Il Consiglio europeo ha approvato il testo della direttiva CER (Critical Entities Resilience) che sostituisce la direttiva 114/08 sull’identificazione e designazione delle infrastrutture critiche europee.
La CER va di pari passo con la direttiva NIS2, di fatto riconciliando il concetto di sicurezza fisica o cinetica, come si dice oggi, con quello della sicurezza logica o cyber. La NIS2 si occupa infatti della sicurezza cyber delle entità critiche e altamente critiche e la CER della loro resilienza rispetto a minacce cinetiche sia naturali che antropiche, volontarie o involontarie, ivi comprese le minacce di stampo terroristico.
Indice degli argomenti
I settori interessati dalla direttiva CER
I settori delle potenziali entità critiche sono gli stessi della categoria altamente critici della NIS2 e cioè:
- energia,
- trasporti,
- banche e mercati finanziari,
- sanità,
- acqua potabile,
- acque reflue,
- infrastrutture digitali (che comprende la gestione di servici ICT),
- Pubblica Amministrazione,
- spazio,
ai quali si aggiungono anche:
- produzione,
- trasformazione e distribuzione di alimenti (la quale rientra invece nella categoria critica della NIS2).
La CER è una direttiva risk based che fornisce indicazioni sulla identificazione delle entità critiche soprattutto di livello europeo e la costituzione di missioni di supporto con la presenza di esperti dello stato di appartenenza e degli Stati Membri dell’Unione interessati dal servizio erogato dall’entità, nonché di esperti della Commissione per la verifica della messa in opera da parte dell’entità critica delle misure identificate per la garanzia della resilienza. Definisce le misure minime per raggiungere un grado di resilienza e stabilisce procedure comuni per il reporting e la cooperazione tra Stati.
Ogni Stato membro adotterà una strategia di resilienza
Il concetto di infrastruttura diventa materiale mentre quello di entità è immateriale. L’entità è pubblica o privata, fornisce un servizio essenziale ed è costituita anche da infrastrutture.
Ogni stato membro adotterà una strategia per la resilienza che conterrà un framework di descrizione delle attività e delle responsabilità, quindi la descrizione della catena di comando e controllo, e le misure adottate per la resilienza del Sistema Paese.
La Commissione potrà adottare un atto delegato (praticamente un decreto attuativo) per individuare i servizi essenziali nei settori potenzialmente contenenti entità critiche e ogni Stato baserà il proprio risk assesment governativo nazionale su questo elenco.
Inoltre gli Stati Membri dovranno basare il risk assesment governativo anche sui rischi legati alle interdipendenze, tema espressamente citato dalla direttiva, quindi serviranno modelli di effetti domino e delle interdipendenze tra settori.
Come verranno individuate le entità critiche
Le entità critiche saranno individuate nei settori indicati, dovranno essere appartenenti allo Stato Membro e verranno selezionate su base impatto derivante da incidenti che potrebbero causare discontinuità nella garanzia della fornitura del servizio essenziale correlato.
L’impatto sarà calcolato in base a: numero di utenti coinvolti, estensione su altri settori, durata, conseguenze economiche, ambientali, sulla salute, sulle attività sociali, sulla sicurezza pubblica e sul mercato libero, nonché area geografica coinvolta anche cross border e valutazione delle possibili alternative di approvvigionamento del medesimo servizio.
Ogni Stato Membro dovrà nominare un’autorità competente nazionale che in Italia potrebbe essere l’ufficio del Consigliere Militare al Presidente del Consiglio dei Ministri con la segreteria per le infrastrutture critiche, ufficio che ha anche negoziato la direttiva per l’Italia. Teoricamente potrà essere coinvolto per le fasi decisionali anche il NISP, Nucleo di Situazione e Pianificazione (DPCM 5 maggio 2010), come già avvenuto nel recepimento della direttiva 114/08.
Cooperazione tra Stati membri ed entità critiche
Gli Stati Membri coopereranno tra loro e con le entità critiche le quali dovranno redigere un risk assesment basato su quello nazionale e porre in essere contromisure adeguate per la riduzione dei rischi e in particolare per: prevenire gli incidenti, garantire adeguata sicurezza a tutti, rispondere, resistere e mitigare le conseguenze di eventuali incidenti, recuperare, garantire adeguata sicurezza a tutto il personale, effettuare adeguata awareness.
Eventuali incidenti sulle entità critiche dovranno essere notificati all’autorità competente nazionale indicando il numero di persone interessate, l’area geografica e la durata.
Se l’entità critica fornisce il servizio essenziale in sei o più stati membri è considerata critica a livello europeo e la Commissione potrà designare delle advisory mission per verificare la messa in opera delle contromisure. Le sanzioni saranno invece individuate a livello nazionale e la Commissione potrà scrivere linee guida per applicazione della direttiva.
Un’importante raccomandazione sulla cyber security
Il Consiglio ha anche promulgato una proposta di raccomandazione sulla cyber security che anticipa alcune previsioni di NIS2 e CER per velocizzare azioni specifiche sulla resilienza delle infrastrutture critiche, soprattutto nei settori di energia, infrastrutture digitali, trasporti e spazio.
La raccomandazione individua soprattutto azioni per la condivisione delle informazioni e la risposta coordinata a livello europeo e auspica che gli Stati membri abbiano un approccio all hazard nella analisi dei rischi e mettano in opera azioni immediate per aumentare la resilienza, anche con stress test nazionali.
Conclusioni
La nuova direttiva CER completa il panorama normativo europeo sulle infrastrutture critiche e a 14 anni dalla prima direttiva esprime una profonda maturità dell’Europa sui temi della protezione delle IC, soprattutto riconciliando la sicurezza negli ambiti cibernetico e cinetico e offrendo un punto di vista all hazard e risk based.
