È stato pubblicato in Gazzetta Ufficiale il decreto legislativo n. 134 sull’attuazione della CER (Critial Entities Resilience), la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio.
Il decreto consolida l’impegno dell’Italia nel rafforzare la resilienza e la protezione dei servizi essenziali, promuovendo un approccio integrato e coordinato tra le istituzioni nazionali ed europee.
Definisce, pertanto, le misure che dovranno essere messe in atto nel contesto italiano per migliorare la resilienza dei soggetti critici, nonché il quadro istituzionale e le modalità di cooperazione tra le autorità competenti.
Indice degli argomenti
Strategia nazionale per la resilienza dei soggetti critici
Punto focale di tale decreto è l’impostazione e l’adozione di una Strategia nazionale per la resilienza dei soggetti critici, come richiesto dalla Direttiva stessa.
Il Comitato interministeriale per la resilienza (CIR)
Al fine di supervisionare l’attuazione di tale Strategia, il decreto istituisce il CIR: Comitato interministeriale per la resilienza, il quale si configura come un pilastro essenziale della governance delle infrastrutture critiche in Italia, avendo il compito di definire gli indirizzi generali per le politiche di resilienza che dovranno essere adottate.
A tale scopo, la sua composizione include infatti i ministri responsabili delle aree strategiche coinvolte, quali Affari Esteri, Interno, Giustizia, Difesa, Economia, Imprese e Made in Italy, Agricoltura e Sovranità Alimentare, Ambiente, Infrastrutture e Trasporti, Salute, e Protezione Civile.
Inoltre, è rilevante sottolineare che al Comitato partecipano anche rappresentanti delle autorità competenti per la sicurezza nazionale e per le politiche spaziali e aerospaziali, dominio di crescente interesse.
Maggiore vigilanza sui soggetti critici
Per ciascun settore e sottosettore individuato come critico, il decreto prevede inoltre la designazione di Autorità Settoriali Competenti (ASC), responsabili della vigilanza sui soggetti critici operanti nei rispettivi ambiti di competenza.
Le ASC agiscono con un approccio proporzionato e trasparente, garantendo il rispetto dei diritti dei soggetti critici e mantenendo un costante dialogo con le istituzioni coinvolte.
Nel dettaglio, tali Autorità hanno il potere di condurre ispezioni, richiedere documenti e disporre controlli, nonché emettere diffide e imporre sanzioni amministrative pecuniarie.
Elemento di raccordo tra le autorità nazionali ed europee è invece il Punto di Contatto Unico (PCU) il quale, istituito presso la Presidenza del Consiglio dei Ministri, coordina le attività nazionali.
La collaborazione tra queste tre autorità dimostra una visione moderna e integrata della protezione delle infrastrutture critiche, abbandonando l’approccio settoriale a favore di una prospettiva interconnessa e multilivello.
Viene istituito un solido quadro di riferimento
Prospettiva che emerge nella definizione della strategia nazionale per la resilienza dei soggetti critici. Questa strategia non dovrà limitarsi a definire gli obiettivi e le priorità per il potenziamento della resilienza delle infrastrutture critiche, ma istituire un solido quadro di riferimento che coinvolge attivamente le principali autorità e gli stakeholder a livello nazionale.
La sua formulazione si basa infatti su un processo ampio e inclusivo di consultazione pubblica che coinvolge tutti i portatori di interesse.
Un elemento distintivo di questa strategia è l’integrazione tra le misure di protezione fisica e digitale, garantito dall’allineamento con la Strategia Nazionale per la Cybersicurezza.
Inoltre, è previsto che la strategia sia soggetta a un processo di aggiornamento periodico, con una revisione obbligatoria almeno ogni quattro anni, al fine di mantenerla al passo con le evoluzioni normative, tecnologiche e delle minacce emergenti.
L’importanza di una valutazione del rischio a livello statale
Il Decreto pone particolare enfasi sulla valutazione del rischio a livello statale, un processo coordinato dal Punto di Contatto Unico (PCU), che entro il 17 luglio 2025 e poi con cadenza quadriennale, redige una valutazione del rischio dello Stato, la quale integra le valutazioni effettuate dalle ASC e considera i servizi essenziali individuati dal regolamento delegato (UE) 2023/2450 e da eventuali servizi aggiuntivi individuati tramite decreto del Presidente del Consiglio dei Ministri.
I servizi essenziali aggiuntivi sono selezionati in base a criteri specifici, tra cui le interdipendenze con altri servizi essenziali e l’assenza di sovrapposizioni con quelli già elencati nel regolamento europeo (Art. 7, commi 1-2).
La valutazione del rischio statale – fondata su un’analisi dettagliata dei rischi rilevanti, compresi quelli di natura intersettoriale o transfrontaliera, emergenze sanitarie e minacce ibride – richiede una cooperazione costante con il Ministero degli Affari Esteri e della Cooperazione Internazionale, oltre che con autorità competenti di altri Stati membri e Paesi terzi (Art. 7, comma 4).
Questa sinergia internazionale rafforza la capacità di risposta dell’Italia alle minacce che potrebbero colpire i servizi essenziali su scala europea.
Premessa imprescindibile di ogni analisi dei rischi è l’individuazione degli asset da proteggere, che in questo contesto sono rappresentati dai soggetti critici, definiti nell’allegato A del decreto.
Le ASC, seguendo una procedura ben definita, identificano questi soggetti entro il 17 gennaio 2026 e ne comunicano al PCU l’elenco che, successivamente, viene adottato mediante decreto del Presidente del Consiglio dei Ministri.
Per motivi di sicurezza, l’elenco rimane riservato e non è soggetto a pubblicazione (Art. 8, commi 3-4).
Criteri chiari per la valutazione degli effetti di un incidente
Per determinare, nel contesto dell’analisi dei rischi, la rilevanza degli effetti negativi di un incidente, il decreto stabilisce criteri chiari come il numero di utenti coinvolti, l’impatto economico e sociale, e l’area geografica interessata (Art. 9, comma 1).
Anche i soggetti critici sono tenuti ad effettuare una valutazione del rischio, entro nove mesi dalla notifica della loro designazione come tali, e successivamente almeno ogni quattro anni.
Sono inoltre tenuti a adottare misure di resilienza che includono la protezione fisica delle infrastrutture, la gestione della sicurezza del personale, e l’elaborazione di piani di continuità operativa per garantire la fornitura dei servizi essenziali anche in caso di incidenti (Art. 13-14).
Le notifiche di incidenti rilevanti devono essere trasmesse senza ritardi alle autorità competenti, per permettere una risposta tempestiva (Art. 16).
Una nuova categoria speciale di soggetti critici
Il decreto introduce, inoltre, una categoria speciale di soggetti critici, definiti di particolare rilevanza per l’Unione (SCRE) e individuati dalla Commissione Europea.
Questi soggetti sono responsabili della fornitura di servizi essenziali a sei o più Stati membri e sono sottoposti a procedure di valutazione e consulenza specifiche.
A seguito dell’identificazione di tali infrastrutture a livello nazionale, il PCU ha il compito di garantire che esse rispettino gli obblighi previsti e adottino misure adeguate a migliorare la loro resilienza (Art. 17-18).
Le sanzioni per la mancata conformità alla CER
Per quanto concerne, infine, le misure volte a tutelare la corretta applicazione del decreto, sono state previste delle sanzioni amministrative pecuniarie, che le ASC possono imporre qualora un soggetto critico non rispetti le disposizioni, nel dettaglio: se non esegue la valutazione del rischio, non adotta le misure previste, non notifica gli incidenti o non fornisce le informazioni richieste entro i termini stabiliti.
In tali situazioni, le sanzioni possono variare da 25.000 a 125.000 euro. Se il soggetto non adempie ai propri obblighi entro 30 giorni dalla scadenza del termine, la sanzione varia da 10.000 a 50.000 euro mentre, in caso di reiterazione delle violazioni, può essere aumentata fino al triplo dell’importo previsto (Art. 20-21).
Conclusioni
Le disposizioni sopra descritte mettono in luce come il Decreto Attuativo della CER in Italia rappresenti un esempio concreto del lavoro proattivo condotto dalle istituzioni italiane, in collaborazione con le autorità UE, per garantire la sicurezza e la resilienza dei servizi essenziali, contribuendo al raggiungimento di un livello sempre più alto di sicurezza collettiva dell’intero continente europeo.
