Controllo e Monitoraggio della Rete: la Nuova Postura di Sicurezza degli Impianti Connessi

Gli aggiornamenti Terna agli Allegati A.13, A.69 e A.52 nel quadro europeo di resilienza cyber, NIS2, CRA e Perimetro di Sicurezza Nazionale Cibernetica

Questo articolo interpreta gli aggiornamenti Terna agli Allegati A.13, A.69 e A.52 del Codice di Rete come un segnale di rafforzamento strutturale della postura di sicurezza richiesta agli impianti connessi alla rete elettrica. La tesi centrale è che tali aggiornamenti non siano una semplice revisione documentale, ma il passaggio verso un modello in cui controllo, monitoraggio, telecomunicazioni, disponibilità operativa e cybersecurity diventano dimensioni inseparabili dell’architettura di impianto. I tre allegati intervengono su oggetti formalmente distinti ma sostanzialmente convergenti. L’Allegato A.13 disciplina la connessione al sistema di controllo di Terna; l’Allegato A.69 regola la connessione degli impianti di produzione al sistema di difesa; l’Allegato A.52 definisce le caratteristiche funzionali e di comunicazione dell’UPDM. Considerati insieme, essi descrivono un impianto non più come infrastruttura elettrica con un canale dati aggiunto, ma come sistema cyber-fisico governato end-to-end, nel quale apparati, reti, misure, comandi, collaudi, manutenzione e sicurezza devono essere coerenti con il ruolo sistemico dell’impianto. La prima direttrice di cambiamento riguarda il perimetro tecnico. Il livello a 36 kV assume una rilevanza esplicita, soprattutto per impianti di produzione, accumulo e consumo/autoconsumo connessi direttamente o indirettamente alla RTN. Questo incide in modo particolare su BESS, impianti rinnovabili e configurazioni ibride, perché porta dentro la disciplina Terna impianti che non possono più essere trattati come casi minori o assimilati per analogia agli impianti AT tradizionali. La seconda direttrice riguarda la rete di comunicazione. Gli allegati spostano il baricentro da una nozione generica di collegamento dati a una nozione più rigorosa di infrastruttura TLC/OT soggetta a requisiti architetturali, prestazionali e di governance. MPLS, router conformi all’architettura Terna, funzione di switching integrata, BGP, IPSec ove previsto, indirizzamento governato, assenza di switch esterni intermedi e connessioni fisiche dedicate in fibra ottica diventano elementi di progetto, non dettagli esecutivi. La terza direttrice riguarda la conduzione operativa. Gli aggiornamenti introducono requisiti di ciclo di vita: adeguamento degli impianti esistenti, finestre transitorie, migrazione tecnologica, esenzioni condizionate, collaudi tecnici, documentazione, monitoraggio proattivo, gestione dei guasti, H24 e responsabilità verso provider, O&M contractor, telco, integratori e fornitori di apparati. La conformità Terna non si esaurisce quindi nel commissioning, ma deve essere mantenuta, verificata e documentata durante l’intero esercizio. L’Allegato A.13 viene letto come il passaggio dal telecontrollo alla connessione operativa dell’impianto. L’Allegato A.69 formalizza invece il sistema di difesa come catena OT/TLC/cyber, con particolare rilievo per impianti a 36 kV e sistemi elettrochimici di accumulo, nei quali EMS, BMS e PCS devono essere integrati con misure, comandi e vincoli temporali coerenti con i requisiti Terna. L’Allegato A.52 porta il ragionamento sull’UPDM, che diventa un componente cyber-fisico critico: doppia Ethernet, alta affidabilità, IEC 61850, segregazione, secure boot, firma del firmware, RADIUS, RBAC, logging, patching e gestione vulnerabilità. L’articolo colloca infine questa evoluzione nella traiettoria regolatoria europea. NIS2, DORA, Cyber Resilience Act e Perimetro di Sicurezza Nazionale Cibernetica convergono verso una stessa direzione: la cybersecurity non è più un presidio specialistico esterno ai processi industriali, ma un requisito ordinario di continuità operativa, governance, responsabilità e resilienza delle filiere critiche. In un contesto in cui automazione, crime-as-a-service, AI generativa, supply chain attack e sfruttamento di sistemi legacy abbassano il costo unitario dell’attacco, anche operatori e fornitori un tempo sotto la soglia di interesse diventano bersagli rilevanti. La conclusione operativa è che il perimetro Terna deve essere portato dentro il progetto dell’impianto fin dall’inizio. La domanda non è più se l’impianto disponga di un canale verso Terna, ma se possieda una catena end-to-end, fisica, logica, funzionale e cyber, capace di sostenere controllo, monitoraggio, difesa, collaudo, manutenzione, auditabilità e continuità per tutto il ciclo di vita.
cybersecurity
🇮🇹
Author

Antonio Montano

Published

May 16, 2026

Modified

May 16, 2026

Questo articolo interpreta gli aggiornamenti Terna agli Allegati A.13, A.69 e A.52 del Codice di Rete come un segnale di rafforzamento strutturale della postura di sicurezza richiesta agli impianti connessi alla rete elettrica. La tesi centrale è che tali aggiornamenti non siano una semplice revisione documentale, ma il passaggio verso un modello in cui controllo, monitoraggio, telecomunicazioni, disponibilità operativa e cybersecurity diventano dimensioni inseparabili dell’architettura di impianto. I tre allegati intervengono su oggetti formalmente distinti ma sostanzialmente convergenti. L’Allegato A.13 disciplina la connessione al sistema di controllo di Terna; l’Allegato A.69 regola la connessione degli impianti di produzione al sistema di difesa; l’Allegato A.52 definisce le caratteristiche funzionali e di comunicazione dell’UPDM. Considerati insieme, essi descrivono un impianto non più come infrastruttura elettrica con un canale dati aggiunto, ma come sistema cyber-fisico governato end-to-end, nel quale apparati, reti, misure, comandi, collaudi, manutenzione e sicurezza devono essere coerenti con il ruolo sistemico dell’impianto. La prima direttrice di cambiamento riguarda il perimetro tecnico. Il livello a 36 kV assume una rilevanza esplicita, soprattutto per impianti di produzione, accumulo e consumo/autoconsumo connessi direttamente o indirettamente alla RTN. Questo incide in modo particolare su BESS, impianti rinnovabili e configurazioni ibride, perché porta dentro la disciplina Terna impianti che non possono più essere trattati come casi minori o assimilati per analogia agli impianti AT tradizionali. La seconda direttrice riguarda la rete di comunicazione. Gli allegati spostano il baricentro da una nozione generica di collegamento dati a una nozione più rigorosa di infrastruttura TLC/OT soggetta a requisiti architetturali, prestazionali e di governance. MPLS, router conformi all’architettura Terna, funzione di switching integrata, BGP, IPSec ove previsto, indirizzamento governato, assenza di switch esterni intermedi e connessioni fisiche dedicate in fibra ottica diventano elementi di progetto, non dettagli esecutivi. La terza direttrice riguarda la conduzione operativa. Gli aggiornamenti introducono requisiti di ciclo di vita: adeguamento degli impianti esistenti, finestre transitorie, migrazione tecnologica, esenzioni condizionate, collaudi tecnici, documentazione, monitoraggio proattivo, gestione dei guasti, H24 e responsabilità verso provider, O&M contractor, telco, integratori e fornitori di apparati. La conformità Terna non si esaurisce quindi nel commissioning, ma deve essere mantenuta, verificata e documentata durante l’intero esercizio. L’Allegato A.13 viene letto come il passaggio dal telecontrollo alla connessione operativa dell’impianto. L’Allegato A.69 formalizza invece il sistema di difesa come catena OT/TLC/cyber, con particolare rilievo per impianti a 36 kV e sistemi elettrochimici di accumulo, nei quali EMS, BMS e PCS devono essere integrati con misure, comandi e vincoli temporali coerenti con i requisiti Terna. L’Allegato A.52 porta il ragionamento sull’UPDM, che diventa un componente cyber-fisico critico: doppia Ethernet, alta affidabilità, IEC 61850, segregazione, secure boot, firma del firmware, RADIUS, RBAC, logging, patching e gestione vulnerabilità. L’articolo colloca infine questa evoluzione nella traiettoria regolatoria europea. NIS2, DORA, Cyber Resilience Act e Perimetro di Sicurezza Nazionale Cibernetica convergono verso una stessa direzione: la cybersecurity non è più un presidio specialistico esterno ai processi industriali, ma un requisito ordinario di continuità operativa, governance, responsabilità e resilienza delle filiere critiche. In un contesto in cui automazione, crime-as-a-service, AI generativa, supply chain attack e sfruttamento di sistemi legacy abbassano il costo unitario dell’attacco, anche operatori e fornitori un tempo sotto la soglia di interesse diventano bersagli rilevanti. La conclusione operativa è che il perimetro Terna deve essere portato dentro il progetto dell’impianto fin dall’inizio. La domanda non è più se l’impianto disponga di un canale verso Terna, ma se possieda una catena end-to-end, fisica, logica, funzionale e cyber, capace di sostenere controllo, monitoraggio, difesa, collaudo, manutenzione, auditabilità e continuità per tutto il ciclo di vita.

Introduzione: tre allegati, una sola direzione architetturale

L’avviso di aggiornamento del Codice di Rete pubblicato da Terna nel maggio 2026 non va letto come una normale manutenzione documentale.1 Gli Allegati A.13, A.69 e A.52 intervengono su oggetti formalmente distinti: il sistema di controllo, il sistema di difesa e l’unità periferica dei sistemi di difesa e monitoraggio. Tuttavia, se osservati dal punto di vista del disegno e della conduzione degli impianti, i tre aggiornamenti convergono verso lo stesso modello: un impianto connesso alla RTN non è più descrivibile come un insieme di componenti elettrici a cui si aggiunge un canale di comunicazione, ma come un sistema cyber-fisico governato end-to-end.

Il primo elemento comune è l’abbassamento e la precisazione del perimetro tecnico. Il livello a 36 kV diventa un confine operativo esplicito per impianti RTN o funzionali alla RTN, impianti di produzione, inclusi gli accumuli, e impianti di consumo/autoconsumo; per le reti di distribuzione il riferimento dell’Allegato A.13 resta invece legato alla soglia pari o superiore a 50 kV. Questo è particolarmente rilevante per impianti rinnovabili, sistemi di accumulo e configurazioni connesse a sezioni 36 kV di stazioni Terna.

Il secondo elemento comune è la convergenza fra controllo, difesa, monitoraggio e telecomunicazioni. Gli allegati non disciplinano più soltanto il contenuto informativo da scambiare, ma anche i vettori, i router, le interfacce, le fibre ottiche, il collaudo, il monitoraggio locale, la manutenzione, la disponibilità e la gestione del guasto. La rete di comunicazione diventa parte integrante della funzionalità elettrica.

Il terzo elemento comune è la trasformazione della cybersecurity da principio generale a requisito verificabile. Asset inventory, segregazione, logging, autenticazione, patching, hardening, gestione vulnerabilità, audit, supply chain e incident response entrano nel lessico ordinario degli allegati tecnici. Il punto fondamentale è che la sicurezza non è più una clausola esterna all’impianto: diventa una proprietà richiesta della catena di controllo, difesa e monitoraggio.

Il quarto elemento comune riguarda il ciclo di vita. I nuovi requisiti non valgono solo per i nuovi impianti. In forme diverse, gli allegati introducono obblighi di adeguamento, finestre temporali, esenzioni condizionate per rifacimenti, repowering o dismissioni, e responsabilità esplicite del Titolare anche quando l’esercizio tecnico è affidato a terzi. La compliance non coincide quindi con il progetto iniziale, ma con la capacità di mantenere nel tempo una configurazione coerente, documentata e collaudabile.

Questa lettura porta a una conclusione operativa: gli aggiornamenti Terna non sono soltanto prescrizioni per il gestore di rete, né soltanto requisiti per il fornitore BoP o per il vendor degli apparati. Sono requisiti di architettura di impianto che incidono su layout, BoM, connessioni di comunicazione, cavidotti, apparati di networking, RTU, UPDM, EMS/BMS, interfacce di campo, contratti O&M, procedure operative di esercizio, governance della cybersecurity e commissioning.

Allegato A.13: dal telecontrollo alla connessione operativa dell’impianto

L’Allegato A.13 disciplina i criteri di connessione al sistema di controllo di Terna. La revisione 2026 sposta l’asse del documento da una logica di telecontrollo e acquisizione dati verso una logica più ampia di infrastruttura operativa. Il documento continua a trattare supervisione, teleregolazione e monitoraggio delle grandezze elettriche, ma la parte realmente nuova sta nel fatto che tali funzioni vengono legate a una rete dati più prescrittiva, a una disciplina specifica per il 36 kV, a requisiti di disponibilità, collaudo, monitoraggio, segregazione e cybersecurity.

In termini di design, l’Allegato A.13 incide soprattutto su cinque dimensioni architetturali e operative:

  1. Perimetro: gli impianti connessi a 36 kV, inclusi gli impianti di accumulo, vengono ricondotti a una disciplina esplicita, superando la possibilità di trattarli come casi marginali o assimilati per analogia agli impianti AT tradizionali.

  2. Target tecnologico: i collegamenti nuovi o oggetto di adeguamento convergono verso un modello MPLS, mentre le tecnologie legacy vengono progressivamente confinate a condizioni transitorie, da gestire nell’ambito di un piano di migrazione.

  3. Boundary di rete: la connessione verso Terna costituisce un dominio dedicato, non una semplice estensione della rete OT di impianto. Il punto di attestazione deve essere realizzato su router conformi all’architettura Terna, con funzione di switching integrata, routing BGP, cifratura IPSec ove prevista, indirizzamento definito da Terna e assenza di switch esterni intermedi. Le RTU e, nel caso delle configurazioni a 36 kV, gli apparati di campo devono essere attestati direttamente alle porte dell’apparato, con identificazione puntuale degli endpoint.

  4. Connessione fisica per impianti a 36 kV: nel caso di connessione a sezioni 36 kV di stazioni Terna, l’architettura richiede una soluzione fisica dedicata, fondata su doppia fibra ottica monomodale, pannello di terminazione, cassetta di giunzione, router dedicati e chiara individuazione del punto di confine tra infrastruttura del Titolare e infrastruttura Terna.

  5. Conduzione operativa: il Titolare non deve limitarsi a predisporre il collegamento, ma deve garantirne la gestione nel tempo, includendo contatti H24, governo dei provider, coordinamento con l’O&M, aggiornamento dei riferimenti operativi delle terze parti, segregazione tra Titolari gestiti dallo stesso fornitore, monitoraggio dei collegamenti, gestione dei guasti, cambio provider, documentazione tecnica e collaudo con Terna.

La tabella seguente riassume solo le differenze sostanziali, cioè quelle che modificano il disegno o la conduzione dell’impianto.

Ambito sostanziale Differenza sostanziale Impatto su disegno e conduzione impianto
Perimetro 36 kV e storage La soglia rilevante viene estesa agli impianti RTN, di produzione, consumo e autoconsumo con tensione pari o superiore a 36 kV; gli impianti di accumulo sono richiamati esplicitamente. Gli impianti BESS/PV connessi a 36 kV devono essere progettati come impianti pienamente soggetti ai requisiti A.13, non come casi minori o assimilati.
Adeguamento degli esistenti La revisione introduce una disciplina di adeguamento per impianti esistenti e una finestra temporale per i nuovi impianti. Serve un piano di retrofit TLC/OT per impianti già progettati o in esercizio, con migrazione condivisa con Terna e continuità dei flussi.
MPLS come target Le tecnologie non-MPLS sono trattate come legacy; i nuovi collegamenti sono disciplinati in tecnologia MPLS. Le RFQ TLC devono chiedere MPLS Layer 3 VPN, QoS, MCR, SLA, latenza, provider end-to-end, BGP e compatibilità con router Terna.
Provider e catena tecnica Viene rafforzato il requisito di collegamento end-to-end senza provider intermediari. In fase di procurement va chiarita la catena reale del carrier, comprese tratte wholesale, sub-provider, demarcazioni e percorsi fisici.
Localizzazione dell’infrastruttura L’intera infrastruttura funzionale alla connessione al sistema di controllo, comprendente sistemi e telecomunicazioni, deve essere localizzata sul territorio nazionale italiano. Vanno verificati NOC, SOC, servizi gestiti, componenti cloud, sistemi di monitoraggio, jump host, O&M e terze parti che intervengono sulla catena di connessione verso Terna.
Router e LAN Terna Il router deve svolgere anche funzione di switch ethernet; non è ammesso uno switch esterno; routing e indirizzamento sono governati da Terna. La BoM deve prevedere router dedicati e compatibili, con porte sufficienti, supporto BGP, abilitazione/licenze per IPSec ove necessarie e connessione diretta degli apparati di campo.
Connessione 36 kV in fibra ottica Per impianti connessi a sezioni 36 kV di stazioni Terna sono richiesti due cavi FO monomodale G.652D, pannello FO, cassetta di giunzione e router dedicati. Layout, cavidotti, terminazioni, locali tecnici, manutenzione FO e responsabilità di confine diventano parte del disegno di impianto.
Monitoraggio e collaudo Sono richiesti monitoraggio proattivo, segnalazione guasto, collaudo tecnico remoto, documentazione tecnica e gestione delle riserve. Il commissioning deve includere una milestone TLC Terna autonoma, distinta dal solo SAT funzionale dell’impianto.
Cybersecurity operativa Il capitolo cyber richiede inventari, flussi, terze parti, logging, patching, backup, autenticazione, segregazione, assessment e diritto di audit. L’impianto deve essere gestito come ambiente OT cyber-controllato, con evidenze mantenute nel tempo e non solo prodotte al collaudo.

La lettura architetturale è quindi chiara: A.13 non è più soltanto il documento che dice come portare misure e segnali al sistema di controllo. È il documento che impone una forma tecnica alla relazione fra impianto, rete dati Terna, O&M, cybersecurity e continuità operativa.

Allegato A.69: il sistema di difesa come catena OT/TLC/cyber

L’Allegato A.69 disciplina la connessione degli impianti di produzione al sistema di difesa di Terna. La revisione 2026 è particolarmente rilevante perché tocca sia la comunicazione sia la funzione elettrica. Il sistema di difesa non è trattato come un semplice canale di teledistacco, ma come una catena distribuita capace di acquisire misure, ricevere messaggi, attuare comandi di distacco, modulazione o limitazione, interagire con UPDM e apparati di campo, e mantenere continuità e osservabilità nel tempo.

Il cambio di prospettiva è più evidente su tre assi:

  1. Il 36 kV: anche qui viene introdotta una disciplina dedicata, coordinata con l’Allegato A.13, basata su fibra ottica diretta fra impianto e stazione Terna.

  2. L’accumulo: la revisione introduce una sezione specifica per impianti elettrochimici di accumulo, con comandi e misure coerenti con il comportamento bidirezionale del BESS.

  3. L’UPDM come asset operativo: non basta installare l’apparato; occorre monitorarlo, mantenerlo, testarlo, conservarne i flussi, rispondere ai guasti e garantirne la conformità nel tempo.

Il punto fisico più importante è che, per le configurazioni a 36 kV, il sistema di difesa entra nel layout della stazione e dell’impianto: due cavi fisici distinti in fibra ottica monomodale G.652D verso la stazione Terna, pannello, cassetta di giunzione, router, manutenzione, monitoraggio, collaudo e prove di continuità diventano elementi di progetto. Il punto funzionale più importante è che il BESS viene trattato come risorsa attiva di difesa: non solo erogazione o assorbimento misurati, ma capacità energetica disponibile, potenza massima raggiungibile e comandi di azzeramento, massimo assorbimento, massima erogazione, ripristino ed emergenza.

Ambito sostanziale Differenza sostanziale Impatto su disegno e conduzione impianto
Perimetro >36 kV e 36 kV La revisione distingue espressamente impianti connessi a tensione superiore a 36 kV e impianti connessi a 36 kV. Gli impianti a 36 kV devono seguire una disciplina propria, non una trasposizione semplificata delle configurazioni AT tradizionali.
Adeguamento e transizione Vengono introdotti termini per impianti nuovi ed esistenti, con specifico riferimento all’installazione UPDM e alla migrazione verso MPLS. Serve una gap analysis su impianti esistenti: connessione, router, UPDM, interfaccia locale, collaudi e cybersecurity devono essere verificati.
MPLS e router di difesa MPLS diventa il riferimento per nuovi collegamenti e adeguamenti; sono richiesti due router dedicati al Sistema di Difesa, gestiti da Terna. La BoM deve prevedere router Terna-compatible, BGP, IPSec, funzione di switching integrata nel router, porte sufficienti e connessione diretta degli apparati di campo.
FO per impianti 36 kV La connessione 36 kV richiede due cavi FO monomodale G.652D verso la stazione Terna, pannello FO, cassetta di giunzione e router dedicati. Cavidotti, percorsi FO, terminazioni, accessibilità, manutenzione e prove di continuità diventano parte del progetto elettro-strumentale.
Collaudo FO/TLC Per 36 kV sono richiesti collaudo remoto, documentazione tecnica, prove di continuità FO, riferimento tecnico e tracciato del percorso ottico. Il commissioning deve prevedere un pacchetto di test TLC/FO separato dal solo test funzionale dell’UPDM.
Integrazione A.69/A.13/A.7 È possibile usare un’unica infrastruttura TLC, ma con proposta preventiva, riconfigurazione IP se necessaria, continuità dei flussi e revisione architetturale con Terna. La convergenza TLC è ammessa solo se governata; non è un semplice riuso opportunistico della stessa linea.
UPDM come asset operativo La revisione rafforza responsabilità su installazione, esercizio, test periodici, manutenzione, ripristino e conformità dell’UPDM. L’O&M deve includere procedure specifiche per UPDM, guasti, test, evidenze, escalation e interfaccia con Terna.
Monitoraggio UPDM e retention Sono richiesti monitoraggio locale, rilevazione anomalie, porta mirror, memorizzazione dei flussi per almeno 60 giorni e ripristino entro tre giorni lavorativi. L’impianto deve avere capacità di osservabilità tecnica della catena UPDM, non solo un apparato installato e sigillato.
BESS e impianti elettrochimici Vengono introdotti comandi e misure dedicate per accumulo elettrochimico: potenza, capacità disponibile, massimo assorbimento, massima erogazione, azzeramento scambio, emergenza e ripristino. EMS, BMS e PCS devono essere integrati con logiche e misure coerenti con i requisiti del sistema di difesa.
Siti multi-tecnologia Per siti comprendenti impianti di diverse tipologie devono essere rispettati i requisiti applicabili a ciascuna tipologia di impianto; inoltre, il Titolare deve comunicare a Terna il limite di scambio di potenza del sito con la rete. Per impianti ibridi, ad esempio PV+BESS o configurazioni con più tecnologie nello stesso sito, il progetto non può limitarsi a trattare separatamente le singole unità: deve essere governata anche la configurazione complessiva di sito e il relativo limite di scambio con la rete.
Tempi di attuazione dei comandi I comandi di apertura devono rispettare il tempo di attuazione assegnato da Terna alla tipologia di impianto; i comandi di modulazione devono essere cablati direttamente all’ingresso del circuito di pilotaggio dell’inverter. Per massimo assorbimento e massima erogazione/produzione deve essere raggiunto il 90% della potenza indicata entro Ts ≤ 180 ms e il 100% entro 4 secondi; per l’azzeramento scambio, l’azzeramento della potenza deve avvenire entro Ts ≤ 180 ms. La verifica dell’integrazione EMS/BMS/PCS non può essere soltanto funzionale: deve includere il rispetto dei tempi di attuazione, il cablaggio diretto dei comandi, l’assenza di temporizzazioni o apparecchiature interposte non ammesse e la capacità dell’impianto di mantenere lo stato richiesto per tutta la durata dell’emergenza.
Certificazione e sigillatura La certificazione si estende dalla catena di comando alla catena di acquisizione e comando, includendo apparati di comunicazione e componenti intermedi. La progettazione deve rendere sigillabili, verificabili e tracciabili dispositivi, morsettiere, relè, convertitori, router e componenti TLC.
Cybersecurity Il capitolo cyber diventa organico: asset, terze parti, eventi, protezione malware, isolamento, autenticazione, firewall, patching, logging e audit. La difesa elettrica e la cyber-resilience diventano parte dello stesso dominio operativo.

L’Allegato A.69 è quindi il punto in cui l’evoluzione Terna diventa più evidente dal punto di vista funzionale. L’impianto non deve soltanto farsi vedere da Terna. Deve essere in grado di partecipare a una logica di difesa distribuita, con canali resilienti, comandi deterministici, misure affidabili, BESS integrato e capacità di dimostrare che la catena rimane conforme durante l’esercizio.

Allegato A.52: l’UPDM come componente cyber-fisico critico

L’Allegato A.52 è la specifica funzionale e di comunicazione dell’UPDM. La revisione 2026 aggiorna un documento nato in un contesto tecnologico molto diverso, nel quale l’UPDM era descritto soprattutto come apparato periferico dedicato a I/O, logiche, diagnostica e protocollo IEC 60870-5-104 multicast per difesa e monitoraggio. La nuova impostazione mantiene la funzione originaria, ma la colloca dentro un mondo fatto di doppie interfacce Ethernet, alta affidabilità, IEC 61850, segregazione, identity management, secure boot, logging, patching, supply chain e requisiti cyber che richiamano NIS2, linee guida ACN e IEC 62443.

Il cambiamento più forte è che l’UPDM non è più soltanto un apparato di elettro-automazione. Diventa un componente cyber-fisico critico. Deve eseguire comandi rapidi e deterministici, ma deve anche resistere a congestioni multicast, gestire due interfacce, filtrare connessioni TCP autorizzate, mantenere log, proteggere firmware e configurazioni, usare utenze individuali e supportare un ciclo di vita sicuro.

Un altro elemento rilevante è la distinzione fra UPDM standard e UPDM semplificata per impianti fino a 6 MW. Questa distinzione introduce un principio di proporzionalità tecnica, ma non elimina il vincolo funzionale: anche la soluzione semplificata deve consentire la corretta attuazione dei comandi di teledistacco e limitazione previsti dall’Allegato A.69.

Ambito sostanziale Differenza sostanziale Impatto su disegno e conduzione impianto
Adeguamento UPDM esistenti La revisione si applica anche alle UPDM già installate, imponendo adeguamenti entro 12 mesi su seconda Ethernet, cybersecurity, capacità UDP, whitelist TCP e matrice evento/azione. Serve censire il parco UPDM, verificare firmware, hardware, doppia Ethernet, prestazioni protocollo e capability cyber.
UPDM semplificata ≤6 MW È ammessa una UPDM semplificata per impianti con potenza efficiente netta minore o uguale a 6 MW. Per piccoli impianti la BoM può essere meno onerosa, ma va dimostrata la corretta attuazione dei comandi A.69.
Modulazione Lo scopo dell’UPDM include esplicitamente la modulazione oltre a distacco automatico, telescatto e monitoraggio. L’apparato va valutato anche per comandi di regolazione o limitazione, non solo per apertura/intervento.
Doppia Ethernet Sono richieste due interfacce Ethernet indipendenti verso la rete Terna, con architettura a due CPU o singola CPU a doppia interfaccia. L’UPDM deve gestire flussi doppi e comandi ricevuti da entrambe le interfacce senza duplicazioni o rallentamenti.
Prestazioni UDP/TCP Ogni interfaccia deve gestire almeno 200 messaggi UDP/s; l’UPDM deve accettare connessioni TCP unicast solo da una lista configurabile di almeno 10 centri remoti Terna autorizzati, identificati tramite indirizzi IP comunicati da Terna. I test devono verificare carico multicast/UDP, filtro IP dei centri autorizzati e comportamento sotto traffico anomalo.
Multicast storm La singola CPU con due interfacce deve gestire congestioni tipo multicast storm senza degrado. In procurement va richiesta evidenza tecnica di resilienza a scenari di rete degradati.
Bus di campo Il bus di campo deve usare IEC 61850; Modbus è ammesso solo per UPDM esistenti e solo per telemisure. Nuove integrazioni verso IED, moduli remoti, protezioni o sistemi ausiliari devono essere progettate in IEC 61850.
Segregazione La rete del bus di campo UPDM deve essere isolata dalla restante rete dati d’impianto e segregata dalla rete Terna. Nei diagrammi devono comparire zone separate per rete Terna, bus di campo UPDM e LAN OT generale.
Sincronizzazione Sono ammessi GPS o PTPv2/1588v2; nell’ambito della sincronizzazione tramite GPS o PTPv2/1588v2, l’apparato deve garantire un errore massimo del clock interno pari a 1 ms; in assenza di sincronizzazione esterna resta tollerato un errore massimo di 1 s ogni 24 h. L’impianto deve avere una strategia di time synchronization coerente, inclusi apparati di rete idonei se si usa PTP.
Configurazione e rollback La configurazione richiede autenticazione, ruoli, CRC-16 inviato al centro Terna e ripristino della configurazione precedente in caso di errore. La configurazione UPDM diventa un oggetto governato, versionato e verificabile, non un setting locale informale.
Cybersecurity embedded Sono richiesti secure development lifecycle, patch, gestione vulnerabilità, conformità NIS2, IEC 62443, linee guida ACN e tracciabilità supply chain. La scelta dell’UPDM deve includere evidenze cyber di prodotto, supporto vendor e ciclo di vita della sicurezza.
Identità e accessi Sono richieste utenze individuali, RADIUS, RBAC, least privilege, limitazione degli account generici e blocco dopo tentativi falliti. La manutenzione non può basarsi su password condivise o account di fabbrica; serve identity governance.
Secure boot e firmware Il firmware deve essere protetto con secure boot, firma digitale e verifica dell’integrità dei pacchetti di aggiornamento. Gli apparati legacy privi di catena di trust firmware diventano difficilmente compatibili con la nuova baseline.
Logging Sono richiesti log di sicurezza, retention minima di sei mesi, protezione anti-manomissione e tracciamento di attività utente/amministratore. Il commissioning deve verificare anche audit trail, esportabilità e conservazione dei log, non solo I/O e protocollo.
Comandi armati L’UPDM deve prevedere la predisposizione, o armamento, di azioni di controllo da attivare alla ricezione di specifici messaggi di scatto; tutti i comandi armati sul medesimo messaggio devono essere attuati contemporaneamente, senza effettuare la supervisione prevista per i comandi ordinari. L’apparato deve inoltre rispettare il tempo di attuazione Ta tra ricezione del messaggio di scatto e chiusura dei contatti dei relè di output: Ta < 10 ms per apparati A+ e Ta < 20 ms per apparati A, secondo certificazione emessa da Istituti o Laboratori Accreditati. La qualifica dell’UPDM non può limitarsi alla compatibilità IEC 60870-5-104 o alla corretta gestione della matrice di armamento: deve includere la classe prestazionale dell’apparato, la verifica certificata dei tempi Ta e l’assenza di logiche locali, interlock o supervisioni che ritardino l’attuazione simultanea dei comandi armati.
Matrice evento/azione La matrice dinamica passa ad almeno 100 eventi per azione di controllo e per interfaccia. Va verificata la scalabilità firmware/configurazione dell’UPDM rispetto a impianti più complessi.

La conseguenza pratica è che l’UPDM diventa il punto in cui la disciplina elettrica, la disciplina OT e la disciplina cyber si incontrano. In un impianto moderno, specialmente se connesso a 36 kV o comprendente accumulo, la scelta dell’UPDM non può essere demandata alla sola compatibilità storica con IEC 104. Deve essere trattata come una scelta architetturale: interfacce, protocolli di campo, tempi, logiche, accessi, firmware, logging, supply chain, manutenzione e integrazione con A.69 devono essere verificati già in fase di selezione tecnica e approvvigionamento dell’apparato, e poi mantenuti durante l’esercizio.

Il nuovo perimetro Terna dentro la traiettoria regolatoria europea

Gli aggiornamenti degli Allegati A.13, A.69 e A.52 vanno letti dentro una traiettoria regolatoria più ampia: l’Europa sta progressivamente trasformando la cybersecurity da presidio tecnico-specialistico a requisito ordinario di continuità operativa, governance industriale e responsabilità degli organi di gestione. La logica non è più soltanto proteggere i sistemi informativi, ma garantire che i soggetti economici rilevanti, energia, trasporti, finanza, sanità, infrastrutture digitali, pubblica amministrazione, fornitori ICT e filiere critiche, siano in grado di prevenire, assorbire, notificare e recuperare da eventi cyber che possono compromettere servizi essenziali o funzioni di sistema.

La NIS2 rappresenta il riferimento generale di questa evoluzione: la Commissione europea la descrive come un quadro giuridico unitario per la cybersicurezza in 18 settori critici, mentre il testo della direttiva stabilisce una baseline comune di misure di gestione del rischio e obblighi di notifica per i settori inclusi nel suo campo di applicazione. In Italia, la direttiva è stata recepita con il D.Lgs. 4 settembre 2024, n. 138, e l’ACN è l’autorità competente NIS e punto di contatto unico.2 Questo significa che la sicurezza non è più demandata alla buona pratica tecnica del singolo operatore, ma diventa un obbligo organizzativo verificabile.3

Accanto alla NIS2 si collocano regimi più verticali o complementari. DORA porta la stessa logica nel settore finanziario, con un quadro europeo per la resilienza operativa digitale, la gestione del rischio ICT, il testing, l’incident reporting e il controllo dei fornitori ICT critici.4 Il Cyber Resilience Act sposta invece il vincolo verso il prodotto: prodotti con elementi digitali, inclusi hardware e software, devono incorporare requisiti essenziali di cybersicurezza lungo progettazione, sviluppo, produzione, manutenzione e gestione delle vulnerabilità.5 In Italia, il Perimetro di Sicurezza Nazionale Cibernetica aveva già introdotto una disciplina specifica per beni ICT rilevanti per funzioni e servizi essenziali, con obblighi di sicurezza e notifica degli incidenti al CSIRT.6

Questa convergenza normativa ha una ragione economica e tecnica precisa: il rischio cyber si è industrializzato. ENISA, nel Threat Landscape 2025, analizza le minacce e i trend più rilevanti per l’ecosistema cyber europeo su 4.875 incidenti osservati tra luglio 2024 e giugno 2025; nei propri esercizi di foresight include inoltre la compromissione della supply chain software, l’errore umano e lo sfruttamento di sistemi legacy negli ecosistemi cyber-fisici, i fornitori ICT transfrontalieri come single point of failure e l’abuso dell’AI tra le minacce emergenti al 2030.7 Europol, nell’IOCTA 2026, descrive a sua volta AI, automazione, proxy ed ecosistemi criminali come fattori che aumentano velocità, efficienza e portata delle attività cybercriminali.8

Il punto manageriale è che cambia l’economia dell’attacco. In passato molti operatori industriali o infrastrutturali minori erano sotto la soglia di interesse di attori sofisticati: troppo piccoli, troppo locali, troppo costosi da studiare. Con crime-as-a-service, automazione, phishing generativo, deepfake, scanning continuo, riuso di credenziali, exploitation di sistemi non aggiornati e attacchi alla supply chain, il costo unitario di targeting si abbassa. Diventano appetibili anche soggetti intermedi: manutentori, O&M contractor, piccoli produttori connessi, fornitori di apparati, società di ingegneria, operatori locali, operatori con portafogli distribuiti, e soggetti che non sono grandi in termini societari ma sono rilevanti perché connessi a un’infrastruttura critica.

In questo scenario gli attori di minaccia non sono solo esterni. Il modello corretto include attori criminali, hacktivisti, gruppi con legami statuali, fornitori compromessi, account amministrativi abusati, operatori interni negligenti, errori di configurazione, sistemi legacy non aggiornati e dipendenze software o hardware non governate. ENISA colloca infatti tra le minacce emergenti al 2030 la compromissione della supply chain software, l’errore umano e lo sfruttamento di sistemi legacy in ecosistemi cyber-fisici, oltre alla dipendenza da fornitori ICT cross-border come single point of failure.9

Letti in questa prospettiva, gli Allegati Terna non sono un’anomalia settoriale, ma una traduzione elettrica e OT della stessa direzione regolatoria europea. L’Allegato A.13 porta nel sistema di controllo requisiti su rete, localizzazione, provider, monitoraggio, collaudo, terze parti e cybersecurity. L’Allegato A.69 fa lo stesso per il sistema di difesa, aggiungendo la dimensione funzionale del distacco, della modulazione, dell’accumulo e della continuità della catena UPDM. L’Allegato A.52 entra ancora più a monte, trasformando l’UPDM in un componente cyber-fisico: doppia interfaccia Ethernet, segregazione, IEC 61850, secure boot, firma del firmware, autenticazione individuale, RADIUS, RBAC, logging, retention e gestione delle vulnerabilità.

La conseguenza per un Titolare di impianto è netta: la conformità Terna non può essere gestita come una checklist documentale separata dal progetto. Deve diventare parte del modello operativo dell’impianto. Questo modello deve coprire architettura di rete, boundary fisici, fibra ottica, router, UPDM, RTU, EMS/BMS/PCS, asset inventory, gestione identità, logging, patching, backup, incident response, contratti O&M, obblighi H24, segregazione delle terze parti, auditabilità e conservazione delle evidenze.

In sintesi, il trend europeo dice che la resilienza non è più una qualità opzionale dei grandi operatori critici. Sta diventando una proprietà richiesta di qualunque nodo economicamente o tecnicamente rilevante dentro una filiera essenziale. Gli aggiornamenti Terna applicano questa logica alla rete elettrica: se un impianto può influire sul controllo, sulla difesa, sull’osservabilità o sulla stabilità del sistema, allora deve essere progettato e condotto come parte di un ecosistema regolato, interconnesso e attaccabile a scala.

Conclusione

Gli aggiornamenti agli Allegati A.13, A.69 e A.52 seguono una logica comune. Terna sta spostando il baricentro del Codice di Rete da un insieme di prescrizioni per collegare apparati e scambiare dati a un modello di interoperabilità operativa, nel quale l’impianto deve essere controllabile, difendibile, monitorabile, collaudabile e cyber-resiliente.

Per chi progetta o governa impianti BESS, fotovoltaici/eolici, ibridi o comunque connessi alla RTN, la conseguenza è diretta. Il perimetro Terna deve essere portato dentro il progetto fin dalle prime fasi: layout, cavidotti, fibra ottica, router con funzione di switching integrata, RTU, UPDM, EMS/BMS, PCS, interfacce IEC 61850, piani IP, logiche di difesa, monitoraggio, cybersecurity, O&M e test di commissioning devono essere pensati come un unico sistema.

In termini operativi, la domanda corretta non è più: l’impianto ha un canale verso Terna?. La domanda corretta diventa: l’impianto possiede una catena end-to-end, fisica, logica, funzionale e cyber, capace di sostenere controllo, difesa e monitoraggio secondo i requisiti Terna per tutto il suo ciclo di vita?.

See also longforms

See also posts

Back to top