Alla luce della crescente complessità delle minacce che interessano le infrastrutture strategiche, il Governo italiano ha pubblicato nel giugno 2025 la Strategia Nazionale per la Resilienza dei Soggetti Critici. Questa iniziativa costituisce un passo fondamentale nell’applicazione della Direttiva UE 2022/2557, la CER (Critical Entities Resilience Directive), finalizzata a rafforzare l’approccio complessivo alla protezione delle entità essenziali.
Un contesto normativo complesso
La Struttura normativa vigente coinvolge diverse direttive e quadri regolatori, come NIS2 (Network and Information Security), che introduce requisiti specifici sull’ambito della cybersicurezza. Il testo attuativo del decreto legislativo 134/2024 sancisce una governance differenziata, con autorità distinte per ogni settore (Autorità Settoriali Competenti – ASC), mentre la cybersicurezza rientra nella competenza della Agenzia per la Cybersicurezza Nazionale (ACN).
Questo sistema, anche se articolato, presenta una sfida: evitare sovrapposizioni e interpretazioni divergenti degli obblighi per gli operatori. Per esempio, un gestore di energia, sotto la CER, risponde al MASE (Ministero dell’Ambiente, della Sicurezza e della Sostenibilità Energetica), mentre sotto NIS2 risponde all’ACN. La Strategia ribadisce però l’importanza di un coordinamento mirato per ottenere una sinergia tra l’approccio fisico e cyber alla resilienza.
La governance e le interdipendenze
Uno spazio considerevole è dedicato alla questione delle interdipendenze tra infrastrutture e settori, in quanto molte minacce non colpiscono singoli comparti ma interi sistemi. La CER, ad esempio, cerca di affrontare questa complessità con l’analisi delle relazioni tra energia, trasporti, digitalizzazione e sanità, che costituiscono i nodi centrali del sistema Paese.
Questo compito richiede un cambio di prospettiva: il focus non è tanto sul rafforzamento di singole infrastrutture, quanto sull’identificazione dei punti critici del sistema interconnesso. Per rispondere a questa sfida, la Strategia introduce una misura chiave: la misura 1.4, volta allo sviluppo di una piattaforma tecnologica per la gestione di interdipendenze, che utilizza sistemi di intelligenza artificiale per simulare impatti a catena e scenari futuri.
Cooperazione pubblico-privata
Essendo molte infrastrutture strategiche gestite da operatori privati, la Strategia ribadisce l’importanza della cooperazione tra istituzioni pubbliche e aziende, per costruire un sistema di resilienza condivisa. La condivisione di informazioni, di best practice, degli stress test e la sensibilizzazione al rischio sono considerate strumenti fondamentali.
La collaborazione trova forma anche nella Conferenza per la Resilienza dei Soggetti Critici, che coinvolge soggetti istituzionali, settori industriali e rappresentanti associativi. In particolare, la misura 3.4 prevede un canale formale con AIPSA, Associazione Italiana dei Professionisti della Security Aziendale, per rafforzare la cultura della resilienza.
I tre obiettivi principali
L’obiettivo principale della Strategia è garantire la fornitura ininterrotta di servizi essenziali, in grado di resistere a eventi crisi fisici oppure cyber. Questo mandato viene articolato in tre obiettivi principali:
- 1. Comprendere lo stato attuale della resilienza nazionale;
- 2. Conseguire e mantenere un livello elevato di resilienza;
- 3. Promuovere la cooperazione nazionale e transnazionale per il coordinamento.
Questi obiettivi si concretizzano in 36 misure distinte, ciascuna con un attore responsabile e una data di svolgimento nel triennio 2025-2027.
Le misure concrete
La Strategia introduce una serie di misure operative per concretizzare i principi esposti, tra cui:
- 1.3 – Analisi delle dipendenze extra-nazionali;
- 1.4 – Mappatura e piattaforma per interdipendenze settoriali;
- 2.2 – Diffusione di linee guida per le fasi di resilienza;
- 2.3 – Collaborazione su criticità infrastrutturali e competenze;
- 3.1 – Accordi bilaterali con Paesi esteri;
- 3.3 – Stabilimento del tavolo di raccordo tra PCU e ACN per sinergia NIS-CER;
- 3.4 – Canale formale con AIPSA.
Un ruolo centrale per la resilienza digitale
Un fattore peculiare della strategia riguarda l’importanza crescente del rischio informativo, connesso alle vulnerabilità digitali. Sebbene la normativa NIS2 abbia già delineato criteri di gestione di incidenti cyber con tempi di risposta definiti, la CER introduce ulteriori requisiti, con particolare attenzione alle infrastrutture critiche digitali.
La Strategia cerca di equilibrare le due normative, favorendo una gestione armonizzata del rischio cyber per settori diversi, anche in presenza di diversità nell’architettura normativa. La presenza dell’ACN in diversi ambiti conferisce al Paese uno schema flessibile, che richiede però una costante attenzione al coordinamento.
Un contesto di rischio mutevole
La Strategia ribadisce che gli operatori devono prepararsi a minacce ibride, complesse e interconnesse, come attacchi a infrastrutture chiave, che coinvolgono dimensioni fisiche, informatiche e politiche. La capacità di risposta non può quindi basarsi esclusivamente su difesa tecnica, ma deve integrare anche strumenti di valutazione preventiva, di pianificazione, di adattamento e di gestione post-crisi.
Per supportare tale visione, la Strategia promuove una cultura istituzionale basata sulla prevenzione e sull'analisi, anticipando i rischi e promovendone una gestione strumentale e trasversale.
Sfide per il futuro
Il compito ora spetta alle autorità di attuare la Strategia con precisione e rapidità. La complessità del quadro normativo ha richiesto un impegno considerevole nel suo contesto di pianificazione. Tuttavia, per garantire l'efficacia di misure a medio-breve termine, il successo della Strategia dipenderà da una capillare attuazione sul campo.
Le PMI, ad esempio, richiederanno strumenti di sostegno specifici, in quanto spesso mancano delle risorse necessarie per adottare procedure di resilienza elevate. La Strategia, inoltre, dovrà affrontare la crescente complessità tecnologica e la necessità di aggiornamento continuo, in presenza di minacce cyber