Gestione Cybersecurity

La creazione di un ecosistema digitale resiliente a livello internazionale richiede un impianto regolatorio completo e armonizzato, capace di imporre standard e obblighi specifici, che siano adeguati all’evoluzione costante delle minacce e alla crescente complessità e sofisticazione degli attacchi informatici.

Fincantieri, in quanto soggetto attivo in settori strategici e parte integrante di catene del valore globali, è soggetta a un insieme articolato di normative, regolamenti e standard internazionali in materia di cyber security, che impongono requisiti stringenti in termini di governance, protezione e resilienza dei sistemi informativi.

Tra le principali direttrici dell'evoluzione normativa in ambito cyber security assume un ruolo preminente la Direttiva (UE) 2022/2555 (NIS2), volta a stabilire un livello comune elevato di cybersicurezza nell'Unione Europea e recepita in Italia con il D.lgs. n. 138/2024.

In questo contesto, Fincantieri ha avviato un percorso strutturato di analisi della normativa e di valutazione del livello di conformità del Gruppo, volto a identificare le iniziative strategiche di rafforzamento e di adeguamento della propria postura cyber ai nuovi obblighi introdotti in ambito NIS2. In tale ottica si colloca la definizione di un modello di gestione dedicato, che valorizzi l'impegno e la centralità del ruolo dell'Alta Direzione nella governance della compliance e nella promozione di una cultura della sicurezza informatica.

A integrazione di questo approccio, Fincantieri intende instaurare un dialogo costante e collaborativo con le autorità di riferimento, finalizzato ad agevolare la creazione di un modello strutturato di cooperazione pubblico-privato, contestualizzato al settore critico di appartenenza, che consenta di realizzare una gestione più efficace, sostenibile e condivisa delle responsabilità in materia di cyber security.

Per garantire standard elevati e omogenei di cyber security su tutto il perimetro del Gruppo, nel pieno rispetto del quadro normativo di riferimento, Fincantieri ha istituito la funzione Group Cyber Security, integrata all’interno della Direzione Group Operations, Corporate, Strategy and Innovation.

Tale funzione riveste un ruolo strategico nella definizione, attuazione e supervisione delle politiche di sicurezza informatica del Gruppo, con l’obiettivo di:

• Definire e implementare le politiche di cyber security applicabili a livello di Gruppo;
• Garantire il monitoraggio continuo del perimetro logico di Fincantieri e assicurare una risposta tempestiva ed efficace a eventuali tentativi di compromissione;
• Individuare i driver strategici per lo sviluppo di soluzioni avanzate di sicurezza, con un focus specifico sulla verifica e il controllo della supply chain elettronica e digitale;
• Promuovere una metodologia condivisa per la valutazione e la mitigazione del rischio cyber, in linea con le best practices internazionali e le policy aziendali vigenti.

La responsabilità operativa della funzione è affidata al Chief Information Security Officer (CISO) del Gruppo Fincantieri, cui competono le seguenti attività:

• Definire la strategia complessiva di sicurezza informatica del Gruppo;
• Costruire e mantenere un’organizzazione aziendale strutturata ed efficace in ambito cyber;
• Sviluppare e implementare programmi di protezione mirati;
• Progettare e garantire l'applicazione di procedure atte a mitigare i rischi informatici;
• Assicurare la conformità alle normative vigenti in materia;
• Presentare al Comitato di Sicurezza – composto da membri del top management e incaricato di funzioni di indirizzo e controllo strategico – lo stato di avanzamento degli investimenti in ambito cyber security, sottoponendo proposte e iniziative per l’approvazione.

A livello di governance societaria, la supervisione delle tematiche relative alla sicurezza informatica è attribuita al Consiglio di Amministrazione, con un ruolo attivo del Comitato Controllo Interno e Gestione Rischi. Quest’ultimo, quale organo endoconsiliare, ha il compito di approfondire e monitorare in maniera continuativa gli aspetti legati alla gestione del rischio cyber.

Nella gestione operativa delle attività di competenza la funzione Group Cyber Security si avvale del supporto della società controllata E-Phors, centro di eccellenza cyber, specializzata in strategie e soluzioni di cybersecurity per programmi navali, di difesa e industriali di particolare complessità, integrate con i mercati in cui Fincantieri opera.

Il patrimonio informativo di Fincantieri rappresenta un asset strategico di primaria importanza e, per questo, richiede una protezione adeguata contro i rischi legati alla compromissione dei requisiti di sicurezza fondamentali: riservatezza, integrità e disponibilità.

Per garantire tale tutela, sono stati implementati processi trasversali volti a identificare, valutare e mitigare i potenziali rischi che potrebbero compromettere il patrimonio informatico aziendale.

Le norme di sicurezza informatica sono strutturate in politiche e procedure che disciplinano, con livelli di dettaglio differenziati, i controlli e le misure adottate per preservare la sicurezza delle informazioni.

È stata definita una politica di IT security che esprime in modo chiaro l’impegno dell’Alta Direzione nei confronti della sicurezza informatica. Tale impegno si traduce nell’implementazione e nel mantenimento di un Sistema di Gestione della Sicurezza delle Informazioni conforme alla norma ISO 27001, con l’obiettivo di:

• Garantire la sicurezza delle informazioni elettroniche e dei relativi scambi, sia all'interno dell’azienda che con terze parti, attraverso la classificazione delle informazioni e l’assegnazione delle responsabilità agli utenti coinvolti;
• Definire ruoli e responsabilità degli utenti in materia di sicurezza informatica, promuovendo una cultura diffusa della sicurezza all’interno dell’organizzazione;
• Sviluppare contromisure tecniche atte a prevenire gli accessi non autorizzati ai CED, mitigando il rischio di perdite, danni, furti o compromissioni dei dati elettronici;
• Assicurare l’emissione e l’aggiornamento di norme volte ad indirizzare la corretta gestione degli impianti di elaborazione e le modalità di scambio delle informazioni ai fini della sicurezza informatica;
• Controllare l’accesso alle informazioni da parte degli utenti dell’organizzazione e delle terze parti, prevenendo accessi non autorizzati a dati e sistemi di elaborazione;
• Gestire in modo tempestivo ed efficace gli eventi inerenti alla sicurezza informatica;
• Evitare interruzioni delle attività aziendali, proteggere i processi critici da indisponibilità o incidenti rilevanti e garantire la loro pronta ripresa;
• Assicurare la conformità dei sistemi informatici alle normative cogenti e agli obiettivi della Direzione massimizzando l'efficacia dei processi di audit dei sistemi informativi.

Nell’ambito del progetto avviato da Fincantieri per la definizione del nuovo Modello di Governance, è stato inoltre attivato un percorso di evoluzione del corpo normativo aziendale a livello di Gruppo. Questo percorso prevede l’introduzione di una nuova struttura documentale, caratterizzata da una chiara suddivisione tra documenti di direzione e coordinamento, applicabili a livello di Gruppo, e i documenti operativi, dedicati alle singole società, in un’ottica di semplificazione, integrazione, fruibilità, dinamicità e condivisione.

In questo contesto, il corpo normativo aziendale in materia di Cyber Security risulta ulteriormente rafforzato dall’introduzione di una Mangement Guideline e delle relative Global Procedure che definiscono, da un lato, i principi e gli obiettivi e, dall’altro, il disegno di dettaglio dei processi di Cyber Security, tra cui:

• Definizione del modello organizzativo della sicurezza informatica;
• Gestione della conformità normativa, contrattuale e ai framework di riferimento;
• Valutazione e mitigazione del rischio cyber, inclusi i rischi della supply chain;
• Promozione della cultura della sicurezza a tutti i livelli dell’organizzazione;
• Applicazione dei requisiti di sicurezza e delle misure tecniche di protezione;
• Identificazione in modo proattivo delle minacce informatiche rilevanti;
• Monitoraggio della postura di sicurezza dei sistemi e dell’organizzazione;
• Gestione di eventi e incidenti di sicurezza in modo strutturato ed efficace.

La Funzione Group Cyber Security supporta la Funzione Group Information Technology nell’attuazione del proprio Sistema di Gestione Integrato Qualità e Sicurezza delle Informazioni, certificato secondo le norme ISO 9001 e ISO 27001.

Nell’ambito del Sistema di Gestione vengono applicati i controlli previsti dall’Annex A della ISO 27001. In particolare, sono definiti:

• Processi di gestione del rischio finalizzati alla conduzione di analisi del rischio su sistemi IT e OT secondo una metodologia coerente ed integrata con l’Enterprise Risk Management;
• Piani di continuità ICT, comprensivi di procedure di risposta e ripristino, che descrivono le modalità con cui l'organizzazione pianifica la gestione di un'interruzione del servizio ICT;
• Processi di gestione delle vulnerabilità e idonei strumenti volti a rilevare le stesse presenti negli asset all’interno e all’esterno dell’organizzazione;
• Processi di gestione degli incidenti di sicurezza delle informazioni, con definizione chiara di ruoli e responsabilità per le fasi di identificazione, escalation, risposta, contenimento, risoluzione e chiusura. In particolare, è garantita la protezione continua del perimetro aziendale da potenziali intrusioni non autorizzate tramite il monitoraggio h24 da parte del Security Operation Center;
• Azioni di sensibilizzazione e formazione sulla sicurezza delle informazioni (es. campagne di phishing, corsi on-line e in modalità e-learning, ecc..) per rendere il personale consapevole delle proprie responsabilità in materia di sicurezza delle informazioni e dei mezzi con cui tali responsabilità vengono assolte;
• Piani annuali al fine di effettuare le verifiche interne relative al Sistema di Gestione integrato presso le funzioni interessate e i Data Center di Fincantieri;
• Audit di terza parte sul Sistema di Gestione Integrato Qualità e Sicurezza delle informazioni secondo gli standard UNI EN ISO 9001:2015 Sistemi di Gestione per la Qualità – Requisiti e ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection - Information security management systems – Requirements;
• Audit indipendente dell'infrastruttura IT svolto con periodicità annuale.

Nell’ambito delle iniziative strategiche volte al consolidamento della resilienza cyber del Gruppo, E-phors ha avviato un percorso strutturato di centralizzazione e omogeneizzazione delle soluzioni di cyber security. L’obiettivo è estendere progressivamente standard, strumenti e presidi di sicurezza alle principali società controllate, rafforzando la protezione complessiva dell’ecosistema aziendale.

Questa iniziativa rappresenta un passaggio cruciale verso una gestione unificata della sicurezza informatica, fondata su principi di coerenza operativa, condivisione delle competenze e rafforzamento del controllo centralizzato.

A presidio dell’intero perimetro digitale del Gruppo opera il Security Operation Center (SOC), attivo 24 ore su 24, 7 giorni su 7. Il SOC assicura un monitoraggio continuo e proattivo delle infrastrutture IT e OT, in conformità con i più elevati standard internazionali e le normative nazionali in materia di cyber security.

Tale approccio consente di rilevare tempestivamente eventuali anomalie o minacce e di attivare contromisure rapide ed efficaci, contribuendo così al rafforzamento della postura di difesa dell’intero Gruppo.

Negli ultimi anni, sono stati compiuti significativi progressi verso una gestione integrata e coordinata delle minacce cyber, con l’obiettivo di rendere la protezione dei sistemi sempre più scalabile e sinergica.

In particolare, sono state introdotte:

• Soluzioni tecnologiche omogenee e interoperabili, capaci di garantire una protezione coerente e condivisa tra le diverse realtà del Gruppo;
• Procedure operative standardizzate, comuni a livello di Gruppo, per la gestione degli incidenti di sicurezza informatica, al fine di migliorare la tempestività della risposta e il coordinamento tra i team coinvolti.

Questa evoluzione riflette una visione strategica di lungo periodo, orientata non solo alla protezione dei sistemi e delle informazioni aziendali, ma anche alla promozione di una cultura diffusa della sicurezza digitale. Una cultura capace di rendere l’intera organizzazione più resiliente, reattiva e consapevole rispetto alle sfide poste da un contesto digitale in continua evoluzione.

In un contesto in cui le minacce informatiche evolvono con rapidità e crescente sofisticazione, la formazione e la sensibilizzazione del personale costituiscono un elemento strategico e imprescindibile per il rafforzamento della postura di sicurezza dell’intero Gruppo.

La cyber awareness è riconosciuta come uno dei pilastri fondamentali della strategia di resilienza digitale. In quest’ottica, vengono promosse con continuità iniziative formative mirate, volte a diffondere comportamenti consapevoli e responsabili nell’utilizzo degli strumenti digitali, contribuendo alla costruzione di una solida cultura della sicurezza informatica.

Tra le iniziative di maggior rilievo si annoverano le campagne di phishing simulation, progettate per valutare in modo controllato la reattività degli utenti di fronte a tentativi simulati di attacco informatico. Tali simulazioni si basano su modelli di minacce concretamente osservati a livello globale, con l’obiettivo di riprodurre scenari realistici e potenziare la capacità di riconoscere e gestire situazioni potenzialmente dannose.

Le campagne di simulazione coinvolgono l’intero personale del Gruppo, inclusi i livelli apicali, a conferma di un approccio trasversale che interessa tutta l’organizzazione, senza eccezioni.

In linea con l’obiettivo di armonizzare e rendere coerenti le politiche di sicurezza a livello di Gruppo, E-phors sta progressivamente adottando un modello di campagne di phishing awareness integrate, estendendole l’applicazione a tutte le società controllate. Questo approccio consente di:

• Garantire una formazione uniforme e standardizzata per tutto il personale, indipendentemente dalla sede geografica o dalla funzione di appartenenza;
• Favorire la condivisione di best practice e strumenti comuni di sensibilizzazione;
• Rafforzare il senso di responsabilità individuale e collettiva nella prevenzione e nel contrasto al rischio cyber.

Attraverso queste iniziative, Fincantieri conferma e consolida il proprio impegno nella costruzione di un ambiente digitale sicuro, resiliente e condiviso, in cui ogni persona è chiamata a contribuire attivamente alla tutela del patrimonio informativo e tecnologico del Gruppo.

Le moderne piattaforme navali si contraddistinguono per l’elevata complessità tecnologica, frutto dell’integrazione di sistemi digitali eterogenei, spesso interconnessi con l’ambiente esterno per rispondere ad esigenze operative e logistiche. Questa interconnessione, se da un lato abilita funzionalità evolute e un livello avanzato di automazione, dall’altro determina una crescente esposizione a minacce cyber sempre più sofisticate.

In tale contesto, E-phors riveste un ruolo strategico in qualità di design authority dell’architettura elettronica di bordo, operando come garante della sicurezza, dell'affidabilità e della resilienza delle soluzioni digitali integrate nelle unità navali realizzate.

L’approccio alla sicurezza informatica adottato si basa sul principio della cyber security-by-design, applicato lungo l’intero ciclo di vita della piattaforma, a partire dalle fasi iniziali di progettazione. Questo paradigma consente di:

• Minimizzare le superfici d’attacco potenziali, riducendo le opportunità di compromissione dei sistemi;
• Anticipare la gestione di vulnerabilità strutturali, integrando contromisure efficaci si dalle prime fasi dello sviluppo;
• Dimostrare l’efficacia delle misure di sicurezza implementate, attraverso verifiche tecniche e attività di validazione condotte prima della consegna dell’unità navale.

Ogni architettura digitale viene sviluppata su misura, mediante soluzioni tailor-made calibrate in base alle caratteristiche operative della nave, alla sua missione e al contesto – militare o civile – in cui sarà impiegata.

La resilienza cyber delle piattaforme non si esaurisce con la consegna del prodotto. L’impegno di E-phors si estende infatti al post-vendita, mediante un’offerta strutturata di servizi dedicati, finalizzati a garantire l’aggiornamento continuo dei sistemi di bordo, monitorare l’evoluzione delle minacce cyber e fornire supporto specialistico durante l’intero ciclo di vita della piattaforma.

L’integrazione tra competenze navali e sicurezza digitale rappresenta un elemento distintivo dell’approccio industriale adottato. Grazie alla consolidata esperienza nei processi di shipbuilding, alla conoscenza approfondita dei sistemi installati a bordo e alla capacità di coordinare attori industriali e istituzionali, Fincantieri si conferma partner di riferimento per la realizzazione di piattaforme navali sicure, resilienti e tecnologicamente avanzate.

In un contesto industriale sempre più interconnesso, la cyber security della supply chain riveste un ruolo strategico nella protezione del patrimonio informativo, tecnologico e operativo del Gruppo. La filiera di approvvigionamento è parte integrante dell’ecosistema produttivo e, in quanto tale, richiede un’estensione strutturata delle misure di cyber security anche ai partner e ai fornitori coinvolti nei processi aziendali.

All’interno della catena del valore transitano dati sensibili, informazioni riservate e know-how industriale, elementi essenziali per garantire la qualità, l'affidabilità e la competitività del prodotto finale. La tutela di tali asset rappresenta una condizione imprescindibile per salvaguardare l’integrità dei processi, la continuità operativa e la riservatezza progettuale.

Nel quadro di una visione integrata della sicurezza, E-phors ha adottato metodologie strutturate per la valutazione del rischio cyber dei fornitori, incorporate nel processo di procurement sia in fase di qualificazione sia attraverso il monitoraggio continuo delle performance. L’obiettivo è garantire che tutti gli attori della supply chain rispettino standard minimi di sicurezza informatica, contribuendo in modo concreto alla resilienza complessiva del sistema e alla protezione dell’intero ecosistema produttivo.

Un’attenzione particolare è riservata ai fornitori che intervengono su componenti critici o che incidono in modo significativo sull’architettura e sul funzionamento dei sistemi strategici. La selezione e la gestione di tali soggetti avvengono in conformità con i principali standard internazionali e con le normative di settore, garantendo piena coerenza tecnica e regolamentare.

Attraverso questo approccio, Fincantieri promuove un modello di sicurezza distribuita, capace di estendere la protezione cyber all’intera catena del valore, contribuendo a rafforzare l’affidabilità e la resilienza del sistema industriale nel suo complesso.

Fincantieri è impegnata nello sviluppo di soluzioni avanzate per la sicurezza informatica nei settori marittimo e subacqueo, adottando un approccio che integra visione strategica, competenze multidisciplinari e tecnologie emergenti.

Le aree di intervento includono, tra le altre, lo sviluppo di ambienti di simulazione cyber navale per la formazione e il testing, la protezione delle comunicazioni subacquee e la realizzazione di sistemi intelligenti per il monitoraggio della sicurezza sia a bordo che a terra.

In particolare, è in fase di progettazione una piattaforma Cyber Range Maritime, concepita per offrire un ambiente di simulazione immersivo in cui ricreare scenari di attacco realistici e addestrare l’equipaggio a rispondere efficacemente alle minacce cyber. Questa piattaforma consente altresì di testare in sicurezza nuove soluzioni di cyber security e di eseguire penetration test su reti virtualizzate, rappresentando un asset strategico per la preparazione alla gestione di minacce complesse, senza compromettere i sistemi reali.

La soluzione è progettata per supportare sia la formazione tecnica sia la validazione operativa.

Nel dominio underwater, Fincantieri sta sviluppando soluzioni avanzate per la protezione delle comunicazioni tra droni subacquei e tra questi ultimi e i centri di controllo. In un contesto caratterizzato da sfide quali la latenza, la profondità operativa e l’assenza di connettività stabile, vengono progettate tecnologie specifiche, in grado di garantire sicurezza e affidabilità anche di fronte a minacce future e in condizioni operative estreme.

Infine, sul fronte del cyber monitoring, Fincantieri sta sviluppando una suite completa per la sorveglianza continua della sicurezza informatica a bordo nave. La raccolta e l’analisi dei dati avvengono sia a bordo che a terra, garantendo una visione integrata dello stato di sicurezza dell’intera flotta. L’obiettivo è trasformare la gestione della sicurezza da un modello reattivo a uno proattivo, riducendo i tempi di risposta e incrementando la resilienza complessiva.

Le attività di Ricerca e Sviluppo vengono spesso condotte in sinergia con istituzioni pubbliche e centri di eccellenza. Negli ultimi anni, Fincantieri ha collaborato con realtà di rilievo nazionale quali le Fondazioni SERICS (SEcurity and RIghts in the CyberSpace), Cyber 4.0 e il Polo Nazionale della Subacquea (PNS).

Inoltre, ha partecipato a bandi internazionali di alto profilo, come quelli promossi dall’European Defence Fund (EDF) della Commissione Europea, ricevendo riconoscimenti per l’innovatività dei propri progetti da enti prestigiosi quali il Supreme Allied Commander Transformation (SACT) della NATO.

E-phors collabora attivamente con le istituzioni per contribuire al rafforzamento delle capacità di risposta alle minacce cyber più complesse e sofisticate. In tale ambito, sono stati avviati numerosi progetti nel settore della Difesa, finalizzati a potenziare la resilienza informatica delle principali piattaforme navali.

Le attività comprendono l’analisi approfondita degli scenari di minaccia avanzata, la definizione di misure di mitigazione efficaci e la formazione specialistica del personale. Quest’ultima è supportata da simulazioni realistiche di attacchi cyber, progettate per testare, in ambienti controllati, la prontezza operativa degli operatori e l’efficacia delle procedure di risposta. Tali esercitazioni attestano la solidità metodologica delle soluzioni adottate e l’elevata adattabilità operativa dei team coinvolti.

A integrazione di questo approccio, è stata sviluppata una piattaforma tecnologica avanzata per la protezione delle unità navali da attacchi informatici rivolti ai sistemi IT e OT di bordo. La soluzione è progettata per rilevare tempestivamente minacce cyber e attivare risposte mirate, anche in assenza di competenze specialistiche da parte del personale di bordo. Questa tecnologia nasce dalla consolidata esperienza nei processi di costruzione navale, dalla profonda conoscenza dei sistemi di bordo e da una costante attenzione alle esigenze operative dell’equipaggio, soprattutto in scenari ad alta criticità.

Anche in ambito civile, E-phors collabora attivamente con enti istituzionali quali le autorità portuali, contribuendo al rafforzamento delle misure di sicurezza digitale. In tale contesto, vengono promossi percorsi evolutivi finalizzati all’adeguamento della postura cyber, in linea con le minacce emergenti e con i requisiti definiti dall’Agenzia per la Cybersicurezza Nazionale.

Nell’ambito delle iniziative di sensibilizzazione e responsabilità digitale, è stata inoltre avviata una collaborazione con la Polizia Postale, partecipando a un webinar dedicato all’approfondimento di tematiche cyber di rilevanza sociale e di attualità. Tra gli argomenti trattati, particolare attenzione è stata riservata al fenomeno del cyberbullismo, affrontato attraverso un confronto aperto e costruttivo, con l’obiettivo di sensibilizzare e prevenire, soprattutto tra le fasce più giovani della popolazione. L’iniziativa ha rappresentato un'importante occasione di dialogo con un interlocutore istituzionale di riferimento nella tutela della sicurezza informatica e dei diritti digitali.