Direttiva CER, la resilienza dei soggetti critici entra nella fase decisiva

Con la pubblicazione della Strategia nazionale per la resilienza dei soggetti critici, si entra nel vivo dell’implementazione della Direttiva CER (Direttiva UE 2022/2557) in Italia. Trattasi di un tassello chiave per rafforzare la capacità d’Europa di far fronte a rischi sistemici crescenti. La Direttiva CER si complementa con la Direttiva NIS2, e in Italia entrambe sono recepite insieme con i decreti legislativi 134/2024 (Decreto CER) e 138/2024 (Decreto NIS).

Cosa prevede la Direttiva CER

La Direttiva CER stabilisce misure specifiche per garantire che i servizi essenziali per il mercato interno vengano forniti senza ostacoli. Gli Stati membri devono quindi individuare i soggetti critici e sostenere il loro adempimento agli obblighi, promuovendo una resilienza attiva di fronte a incidenti che minaccino la fornitura di tali servizi essenziali.

Una definizione centrale in questo contesto è quella di resilienza, intesa come capacità di un soggetto critico di: prevenire, attenuare, assorbire un incidente, proteggersi, rispondervi, resistervi, adattarvisi e ripristinare le proprie operazioni. Questo concetto va al di là del tradizionale ripristino operativo, sottolineando l’adattamento, come avvenuto in occasione del lockdown pandemico. Le aziende non hanno semplicemente tornato a una normalità passata, ma si sono rinnovate per affrontare un sistema modificato.

I settori coinvolti

La Direttiva CER si applica a settori più ristretti rispetto alla NIS2 e i soggetti in ambito vengono identificati individualmente e notificati. I settori coperti sono: energia, trasporti, bancario, infrastrutture dei mercati finanziari, salute, acqua potabile, trattamento delle acque reflue, infrastrutture digitali, enti della pubblica amministrazione, spazio e infine produzione, trasformazione e distribuzione di alimenti.

Gli obblighi principali

I soggetti CER dovranno assicurare la continuità dei servizi essenziali in caso di incidenti significativi. Tra gli obblighi si trovano:

• Valutazione dei rischi: per individuare i soggetti critici e gestire eventuali interruzioni.
• Notifica degli incidenti: gli incidenti sono segnalati all’autorità competente.
• Misure di continuità operativa: per adattarsi e resistere a minacce fisiche e digitali.
• Coordinamento con gli altri livelli di Governo per rispondere in modo integrato a eventi transfrontalieri.

Differenze rispetto alla Direttiva NIS2

La normativa introduce alcune importanti differenze rispetto alla Direttiva NIS2:

• Raggruppamento diverso di settori: più incentrato su infrastrutture critiche.
• Identificazione individuale dei soggetti: anziché automatica sul tipo di attività.
• Focalizzazione sui servizi essenziali specifici, non sull’attività intera del soggetto.
• Assenza di previsioni specifiche per la responsabilità gestionale, una lacuna rilevante nel quadro legislativo.
• Sanzioni nazionali: in Italia i massimali sono fino a 125.000 euro per violazione, triplicabili in caso di reiterazione.

Le sanzioni, in particolare, non sembrano sufficientemente dissuasive in un panorama dove costi di conformità possono essere rilevanti. Il modello legislativo, quindi, in alcuni aspetti sembra anticipare più la struttura della Direttiva NIS1, raffigurando un quadro di attuazione meno incisivo.

I rischi sistemici coperti

Nella Direttiva, i rischi sistemici di interesse governativo comprendono:

• Rischi naturali e umani.
• Catastrofi naturali.
• Emergenze di sanità pubblica.
• Minacce ibride o antagoniste.
• Attacchi terroristici.
• Incidenti fisici che possono compromettere l’erogazione di servizi essenziali.

La definizione di incidente nel decreto italiano differisce da quella europea, limitando il concetto a eventi di natura fisica. Questo potrebbe rappresentare un punto di divergenza importante con l’ambizione originale dell’unione europea.

L’importanza della valutazione dei rischi

Tutti i soggetti coinvolti dovranno effettuare valutazioni di rischio mirate, in collaborazione con l’autorità nazionale competente. Queste valutazioni sono basilari per:

• Individuare i soggetti critici.
• Focalizzare gli interventi su servizi essenziali specifici.
• Ridurre vulnerabilità nei confronti di minacce sistemiche e transfrontaliere.

La Direttiva sottolinea l’importanza di valutazioni strutturate e ripetitive, non solo per la prevenzione, ma anche per adattare strategie a seconda delle evoluzioni contestuali.

Che differenze esistono nel contesto italiano

In Italia, come sancito dal decreto legislativo 134/2024, l’implementazione della normativa include una governance specifica, con sanzioni che in base all’art. 21 arriva a 125.000 euro. La normativa italiana include anche la possibilità, con decreto del Presidente del Consiglio dei Ministri, di individuare nova elencazione nazionale di servizi essenziali, in aggiunta a quelle esistenti a livello comunitario.

I prossimi passi

I soggetti individuati come CER dovranno iniziare a implementare piani di resilienza. Questi devono:

• Identificare i rischi specifici relativi ai servizi essenziali.
• Adottare misure preventive e reattive all’interno del piano di continuità operativa.
• Controllare il ripristino in tempo utile in caso di incidente, limitando sprechi e interruzioni.

Le autorità dovranno monitorare le performance e fornire feedback, garantendo che gli obiettivi della Direttiva vengano raggiunti in piena collaborazione tra settore privato e pubblico.

Conclusione

L’entrata in vigore della Direttiva CER