture della risorsa idrica possano diventare l’obiettivo di attacchi informatici.
L’ingresso di EAUT nel perimetro NIS2 – In questo contesto normativo si inserisce la notifica ricevuta da EAUT. La Determinazione del Direttore generale della ACN, su proposta del Ministero dell’Ambiente e della Sicurezza Energetica, ha individuato l’ente come “soggetto NIS essenziale” nel settore dell’acqua potabile, uno dei comparti più sensibili inseriti nell’allegato I del decreto legislativo 138/2024. La classificazione è stata confermata il 19 agosto 2025 a seguito delle verifiche ex post previste dalla procedura, inserendo EAUT a pieno titolo nel perimetro nazionale della cybersicurezza, con gli obblighi conseguenti legati alla protezione dei sistemi informativi e alla continuità operativa dei servizi erogati. EAUT ha già completato l’iscrizione alla piattaforma sviluppata dalla ACN per gestire in modo strutturato le attività previste dalla normativa e ha avviato un percorso di adeguamento che passa dall’implementazione di misure informatiche, tecnologiche e organizzative fino alla formalizzazione dei processi interni indispensabili per garantire un elevato livello di sicurezza. L’Ente avrà ora diciotto mesi di tempo per predisporre piani per la gestione dei rischi, la business continuity e il disaster recovery, insieme a procedure per il trattamento dei rischi, la gestione delle vulnerabilità, la valutazione dell’efficacia delle misure adottate e la formazione del personale in materia di sicurezza informatica. Sono inoltre in fase di definizione le politiche di cybersecurity e i registri obbligatori relativi al riesame delle politiche, alle attività formative e alle manutenzioni effettuate. Questo percorso rappresenta un tassello fondamentale nel processo di rafforzamento della sicurezza delle infrastrutture idriche che, sempre più digitalizzate attraverso sistemi di telecomando e telecontrollo, configurano un settore strategico per la vita quotidiana dei cittadini e la tenuta dei servizi essenziali. L’ingresso di EAUT nel perimetro NIS2 non è soltanto un adempimento normativo, ma un impegno concreto verso una maggiore resilienza digitale, in linea con le priorità nazionali ed europee.
