Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Per anni abbiamo parlato di resilienza digitale come se fosse una proprietà del software, dei firewall o, nei casi più illuminati, dei data center.
Il report europeo sulla Security and Resilience of EU Submarine Cable Infrastructures fa finalmente saltare questa illusione: la resilienza digitale europea passa da infrastrutture fisiche estremamente vulnerabili, spesso ignorate, quasi mai governate con un approccio di sicurezza integrato.
E il punto centrale, per chi si occupa di cybersecurity e governance del rischio, è uno solo: NIS2 e CER non sono normative “IT”. Sono normative di continuità operativa e sicurezza sistemica. I cavi sottomarini ne sono l’esempio perfetto.
La Direttiva NIS2 impone agli enti essenziali e importanti un cambio di paradigma chiaro: non più sicurezza come insieme di controlli tecnici, ma gestione strutturata del rischio, comprensiva di dipendenze critiche, supply chain e scenari di crisi. Il report sui cavi sottomarini si inserisce esattamente in questa logica. Quando la Commissione parla di:
sta applicando gli stessi principi che NIS2 richiede alle organizzazioni. Solo che lo fa su scala continentale. Un’interruzione di un cavo non è un incidente “di rete”. È un incidente rilevante ai sensi NIS2, perché impatta disponibilità, continuità dei servizi essenziali e, in alcuni casi, sicurezza nazionale.
La differenza è che qui il perimetro non è l’azienda, ma l’Europa.
La Direttiva CER (Critical Entities Resilience) completa ciò che NIS2 non copre del tutto: la dimensione fisica della resilienza. Ed è qui che il tema dei cavi sottomarini diventa esplosivo.
I cavi sono infrastrutture critiche a tutti gli effetti:
e soprattutto sono facili da colpire senza lasciare prove immediate. Il report europeo lo dice senza girarci troppo intorno: sabotaggi coordinati, danni accidentali, eventi naturali e attacchi ibridi fanno parte degli scenari realistici.
Esattamente il tipo di minacce che CER obbliga a considerare nei piani di resilienza. Non basta proteggere il landing station con una recinzione e una badge policy. La resilienza richiesta da CER implica:
e coordinamento pubblico-privato in caso di crisi.
Se questo ti ricorda un business continuity plan fatto bene, è perché lo è.
Il termine “resilienza” viene spesso abusato. In questo report, invece, assume un significato molto concreto: resistere, assorbire il colpo, continuare a funzionare. La Commissione introduce un concetto chiave che dovrebbe far riflettere molti CDA: alcune infrastrutture non saranno mai protette al 100%, quindi l’unica strategia sensata è progettare il fallimento.
Ridondanza delle rotte, architetture a maglia, diversificazione geografica, capacità di intervento rapido: sono gli stessi principi che applichiamo in ambito cyber quando parliamo di zero trust, fault tolerance e disaster recovery.
Solo che qui il “disaster” è una dorsale tranciata a migliaia di metri di profondità. Il collegamento con NIS2 è diretto: la direttiva chiede di dimostrare che l’organizzazione è in grado di gestire l’impatto, non di promettere che l’incidente non avverrà. Il report sui cavi fa la stessa cosa, ma a livello di Unione.
C’è poi un aspetto che il report affronta con una chiarezza rara nei documenti UE: la supply chain è una questione di sicurezza.
Non solo per il software. Anche, e soprattutto, per le infrastrutture fisiche.
Ridurre la dipendenza da fornitori non europei, controllare la proprietà delle navi di manutenzione, evitare che asset strategici finiscano sotto influenza ostile: tutto questo è perfettamente allineato allo spirito di NIS2 e CER, anche se spesso viene ignorato nelle implementazioni aziendali.
Il messaggio è implicito ma durissimo: non puoi dichiararti resiliente se non controlli le tue dipendenze critiche.
Questo report segna un punto di non ritorno. La cybersecurity europea non è più confinata a SOC, SIEM e playbook di incident response. È una disciplina che incrocia infrastrutture fisiche, geopolitica, supply chain e capacità industriale.
NIS2 e CER non sono esercizi di compliance. Sono strumenti per sopravvivere in uno scenario di instabilità strutturale. I cavi sottomarini lo dimostrano in modo brutale: senza resilienza fisica, il digitale non esiste.
Chi oggi siede in un CDA e continua a pensare alla sicurezza come a un problema IT, sta semplicemente guardando la parte sbagliata dell’oceano.
