Il 28 giugno il Parlamento Europeo e il Consiglio dell’Unione Europea hanno raggiunto un accordo circa l’approvazione della Direttiva sulla resilienza delle infrastrutture critiche (CER), proposta dalla Commissione nel dicembre 2020.
Le nuove norme hanno lo scopo di rafforzare il livello di preparazione delle infrastrutture critiche di fronte a una serie di minacce, tra cui i rischi naturali, gli attacchi terroristici, le minacce interne o il sabotaggio, nonché le emergenze sanitarie come la recente pandemia di Covid-19.
Indice degli argomenti
Direttiva europea sulle infrastrutture critiche: gli obblighi
La nuova normativa stabilisce l’obbligo per gli Stati membri di:
- adottare misure volte a garantire la fornitura, nel mercato interno, dei servizi essenziali per la società e individuare i soggetti critici;
- rafforzare la loro resilienza e la loro capacità operativa;
- fissare regole sulla vigilanza e sull’applicazione delle norme nei confronti dei tali enti (art. 1, co.1).
Ogni Paese UE è chiamato ad adottare entro tre anni una sua strategia nazionale, tenendo conto delle priorità strategiche per migliorare la resilienza complessiva delle entità critiche, del quadro di governance, della valutazione dei rischi e del coordinamento tra le varie autorità competenti (art.3, co. 1). Tale strategia sarà aggiornata, ove necessario, ogni quattro anni (comma 2).
Allo stesso tempo, ogni Stato membro ha l’onere di indicare una o più autorità competenti responsabili della corretta applicazione e del rispetto della direttiva a livello nazionale (art.8, co. 1).
Inoltre, ogni Paese dovrà designare, all’interno dell’autorità competente, un unico punto di contatto per assicurare la cooperazione transfrontaliera con le autorità competenti degli altri Stati membri (comma 2).
Queste agenzie dovranno coordinarsi, ove richiesto, con altri enti nazionali, in particolare quelli incaricati della protezione civile, dell’applicazione della legge, della protezione dei dati personali e con le parti interessate (comma 5).
Nuove misure tecniche e organizzative per i soggetti critici
Gli Stati membri devono assicurarsi che i soggetti critici adottino misure tecniche e organizzative per garantire la loro resilienza, ivi comprese quelle di:
- prevenzione degli incidenti;
- protezione fisica delle aree sensibili;
- mitigazione delle conseguenze degli incidenti;
- recupero dagli incidenti;
- gestione della sicurezza dei dipendenti;
- aumento della consapevolezza tra il personale (art. 11, co. 1).
Il Gruppo per la resilienza delle infrastrutture critiche
Una novità introdotta dalla direttiva è la creazione del Gruppo per la resilienza delle infrastrutture critiche. Si tratta di un organo che ha il compito di supportare la Commissione nella cooperazione strategica e nello scambio di informazioni (art. 16, co. 1).
Ha altresì la funzione di valutare le varie strategie e di coadiuvare gli Stati nell’individuazione delle infrastrutture critiche (comma 2).
Infine, la direttiva prevede apposite misure affinché le autorità competenti dei vari Paesi possano valutare l’applicazione della normativa da parte delle entità critiche attraverso ispezioni in loco e audit (art. 18, comma 1).
Nel caso in cui sia necessario, le autorità competenti hanno la facoltà di ordinare ai soggetti critici interessati di adottare le misure necessarie per porre rimedio a qualsiasi violazione individuata (comma 3).
Qualora venissero riscontrate delle irregolarità, gli Stati membri sono incaricati di prescrivere sanzioni effettive, proporzionate e dissuasive (art. 19).
Serve un continuo rafforzamento delle infrastrutture critiche
La proposta presentata dalla Commissione si inserisce in un panorama complesso e sempre più interconnesso. Le infrastrutture critiche sono oggetto di una serie di minacce che rendono necessario un continuo rafforzamento delle stesse, oltre a una serie di innovazioni proiettate ad una migliore prevenzione e mitigazione dei possibili rischi.
Come analizzato in precedenza, la Direttiva CER pone un nuovo approccio nei confronti delle infrastrutture critiche, più ampio ed inclusivo, che consentirà agli Stati membri di affrontare abilmente le interdipendenze transfrontaliere e i potenziali effetti di un incidente.
Come affermato da Ylva Johansson, Commissaria Europea per gli Affari Interni, “alla luce dell’attuale situazione geopolitica in Europa, rafforzare la nostra resilienza è di fondamentale importanza. […] La nuova direttiva garantirà la fornitura di servizi essenziali come l’energia, i trasporti, l’acqua e l’assistenza sanitaria, riducendo al minimo l’impatto degli incidenti naturali e provocati dall’uomo“.
Obiettivi della direttiva europea sulle infrastrutture critiche
Fra i principali obiettivi promossi vi sono quindi il miglioramento dei servizi essenziali per la collettività ed il conseguente aumento della resilienza dei soggetti che li forniscono. La presente proposta mira, inoltre, ad un elevato livello di cibersicurezza comune a tutti i Paesi membri, al fine di affrontare al meglio la crescente interconnessione tra il mondo fisico e quello digitale, della quale è necessario tener conto per progettare valide strategie di sicurezza nazionali e comunitarie.
La direttiva proposta risulta essere coerente con altre iniziative settoriali ed intersettoriali dell’Unione Europea riguardanti ad esempio la questione climatica, la protezione civile, la sicurezza informatica e finanziaria.
In particolare, è allineata alla Direttiva sui sistemi di rete e informazione (NIS) e alla proposta di direttiva sulle misure per un elevato livello comune di cibersicurezza in tutta l’Unione (NIS 2). La direttiva CER mira a garantire che le autorità competenti, designate della stessa e dalla proposta di direttiva NIS 2, adottino misure complementari e si scambino le informazioni necessarie in materia di gestione di rischi di varia natura e di resilienza delle strutture cibernetiche e fisiche.
Per quanto concerne l’incidenza finanziaria della proposta sul bilancio UE, le risorse economiche necessarie per attuare le disposizioni sono stimate in 42,9 milioni di euro per il periodo 2021-2027, di cui 5,1 milioni per le spese amministrative.
I costi dovrebbe essere suddivisi fra attività di supporto alla Commissione (retribuzione del personale, finanziamento di progetti e altre attività di ausilio), missioni consultive organizzate dalla stessa e riunioni periodiche del Gruppo per la Resilienza delle Infrastrutture Critiche ed altri gruppi.
Contesto applicativo della direttiva UE sulle infrastrutture critiche
La proposta di Direttiva sulla Resilienza delle Infrastrutture Critiche costituisce un cambiamento considerevole rispetto all’attuale Direttiva 2008/114/CE (ECI), che si basava sull’articolo 308 del Trattato Istitutivo della Comunità Europea, corrispondente all’attuale articolo 253 del TFUE. Tale Direttiva, che si applica solo ai settori dell’energia e dei trasporti, si concentra esclusivamente sulle misure di protezione e prevede una procedura per identificare e designare le infrastrutture critiche europee attraverso il dialogo transfrontaliero.
Tuttavia, la valutazione della Direttiva ECI condotta nel 2019, ha rilevato che, a causa della natura sempre più interconnessa e transfrontaliera delle operazioni che utilizzano infrastrutture critiche, le misure di protezione, relative ai singoli beni, da sole non sono sufficienti a prevenire il verificarsi di incidenti che possono potenzialmente interrompere le operazioni delle infrastrutture critiche.
Queste interdipendenze implicano che qualsiasi perturbazione, anche se inizialmente limitata a una infrastruttura o a un settore, può avere effetti a cascata, potenzialmente negativi e di lunga durata nella fornitura di servizi nel mercato interno.
La pandemia da Covid-19 ha mostrato la vulnerabilità delle nostre società sempre più interdipendenti di fronte ai rischi a bassa probabilità.
Allo stesso tempo, il contesto in cui operano le infrastrutture critiche è cambiato in modo significativo: il panorama dei rischi è più complesso rispetto al 2008, con una minaccia terroristica in evoluzione, pericoli interni, disastri naturali e cambiamenti climatici che possono ridurre la capacità e l’efficienza di determinati tipi di infrastrutture, qualora non siano in atto misure di prevenzione.
L’iter applicativo della nuova direttiva UE
L’accordo raggiunto tra Parlamento europeo e Consiglio ha quindi posto le basi per un nuovo quadro di sicurezza comune; il passo successivo sarà l’approvazione formale dei co-legislatori.
Una volta pubblicato il documento nella Gazzetta Ufficiale dell’Unione Europea, entrerà in vigore trascorsi i successivi 20 giorni. Spetterà poi ai singoli Paesi definire, attraverso disposizioni nazionali, in che modo verranno realizzati gli obiettivi posti dalla direttiva stessa.