LA CIRCOLARE MIT N. 177/2025: CYBERSECURITY E OBBLIGHI DI FORMAZIONE NEL SETTORE MARITTIMO

Il crescente impiego di tecnologie digitali e sistemi automatizzati nella gestione della navigazione, della logistica e delle operazioni portuali ha prodotto enormi benefici in termini di efficienza e competitività, ma ha contestualmente ampliato la superficie di esposizione a minacce informatiche, introducendo vulnerabilità che non possono più essere considerate meramente ipotetiche.

La dipendenza dei sistemi di bordo dalla digitalizzazione e dall’interconnessione con reti esterne ha reso il cyber risk una variabile strutturale della sicurezza marittima, non più gestibile con approcci occasionali.

La Circolare MIT n. 177/2025, recante l’aggiornamento delle misure di sicurezza per le navi nazionali, le società di gestione ISM e i gestori di impianti portuali, con entrata in vigore fissata al 1° novembre 2026, si inserisce in un articolato contesto normativo previgente, strutturato su più livelli:

• a livello internazionale, la Convenzione SOLAS unitamente al Codice ISM rendono obbligatoria l’integrazione del cyber risk nel Safety Management System e il Codice ISPS, reso cogente in ambito europeo dal Regolamento (CE) n. 725/2004, impone, a sua volta, che la valutazione del rischio informatico costituisca parte integrante del Port Facility Security Assessment;
• a livello europeo, la Direttiva NIS2 (2022/2555/UE) introduce obblighi strutturati di gestione del rischio e di notifica degli incidenti per i soggetti essenziali e importanti, colmando il vuoto lasciato dalla Direttiva 2005/65/CE, che non contempla esplicitamente i rischi di natura cyber;
• a livello nazionale, il D.Lgs. 138/2024, di recepimento della Direttiva NIS2, si affianca al Programma Nazionale di Sicurezza Marittima (PNSM, Rev. 2), documento attuativo che raccorda gli obblighi sovranazionali con le procedure operative degli impianti italiani.

La Circolare 177/2025 si pone dunque come atto di sintesi applicativa e allineamento di tale quadro normativo, specificando il contenuto tecnico-organizzativo delle misure richieste e individuando con precisione scadenze, ruoli e responsabilità.

Sul piano operativo, la Circolare stabilisce obblighi precisi per compagnie di navigazione, comandanti, gestori di impianti portuali e autorità statali: integrazione delle misure cyber nei Safety Management System e nei piani di security delle navi, aggiornamento delle procedure interne, adozione di soluzioni tecniche e organizzative adeguate, predisposizione di processi strutturati di prevenzione, rilevazione, risposta e ripristino in caso di incidente informatico. La protezione dei sistemi non riguarda solo la dimensione tecnica: la Circolare richiede che governance, identificazione dei rischi, protezione dei sistemi e gestione degli incidenti siano elementi organicamente integrati nel sistema di gestione della sicurezza, non funzioni residuali affidate a iniziative spontanee.

Particolare rilievo assume la disciplina della formazione, che la Circolare individua come adempimento essenziale muovendo dalla premessa che il fattore umano è il principale vettore di rischio. Il sistema formativo è costruito per livelli progressivi. Il primo — definito “familiarizzazione” — è un obbligo generalizzato per tutto il personale, da completare entro sette giorni dall’imbarco o dall’assunzione dell’incarico, e mira a diffondere la consapevolezza di base sui rischi informatici. Il secondo livello riguarda il personale direttamente coinvolto nell’utilizzo dei sistemi critici individuati nel Cyber Risk Assessment e comprende buone pratiche digitali ed informatica, riconoscimento degli incidenti in corso e procedure di risposta e ripristino. Il terzo livello è dedicato agli utenti OT — il personale che opera sui sistemi di controllo dei processi fisici — con aggiornamenti periodici calibrati sull’evoluzione tecnologica. Il quarto e più elevato livello riguarda le figure responsabili: il Cyber Company Officer (CyCO), il Cyber Security Officer (CySO) e il Cyber Port Facility Security Officer (CyPFSO), che devono conseguire certificazioni professionali riconosciute a livello internazionale, scelte tra quelle specificamente indicate dalla Circolare — tra cui CISSP, CISM, GICSP e IEC 62443. Qualsiasi proposta formativa difforme deve essere sottoposta al Comando Generale VI Reparto e all’Autorità NIS Settore Trasporti per verifica di conformità.

La formazione, peraltro, non esaurisce gli obblighi in materia di consapevolezza: la Circolare impone che le conoscenze acquisite siano verificate attraverso esercitazioni e simulazioni di scenari di rischio, e che la loro efficacia sia oggetto di audit periodici integrati in quelli già previsti dai Codici ISM e ISPS.

La Circolare n. 177/2025 non è un mero aggiornamento di routine, bensì costituisce l’atto con cui l’Italia porta a compimento un percorso normativo avviato a livello internazionale ed europeo, traducendo in obblighi verificabili e sanzionabili ciò che fino ad oggi era rimasto nell’ambito della raccomandazione. Dal 1° novembre 2026 — data di entrata in vigore — ogni Company, nave e impianto portuale dovrà essere in grado di dimostrare, in sede di ispezione, di avere figure responsabili nominate e certificate, un risk assessment aggiornato, procedure integrate e personale formato. L’assenza di anche uno solo di questi elementi costituirà una non conformità accertabile, con dirette conseguenze sulla certificazione ISM e sulla responsabilità del Comandante e del DPA.

Per gli operatori del settore, i termini per l’adeguamento sono ormai definiti: non si tratta più di valutare l’opportunità di intervenire, ma di ottemperare a obblighi cogenti.

Avv. Elisabetta Ricchiuti

Dipartimento Transaction & Advisory | Data Protection Unit

MFLaw Milano

Il presente documento non costituisce un parere ed è stato redatto ai soli fini informativi dei clienti e dei lettori. È destinato a uso interno e non può essere divulgato a soggetti differenti dal destinatario senza preventiva autorizzazione scritta.