La nuova Direttiva CER sulla resilienza e quindi la sicurezza cinetica delle infrastrutture critiche, oggi denominate entità critiche, è stata pubblicata sulla Gazzetta Ufficiale europea insieme con la NIS 2 e la DORA, le altre due direttive europee dedicate rispettivamente alla sicurezza cyber delle entità critiche e alla sicurezza delle entità del settore finanziario e bancario.
La CER, fra le altre cose, riporta l’obbligo, per gli Stati Membri, di individuare una o più autorità nazionali per la realizzazione della direttiva stessa e di quanto in essa previsto. In particolare la direttiva recita che ogni Stato membro designa o istituisce una o più autorità competenti responsabili della corretta applicazione e, se necessario, dell’esecuzione delle norme della presente direttiva a livello nazionale che dovrà, oltre al resto, consultarsi con le altre autorità nazionali competenti, comprese quelle responsabili della protezione civile, delle attività di contrasto e della protezione dei dati personali e con le autorità competenti di cui alla direttiva (UE) 2022/2555 sui rischi di cyber security.
Direttiva NIS 2: ecco come prepararsi a recepire i nuovi obiettivi di cyber security
Indice degli argomenti
La vecchia gestione delle infrastrutture critiche
Quando era stata emanata la direttiva 114/2008 sulle infrastrutture critiche europee si era posta la medesima questione. All’epoca si decise di posizionare il tema della gestione delle infrastrutture critiche nella Presidenza del Consiglio dei Ministri perché la materia è altamente multidisciplinare e non può essere assolta da un unico ministero, mentre, dall’altro lato, tutti i dicasteri hanno competenze relative a qualche settore di infrastruttura critica.
Durante le operazioni di recepimento dell’epoca fu organizzata la Segreteria per le Infrastrutture Critiche, un ufficio all’epoca diretto da un direttore generale e incastonato nell’Ufficio del Consigliere Militare del Presidente del Consiglio dei Ministri.
Per non gravare sul bilancio dello Stato, il direttore fu individuato in una figura esistente nel Dipartimento della Protezione Civile, in particolare nel direttore del Nucleo per gli attentati nucleari, biologici, chimici e radiologici della Protezione Civile. Con l’OPCM 3836, Ordinanza di protezione civile, del 30 12 2009, il nucleo operativo di cui sopra, istituito con OPCM 3275 del 28 3 2003, oltre alle attribuzioni derivanti da tale OPCM, andava a costituire anche la segreteria per il coordinamento interministeriale per le attività nazionali e internazionali riguardanti le infrastrutture critiche.
Successivamente il Nucleo suddetto della Protezione Civile fu abrogato e le competenze in materia di armi non convenzionali ritornarono di fatto completamente alla Difesa Civile, organo esistente del Ministero dell’Interno.
Tuttora, la Segreteria si trova nel medesimo punto dell’organigramma della Presidenza.
Cosa cambia con la Direttiva CER
La scelta del 2009 era dettata da una serie di motivazioni ancora oggi valide, prima fra tutte il fatto che la protezione civile ha competenze sulle minacce naturali, nel nostro ordinamento, mentre la 114/08 come la CER individuano responsabilità sia verso le minacce naturali che verso le minacce antropiche, volontarie o involontarie. Non appare quindi percorribile una attribuzione nell’ambito del Sistema di Protezione Civile Nazionale.
D’altro canto, l’Ufficio del Consigliere Militare ha compiti istituzionali relativi a rappresentanza nei rapporti tra organi civili e militari delle Istituzioni centrali. È un ufficio di diretta collaborazione e decade al decadere di ogni Governo, per sua stessa natura istitutiva. La complessità della riorganizzazione degli uffici e degli incarichi che soggiace alla natura pro tempore degli organi di diretta collaborazione non si sposa completamente con adempimenti di continuità come quelli legati alla gestione delle Infrastrutture Critiche.
Inoltre, la molteplicità degli adempimenti previsti ora dalla CER imporrà necessariamente un aumento di organico.
Esiste la possibilità, percorsa da altri Paesi, di unificare i concetti di sicurezza fisica e logica sotto l’egida di un’unica entità, come è stato per il DHS statunitense, Department of Homeland Security, o per il Segretariato Generale per la sicurezza e la Difesa Nazionale in Francia o, infine, per il CNIPIC spagnolo, agenzia di protezione delle infrastrutture critiche creata nel 2008 e poi ampliata con l’attribuzione delle competenze di cyber security.
Governance e organizzazione, primo pilastro cyber del Regolamento DORA: gli aspetti cruciali
Un’agenzia per le entità critiche?
In Italia si potrebbe pensare alla realizzazione di una agenzia, omologa della ACN, ma con competenze sulla sicurezza cinetica, oppure si potrebbe pensare di ampliare le competenze della Agenzia per la Cybersecurity Nazionale, per consentirle di occuparsi anche della sicurezza cinetica delle entità critiche.
Le strutture americana, francese e spagnola sopra citate sono, invece, nate per occuparsi di security e di infrastrutture critiche quando la disciplina della loro protezione e della preparazione agli effetti domino dovuti alle interdipendenze tra i vari settori delle IC è improvvisamente divenuta determinante visti gli effetti di eventi come l’11 settembre e gli attentati europei successivi.
