Direttive per la sicurezza - Strade & Autostrade Online

NIS2 e CER, due nuove Direttive UE a tutela della sicurezza e della resilienza delle infrastrutture critiche

Le nuove Norme hanno lo scopo di rafforzare il livello di preparazione e sicurezza delle infrastrutture critiche di fronte a una serie di minacce, tra cui i rischi naturali, gli attacchi terroristici, le minacce interne o il sabotaggio, nonché le emergenze sanitarie come la recente pandemia di Covid-19.

Il 17 Gennaio scorso sono state pubblicate due importanti Direttive dell’UE: la Direttiva CER (Critical Entities Resilience) e la Direttiva NIS2 (Network and information system security); gli Stati Membri hanno 21 mesi per recepirle ed attuarle (entro Ottobre 2024).

Nell’ambito del sistema infrastrutturale dei trasporti e della mobilità, al di là degli ambiti più ordinari (ovvero i sistemi di gestione interna, degli apparati, dei sistemi hardware e software, ecc.), non è difficile pensare quali ripercussioni si possono avere nei casi di semplice malfunzionamento oppure di blocco di questi sistemi pensando che oggi nella mobilità e nei trasporti le infrastrutture del comparto ICT (Information and Communication Technologies) svolgono un ruolo fondamentale.

Solo alcuni esempi per dare un’idea: auto connessa, guida automatica, controllo e monitoraggio di ponti e gallerie, sistemi di gestione del traffico e della sicurezza stradale, nella logistica, ecc.. L’esposizione al rischio cybersecurity è molto alto sia che si tratti di un semplice guasto piuttosto che di un attacco informatico.

La NIS2 sostituisce la Direttiva 114/08 sull’identificazione e designazione delle infrastrutture critiche europee affrontando il tema della loro resilienza rispetto a minacce cinetiche sia naturali che antropiche, volontarie o involontarie, ivi comprese le minacce di stampo terroristico.

La NIS2 costituisce il primo tentativo di rafforzare il livello globale di cybersicurezza nella UE e di determinare una base di garanzie destinate a sviluppare un ecosistema di fiducia.

Questo mettendo l’accento sugli Operatori dei Servizi Essenziali (OSE), ovvero quelle Aziende che forniscono un servizio essenziale la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia o della società.

La NIS2 si occupa infatti della sicurezza cyber delle entità critiche e altamente critiche specie in relazione ai flussi digitali post pandemia che hanno visto il considerevole aumento di traffico nella rete e delle relative possibilità di esposizione agli attacchi. I nuovi provvedimenti mirano ad ampliare i settori di attività, finendo per coinvolgere un numero e una varietà sempre maggiore di organizzazioni.

Tra i capisaldi implementati nella Direttiva NIS2 possiamo citare:

rideterminazione e ampliamento dell’ambito di applicazione delle Norme in materia di sicurezza dei dati;
potenziamento degli Organi e delle attività di supervisione a livello comunitario, con l’obiettivo di migliorare la collaborazione per contrastare la minaccia informatica globale, grazie alla condivisione delle esperienze tra gli Stati membri;
razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici;
estensione dei concetti di gestione del rischio e di valutazione delle vulnerabilità a tutta la supply chain, coinvolgendo tutti o un maggior numero di Stakeholder.

L’ampliamento delle responsabilità per i soggetti interessati

L’ampliamento delle responsabilità costituisce una delle novità più importanti che la Direttiva NIS2 dovrebbe portare sui tavoli normativi dei Paesi membri.

In altri termini, nella malaugurata ipotesi in cui dovesse verificarsi un incidente di sicurezza informatica, a risponderne non sarà più soltanto l’Azienda titolare del servizio, ma anche gli altri Stakeholder che intervengono lungo la supply chain.

In via provvisoria e al netto del recepimento che dovranno effettuare i singoli Paesi membri, la nuova Direttiva NIS2 prevede il coinvolgimento dei seguenti settori di attività:

infrastrutture digitali e digital provider;
finanza;
salute;
reti idriche;
energia;
oil & gas;
trasporti;
pubblica amministrazione;
reti e servizi per la comunicazione elettronica pubblica;
servizi postali;
aerospace;
prodotti medicali, prodotti chimici, prodotti farmaceutici e dispositivi medicali;
rifiuti;
filiera agro-alimentare;
data center, social network e così via.

Bandiere Unione Europea — 2. Bandiere dell’Unione Europea

I requisiti minimi previsti dalla Direttiva NIS2

Oltre a definire i settori di attività da disciplinare, la Direttiva NIS2 prevede l’elenco dei requisiti minimi che i soggetti coinvolti saranno chiamati a:

analizzare e valutare i rischi di sicurezza dei sistemi informativi con operazioni di vulnerability assessment, penetration test, ecc.;
gestire gli incidenti di sicurezza informatici con un piano e un’attività di monitoraggio continuo e incident response;
dotarsi di un piano di continuità di business e gestione delle crisi;
testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate;
assicurare la sicurezza delle supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza.

È evidente come l’obiettivo del Legislatore sia mirato, pur con molta gradualità, ad estendere la cultura e gli obblighi in materia di sicurezza informatica a tutti gli attori coinvolti, per creare un clima di responsabilità condivisa nei confronti della gestione del rischio e dell’adozione delle necessarie misure di prevenzione e rimedio agli attacchi informatici.

Nella CER è stato aggiornato l’impianto normativo che mira ad aumentare la resilienza delle stesse infrastrutture. Le infrastrutture stradali e dei trasporti rientrano nei settori che svolgono un ruolo strategico per il nostro Paese e quindi per l’Europa. Il Provvedimento prevede nuove misure per garantire un elevato livello comune di cybersicurezza ed effettua un focus sulle minacce online e offline, ampliando i campi di applicazione.

Ad oggi, in Italia, la Normativa di riferimento nazionale in materia di sicurezza dei dati è rappresentata dalla Legge 4 Agosto 2021, n° 109 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.

Tale Normativa ha recepito a livello nazionale la Direttiva NIS 2016/1148 (NIS1) “Sulla sicurezza delle reti e dei sistemi informativi”, con cui la Commissione europea ha posto le basi necessarie per normare e disciplinare gli aspetti essenziali della sicurezza informatica.

La Direttiva NIS1 metteva l’accento sugli Operatori dei servizi essenziali (Ose): quelle Aziende che, secondo la definizione dell’Anssi “forniscono un servizio essenziale la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia o della società”.

Vista la trasformazione della minaccia, l’evoluzione del testo è stata inevitabile, in particolare per ampliare il campo di applicazione e preparare le Aziende alle sfide attuali e future della cybersicurezza. È questa la constatazione che ha portato la Commissione a proporre una revisione della Direttiva, sotto il nome di NIS2.

I presupposti

L’aggiornamento della Direttiva NIS1 ha tratto origine dall’avanzamento della digital transformation, dei servizi pervasivi e delle tecnologie abilitanti, quali l’IoT, il 5G e le reti mobili di futura generazione.

L’incremento negli ultimi anni dei crimini informatici, la recente pandemia e il conflitto russo-ucraino, combattuto anche nella dimensione cyber, hanno inoltre messo in chiara evidenza delle effettive debolezze a livello ICT soprattutto delle Imprese e degli Enti pubblici che governano i macro-settori dei servizi di ogni Paese nelle sue varie forme, rendendo per questo tale aggiornamento improcrastinabile.

Sono queste le vere motivazioni che hanno indotto l’UE ad adottare un aggiornamento della NIS1 per tutelare i sistemi ICT e nello specifico andare a beneficio nei macro-settori come il sistema dei trasporti e della mobilità con tutte le loro innumerevoli implicazioni.

Si immagini che valenza possa avere un cyber attacco nel sistema di gestione dei trasporti, della mobilità, del controllo dei sistemi di sicurezza delle infrastrutture.

Al di là del contesto in cui la Direttiva NIS2 sta muovendo i propri passi, l’elemento più significativo è la dichiarata volontà delle Autorità europee di consolidare una Norma generale con la quale si armonizzano i principi giuridici e gli aspetti organizzativi degli Stati membri, stimolando un approccio operativo alla gestione del rischio.

La NIS2 reca nuove regole per definire un comune ed elevato livello di cybersecurity in tutta l’Unione, al fine di migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti informatici sia del settore pubblico che privato dei singoli Stati membri, sia dell’UE nel suo complesso.

La NIS2 prevede requisiti più stringenti per Imprese, Amministrazioni e Stati in termini di gestione del rischio, obblighi di segnalazione e condivisione delle informazioni, facendo chiarezza sugli equilibri tra la Direttiva e le Norme europee in materia di privacy (GDPR ed ePrivacy) che attualmente rappresentano un freno alla condivisione delle informazioni tra i Paesi.

L’ampliamento del campo di applicazione

La NIS2 obbliga specifiche categorie ad adottare misure tecniche e organizzative per gestire i rischi sulla sicurezza delle reti e dei sistemi informativi. L’Annex I della nuova Direttiva elenca i soggetti essenziali (vedi sopra).

L’Annex II invece identifica i soggetti importanti: servizi postali e corrieri, gestione dei rifiuti, produzione e distribuzione di prodotti chimici, produzione, lavorazione e distribuzione di alimenti, produzione di apparecchiature medicali e fornitori digitali (intesi come provider di motori di ricerca online, di piattaforme di servizi di Social Network e di mercati online).

Ai soggetti essenziali si applica un rigoroso regime di vigilanza ex ante, mentre i soggetti importanti sono sottoposti a una vigilanza ex post che interviene in caso di rilievi o segnalazioni di non conformità. A tal fine, NIS2 definisce i meccanismi per un’efficace collaborazione tra le Autorità competenti di ciascuno Stato membro.

La gestione del rischio

La Direttiva NIS2 richiede che le misure siano “appropriate” e “proporzionate” in relazione anche alla dimensione dei soggetti; tuttavia, essa aggiunge una serie di elementi minimi di sicurezza che devono essere previsti in ogni caso, e che saranno stabiliti mediante specifiche tecniche e metodologiche emanate dalla Commissione Europea.

Gli obblighi di notifica di incidenti di sicurezza saranno ampliati, indicando ciò che deve essere segnalato, a quale istituzione ed entro quali tempi. In continuità con la NIS1, i soggetti devono segnalare alle Autorità competenti o al CSIRT nazionale qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi.

Inoltre, secondo NIS2 le entità saranno tenute a segnalare anche qualsiasi minaccia informatica che potrebbe aver potenzialmente provocato un incidente significativo (o near miss). I controlli sono classificati in quattro macro-temi che coincidono con i tradizionali pilastri a cui è associata la sicurezza delle informazioni: controlli organizzativi, fisici, tecnologici e delle persone.

CER: che cosa cambia?

Oltre alla Direttiva NIS2, è stata pubblicata la Direttiva UE sulla resilienza delle infrastrutture critiche (CER). La CER è una Direttiva risk based che fornisce indicazioni sulla identificazione delle entità critiche soprattutto di livello europeo e la costituzione di missioni di supporto agli Stati Membri dell’Unione, definisce le misure minime per raggiungere un grado di resilienza e stabilisce procedure comuni per il reporting e la cooperazione tra Stati.

La nuova Normativa stabilisce l’obbligo per gli Stati membri di:

adottare misure volte a garantire la fornitura, nel mercato interno, dei servizi essenziali per la società e individuare i soggetti critici;
rafforzare la loro resilienza e la loro capacità operativa;
fissare regole sulla vigilanza e sull’applicazione delle Norme nei confronti dei tali Enti.

Ogni Paese UE è chiamato ad adottare una sua strategia nazionale, ha l’onere di indicare una o più Autorità competenti responsabili della corretta applicazione e del rispetto della Direttiva a livello nazionale e dovrà designare, all’interno dell’Autorità competente, un unico punto di contatto per assicurare la cooperazione transfrontaliera con le Autorità competenti degli altri Stati membri.

Gli Stati membri devono assicurarsi che i soggetti critici adottino misure tecniche e organizzative per garantire la loro resilienza, ivi comprese quelle di:

prevenzione degli incidenti;
protezione fisica delle aree sensibili;
mitigazione delle conseguenze degli incidenti;
recupero dagli incidenti;
gestione della sicurezza dei dipendenti;
aumento della consapevolezza tra il personale.

Una novità introdotta dalla Direttiva è la creazione del Gruppo per la resilienza delle infrastrutture critiche, che ha il compito di supportare la Commissione nella cooperazione strategica e nello scambio di informazioni nonché la funzione di valutare le varie strategie e di coadiuvare gli Stati nell’individuazione delle infrastrutture critiche.

Infine, la Direttiva prevede apposite misure affinché le Autorità competenti dei vari Paesi possano valutare l’applicazione della Normativa da parte delle entità critiche attraverso ispezioni in loco e audit.

Il piano di azione dell’UE

Azioni a livello dell’Unione

La Commissione intende rafforzare la cooperazione tra gli esperti degli Stati membri per contribuire ad aumentare la resilienza fisica non informatica dei soggetti che gestiscono infrastrutture critiche e in particolare:

preparare lo sviluppo e la promozione di strumenti comuni per sostenere gli Stati membri nel rafforzamento di tale resilienza, comprese metodologie e scenari di rischio;
sostenere la definizione di principi comuni per la realizzazione delle prove di stress da parte degli Stati membri, a cominciare da prove incentrate sui rischi di origine umana nel settore dell’energia e successivamente in altri settori chiave quali le infrastrutture digitali, i trasporti e lo spazio;
affrontare altri rischi e pericoli significativi;
fornire sostegno e consulenza in merito allo svolgimento di tali prove di stress;
fornire una piattaforma sicura per raccogliere, valutare e condividere le migliori pratiche, gli insegnamenti tratti dalle esperienze nazionali e altre informazioni relative a tale resilienza, anche per quanto riguarda lo svolgimento delle prove di stress e la traduzione dei risultati in protocolli e piani di emergenza. Il lavoro di tali esperti dovrebbe prestare particolare attenzione alle dipendenze intersettoriali e ai soggetti che gestiscono infrastrutture critiche con rilevanza transfrontaliera e dovrebbe essere proseguito dal gruppo per la resilienza dei soggetti critici una volta istituito.

Azioni a livello degli Stati membri

Gli Stati membri dovrebbero:

coordinare la loro risposta e mantenere una visione d’insieme della risposta intersettoriale alle perturbazioni significative della fornitura di servizi essenziali da parte dei soggetti che gestiscono infrastrutture critiche, nel quadro del meccanismo di crisi (IPCR) del Consiglio per quanto riguarda le infrastrutture critiche di rilevanza transfrontaliera, del programma per gli incidenti e le crisi di cybersicurezza su vasta scala o del quadro per una risposta coordinata alle campagne ibride ove pertinente;
intensificare lo scambio di informazioni nell’ambito del meccanismo unionale di protezione civile al fine di rendere più efficace l’allarme rapido e coordinare la loro risposta nell’ambito del meccanismo in caso di perturbazioni significative, così da reagire più rapidamente, se necessario con il sostegno dell’Unione;
aumentare la capacità di reagire prontamente, attraverso il meccanismo unionale di protezione civile, a tali perturbazioni significative, in particolare laddove possano avere implicazioni significative a livello transfrontaliero o addirittura paneuropeo, nonché intersettoriale;
collaborare con la Commissione per sviluppare ulteriormente i pertinenti mezzi di risposta nell’ambito del pool europeo di protezione civile (ECPP) e di rescEU;
invitare i soggetti che gestiscono infrastrutture critiche e le Autorità nazionali competenti a rafforzare la capacità di tali soggetti di ripristinare rapidamente le prestazioni di base di servizi essenziali;
garantire che, quando è necessario ricostruire le infrastrutture critiche, le nuove siano resilienti nei confronti dell’intera gamma di rischi significativi a cui sono esposte, anche in scenari climatici avversi.

La proposta di raccomandazione è il rafforzamento della capacità dell’Unione di anticipare, prevenire e rispondere alle nuove minacce derivanti dalla guerra di aggressione della Russia nei confronti dell’Ucraina.

È importante osservare che i recenti avvenimenti hanno anche sottolineato l’incalzante necessità di prestare maggiore attenzione alle conseguenze dei cambiamenti climatici sulle infrastrutture e sui servizi critici in termini, ad esempio, di disponibilità idriche stagionali compromesse e non prevedibili per il raffreddamento delle centrali nucleari, le centrali idroelettriche e la navigazione interna o rischio di danni materiali alle infrastrutture di trasporto, che possono causare gravi perturbazioni dei servizi essenziali.

Si rafforza la resilienza dei sistemi critici

Con la copertura di 11 settori cruciali, questa Legislazione risponderà sia alle sfide della crisi climatica sia al crescente numero di sabotaggi nell’Unione Europea. Le infrastrutture critiche dell’UE devono rimanere resistenti a tali minacce.

L’allargamento dei settori protetti

La precedente Direttiva sulle infrastrutture critiche copriva solo i settori dell’energia e dei trasporti. È stata inoltre assicurata la coerenza della nuova Legislazione con la succitata Direttiva sulla cybersicurezza (NIS2).

La Direttiva CER obbliga gli Stati membri UE a individuare una o più Autorità nazionali per la realizzazione della Direttiva stessa. In Italia si potrebbe pensare di realizzare un’Agenzia omologa dell’Agenzia cyber, con competenze sulla sicurezza cinetica, oppure ampliare le competenze dell’ACN.

La CER, fra le altre cose, riporta l’obbligo, per gli Stati Membri, di individuare una o più Autorità nazionali per la realizzazione della Direttiva stessa e di quanto in essa previsto.

In particolare, la Direttiva recita che ogni Stato membro designa o istituisce una o più Autorità competenti responsabili della corretta applicazione e, se necessario, dell’esecuzione delle Norme della presente Direttiva a livello nazionale che dovrà, oltre al resto, consultarsi con le altre Autorità nazionali competenti, comprese quelle responsabili della protezione civile, delle attività di contrasto e della protezione dei dati personali e con le Autorità competenti di cui alla Direttiva (UE) 2022/2555 (NIS2) sui rischi di cybersecurity.

Il punto di vista di ANSFISA nella protezione e nella resilienza delle infrastrutture nazionali

Il 14 Febbraio scorso, si è svolto un Workshop organizzato nella sede del CNEL, ENEA e INGV, nell’ambito del quale ENEA ha presentato anche l’iniziativa EISAC.it (European Infrastructure Simulation and Analysis Centre, nodo Italiano), un accordo di programma per lo sviluppo e l’erogazione di tecnologie per il supporto al monitoraggio e all’analisi del rischio fisico per le infrastrutture ritiche nazionali.

Il Workshop ha visto la partecipazione di chi è coinvolto quotidianamente in questo lavoro sia in termini di ricerca scientifica, sia in termini di regolamentazione, supervisione e responsabilità funzionale.

La Direttiva CER richiede una capacità di risposta pronta e univoca anche in considerazione dei fenomeni dirompenti in atto: il cambiamento climatico e i suoi impatti su eventi idrogeologici e sismici, i problemi di invecchiamento delle infrastrutture e delle reti mentre parallelamente si deve compiere la transizione energetica e quella digitale.

Sia che si parli di terremoti, frane, eruzioni, alluvioni, o di minacce di specie antropica, la Direttiva mette al centro la valutazione del rischio che, vista la complessità dei fenomeni, deve essere strutturata in maniera dinamica e sistematica.

In linea con questo orientamento generale, ANSFISA – rappresentata da Emanuele Renzi che guida la Direzione Generale per la sicurezza delle infrastrutture stradali e autostradali – ha voluto ribadire il grande sforzo che si sta facendo per spostare lo sguardo dal singolo asset all’intero funzionamento del sistema, ponendo attenzione ai processi, alla pianificazione, alla programmazione.

Anche le ordinarie attività di supervisione si devono basare su valutazioni solide e concrete perché emergenti da elementi di conoscenza e strumenti sistemici. Tra le sfide più grandi, quella della qualificazione degli operatori che questi strumenti e questa conoscenza devono gestire e utilizzare.

Tutti gli interventi si sono concentrati sull’importanza di partire da una visione di insieme, di coltivare un approccio olistico, di promuovere dialogo e scambio fra coloro che si occupano di questi temi, mettendo a fattor comune conoscenze ed esperienze, anche per evitare la lievitazione dei costi e la duplicazione degli oneri.

Il percorso condiviso è quello di alimentare una collaborazione costruttiva sempre più ampia per condividere i dati, per individuare un linguaggio omogeneizzato, per sviluppare gli strumenti di supporto alla conoscenza necessari a realizzare un sistema di supporto alle decisioni efficace e ottimizzato.

Cookie	Durata	Descrizione
_pk_id	13 mesi	usato per memorizzare alcuni dettagli sull'utente come l'ID unico del visitatore
_pk_ses	30 minuti	cookie di breve durata utilizzati per memorizzare temporaneamente i dati per la visita
_pk_testcookie_domain	1 min	utilizzato per verificare se il browser del visitatore supporta i cookie
cli_user_preference	1 anno	Tiene traccia dei consensi dei cookie per il dominio corrente.
cookielawinfo-checkbox-*	1 ora	Memorizza il consenso ai cookie dell'utente.
cookielawinfo-checkbox-marketing	1 anno	Viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Marketing".
cookielawinfo-checkbox-necessary	1 anno	Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Necessario".
cookielawinfo-checkbox-statistiche	1 anno	Memorizza il consenso ai cookie per statistiche dell'utente
CookieLawInfoConsent	1 settimana	Memorizza lo stato del pulsante predefinito della categoria corrispondente. Funziona solo in coordinamento con il cookie primario, viewed_cookie_policy.
PHPSESSID	Sessione	Preserva gli stati dell'utente nelle diverse pagine del sito. Si attiva all'arrivo sul sito e viene eliminato quando si esce. Non contiene alcuna informazione di identificazione personale.
viewed_cookie_policy	1 ora	Questi cookie vengono utilizzati per visualizzare l’informativa sull’utilizzo dei cookie. Non registrano alcuna informazione di identificazione personale.

Cookie	Durata	Descrizione
__gads	1 anno 24 giorni	Questo cookie è impostato da Google e memorizzato sotto il nome dounleclick.com. Questo cookie viene utilizzato per tracciare quante volte gli utenti vedono una determinata pubblicità, il che aiuta a misurare il successo della campagna e a calcolare le entrate generate dalla campagna stessa. Questi cookie possono essere letti solo dal dominio su cui sono impostati, quindi non tracceranno alcun dato durante la navigazione in altri siti.
GoogleAdServingTest	Sessione	Questo cookie viene utilizzato per determinare quali annunci sono stati mostrati al visitatore del sito web.
GPS	2 anni	YouTube
IDE	2 anni	Utilizzato da Google DoubleClick per registrare e produrre resoconti sulle azioni dell'utente sul sito dopo aver visualizzato o cliccato una delle pubblicità dell'inserzionista al fine di misurare l'efficacia di una pubblicità e presentare pubblicità mirata all'utente.
test_cookie	1 giorno	Utilizzato da Google per verificare se il browser dell'utente supporta i cookie.
VISITOR_INFO1_LIVE	5 mesi	Cerca di stimare la larghezza di banda degli utenti sulle pagine con video YouTube integrati.
YSC	Sessione	Registra un ID univoco per statistiche legate a quali video YouTube sono stati visualizzati dall'utente.
yt-remote-connected-devices	Persistente	Memorizza le preferenze del lettore video dell'utente usando il video YouTube incorporato.
yt-remote-device-id	Persistente	Memorizza le preferenze del lettore video dell'utente usando il video YouTube incorporato.

Cookie	Durata	Descrizione
_ga	2 anni	Utilizzato da Google Analytics per generare dati statistici in forma anonima su come il visitatore utilizza il sito internet.
_gat	1 giorno	Utilizzato da Google Analytics e Google Tag Manager per generare dati statistici in forma anonima su come il visitatore utilizza il sito internet.
_gat_gtag_UA_#	1 ora	Utilizzato da Google Analytics e Google Tag Manager per generare dati statistici in forma anonima su come il visitatore utilizza il sito internet.
_gat_gtag_UA_19362258_1	1 ora	Questo cookie è impostato da Google e viene utilizzato per distinguere gli utenti.
_gid	1 giorno	Utilizzato da Google Analytics per generare dati statistici in forma anonima su come il visitatore utilizza il sito internet.
CONSENT	2 anni	Questi cookie sono impostati tramite video youtube incorporati. Essi registrano dati statistici anonimi su, ad esempio, quante volte viene visualizzato il video e quali impostazioni vengono utilizzate per la riproduzione.Non vengono raccolti dati sensibili, a meno che non si acceda al proprio account google, in quel caso le scelte sono collegate al proprio account, ad esempio se si fa clic su "mi piace" su un video.

Direttive per la sicurezza delle infrastrutture

Provvedimenti fondamentali a tutela delle infrastrutture critiche in ambito europeo