Con la pubblicazione della Strategia nazionale per la resilienza dei soggetti critici, si entra nel vivo dell’implementazione della Direttiva CER, un ulteriore tassello per assicurare la capacità dell’Europa di gestire i rischi sistemici che in questi ultimi anni sono particolarmente oggetto di attenzione. La Direttiva CER (Direttiva EU/2022/2557) è sorella della Direttiva NIS2, con la quale è strettamente coordinata. Anche a livello di recepimento in Italia, il D.Lgs. 134/2024 (Decreto CER) è stato emanato insieme al D.Lgs. 138/2024 (Decreto NIS).
La Direttiva CER si occupa però di “misure specifiche volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche… siano forniti senza impedimenti nel mercato interno” e richiede agli Stati membri “di individuare i soggetti critici e di sostenerli nell’adempimento degli obblighi loro imposti”. A questo scopo si occupa fra l’altro di stabilire “per i soggetti critici obblighi volti a rafforzare la loro resilienza e la loro capacità di fornire servizi”, in particolare a fronte di incidenti che possano perturbare o perturbino in modo significativo “la fornitura di un servizio essenziale, inclusi i casi in cui si ripercuote negativamente sui sistemi nazionali che salvaguardano lo Stato di diritto”. Siamo quindi nell’ambito della continuità operativa, vista però nella sua accezione più moderna di “resilienza”, ovvero di “capacità di un soggetto critico di prevenire, attenuare, assorbire un incidente, di proteggersi da esso, di rispondervi, di resistervi, di adattarvisi e di ripristinare le proprie capacità operative”.
Rispetto all’approccio più tradizionale, focalizzato sul ripristino, qui abbiamo il concetto fondamentale dell’adattamento, che si è visto molto bene in occasione del lockdown dovuto alla pandemia da COVID-19: le aziende non si sono limitate a ripristinare le proprie attività nello stato pre-covid; al contrario, si sono adattate, facendo sì che durante il lockdown, e in caso di un nuovo evento analogo, l’impatto sull’operatività sia minore. Adesso, ad esempio, la capacità di lavorare da remoto è enormemente aumentata, sia in termini di gestione da parte delle singole aziende che a livello sistemico.
Indice degli argomenti
Direttiva CER e NIS2: servizi essenziali e rischi di continuità
Se la direttiva NIS2 si occupa quindi di incidenti di cybersecurity e della gestione del rischio che accadano, la Direttiva CER si occupa di incidenti che più in generale possano perturbare la capacità di erogare servizi essenziali. Questi servizi essenziali sono servizi “fondamentali per il mantenimento di funzioni vitali della società, di attività economiche, della salute e della sicurezza pubbliche o dell’ambiente”. A questo proposito, la Commissione Europea, con il regolamento delegato (UE) 2023/2450, ha individuato un insieme di servizi essenziali erogati dalle diverse categorie di soggetti; in aggiunta, il Decreto CER prevede che, con decreto del Presidente del Consiglio dei ministri, a livello italiano possano essere individuati eventuali servizi essenziali aggiuntivi, sulla base di specifici criteri. I servizi essenziali sono rilevanti per questa normativa perché è rispetto a questi, e non alla totalità delle attività dei soggetti, che sono definiti le valutazioni di rischio e gli obblighi.
Nel forte coordinamento con la Direttiva NIS2, la Direttiva CER prevede che per le materie disciplinate da quest’ultima, la Direttiva CER stessa non si applichi, essendoci già appunto una norma più specifica. Prevede inoltre, secondo logiche simili, che numerosi obblighi non si applichino al settore bancario, a quello dei mercati finanziari e a quello delle infrastrutture digitali. Per queste ultime in particolare, l’obbligo di approccio multirischio previsto dalla NIS2, affrontando i temi di cybersecurity, va di fatto a coprire questi obblighi proprio sui servizi essenziali che questi soggetti erogano. Un soggetto che venga individuato come soggetto CER, diviene poi naturalmente anche soggetto NIS2, per poter gestire coerentemente anche i rischi di cybersecurity.
Soggetti critici, settori e differenze rispetto alla NIS2
In generale, la struttura della Direttiva CER, le logiche e le modalità con cui prevede di raggiungere i propri obiettivi sono molto simili a quelle della Direttiva NIS2, ma con alcune differenze importanti. La prima è che i settori a cui si applica sono meno ampi e, soprattutto, i soggetti in perimetro sono individuati singolarmente e notificati, invece di essere individuati automaticamente in base a settore di attività e dimensioni e poi tenuti a registrarsi spontaneamente. I settori sono poi molti meno, e anche all’interno di settori presenti negli elenchi di entrambe le norme, le categorie di soggetti sono meno. I settori in particolare sono: energia, trasporti, bancario, infrastrutture dei mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, enti della pubblica amministrazione, spazio, e infine produzione, trasformazione e distribuzione di alimenti.
La focalizzazione è quindi molto più sulle infrastrutture, con l’eccezione forse del settore alimentare. Un’altra differenza importante riguarda l’assenza delle previsioni specifiche per la responsabilità degli organi di gestione. Un’ulteriore differenza, già citata, è la focalizzazione sui servizi essenziali. È un punto importante perché gli obblighi che derivano da questa normativa possono essere in generale molto onerosi, e doverli applicare in relazione ad alcuni o a tutti i servizi del soggetto può fare molta differenza. Ancora un’altra differenza importante è data dal fatto che le sanzioni sono determinate dai singoli Stati membri. Per quanto riguarda l’Italia, all’art. 21 del Decreto CER si trovano sanzioni che possono arrivare al più a 125.000 euro, triplicabili in caso di reiterazione. Questo e alcuni altri aspetti distaccano la Direttiva CER dalla NIS2. In particolare, l’identificazione dei singoli soggetti da parte degli Stati membri e l’entità delle sanzioni (almeno in Italia) fanno pensare più alla Direttiva NIS1 che alla NIS2, il che non è promettente per il successo di questa norma. Possiamo sperare che la sensibilità che oggi si ha su questi temi sia diversa, ma certo è difficile pensare che una sanzione di 125.000 euro possa essere “dissuasiva”, quando si parla di temi per i quali l’adeguamento può avere costi diversi potenzialmente per ordini di grandezza.
Quali rischi rientrano nella Direttiva CER
Nel concreto quindi, di quali rischi si occupa la Direttiva CER? Nell’art. 5, dove si descrivono le attività di valutazione del rischio in carico agli Stati membri (quindi non quelle specifiche in carico ai singoli soggetti), si parla di “rischi rilevanti, naturali e di origine umana, compresi quelli di natura intersettoriale o transfrontaliera, gli incidenti, le catastrofi naturali, le emergenze di sanità pubblica, le minacce ibride o altre minacce antagoniste, inclusi i reati di terrorismo”. Siamo in un ambito di rischio aziendale più ampio quindi, anche se non comprende tutte le tipologie di rischio che una singola azienda può dover considerare a tutela della propria resilienza. È utile evidenziare a questo punto che la definizione di incidente data dal Decreto 134/2024 è significativamente diversa da quella della Direttiva, facendo esplicitamente riferimento a eventi “di carattere fisico”, specificazione assente nella definizione della Direttiva, e manca invece il riferimento ai “casi in cui si ripercuote negativamente sui sistemi nazionali che salvaguardano lo Stato di diritto”.
Sia la Direttiva che il Decreto dedicano ampio spazio alla valutazione del rischio, anche perché è centrale la valutazione fatta dallo Stato, anche per individuare i soggetti in perimetro ed i servizi essenziali. Complessivamente, in effetti, lo Stato, attraverso le diverse entità, già esistenti o definite nell’ambito di questa normativa, ha un ruolo molto più centrale rispetto al contesto della NIS2, effettuando appunto valutazioni di rischio e, come indicato ad esempio all’art. 11 del Decreto CER, sostenendo i soggetti in perimetro “nel rafforzamento della loro resilienza, attraverso attività di scambio con essi di buone prassi, elaborazione di modelli, linee guida e metodologie di analisi, supporto nell’organizzazione di esercitazioni volte a testare la loro resilienza, nonché nella realizzazione di corsi di formazione per il loro personale e, ove possibile, attraverso attività di consulenza”. Un ruolo simile è assunto anche dalla Commissione Europea, prevedendo anche “missioni di consulenza” verso i soggetti critici di particolare rilevanza europea.
Obblighi CER: analisi dei rischi, misure di resilienza e notifiche
Per quanto riguarda gli obblighi per i soggetti in perimetro, il capo III della Direttiva, come anche del Decreto, dal titolo “resilienza dei soggetti critici”, segue la stessa linea della NIS2: analisi dei rischi, “misure di resilienza” e notifica degli incidenti, con una notifica iniziale entro 24 ore dal momento in cui vengono a conoscenza di un incidente, seguita, ove opportuno, da una relazione finale dettagliata al più tardi dopo un mese. Anche qui è evidente il ruolo dello Stato, ad esempio nel fornire le proprie valutazioni di rischio, che consentano al soggetto di effettuare le proprie valutazioni con una “situational awareness” adeguata, sia che si tratti di rischio di calamità naturale o di terrorismo. E proprio in relazione a temi come il terrorismo è utile segnalare uno dei punti che probabilmente risulteranno più delicati per l’attuazione di questa normativa, ovvero il tema della verifica dei precedenti penali. La direttiva dedica a questo tema l’art. 14, “Controlli dei precedenti personali”, che al comma 1 prevede:
- Gli Stati membri precisano le condizioni in base alle quali il soggetto critico è autorizzato, in casi debitamente motivati e tenendo conto della valutazione del rischio dello Stato membro, a presentare richieste di controlli dei precedenti personali per le persone che:
a) rivestono ruoli sensibili all’interno del soggetto critico o a vantaggio di quest’ultimo, segnatamente in relazione alla resilienza del soggetto critico;
b) sono autorizzate ad accedere — direttamente o a distanza — ai suoi siti e ai suoi sistemi informatici o di controllo, anche in relazione alla sicurezza del soggetto critico;
c) sono presi in considerazione per l’assunzione in ruoli che rientrano nei criteri di cui alle lettere a) o b).
Al comma 3 si parla specificamente di precedenti penali:
- Il controllo dei precedenti personali di cui al paragrafo 1, come minimo:
a) conferma l’identità della persona che è soggetta al controllo dei precedenti personali;
b) verifica i precedenti penali di tale persona per quanto riguarda reati rilevanti ai fini di uno specifico ruolo.
Questa indicazione è stata coerentemente ripresa dal Decreto italiano nell’art. 15.
Il richiamo ai sistemi informatici o di controllo come ambito di rischio talmente elevato da giustificare questa misura è spunto per evidenziare ancora una volta la forte relazione fra la Direttiva CER e la Direttiva NIS2, richiamata ben 34 volte, di cui 16 volte nel preambolo. Per quanto normative relative ad altri rischi vengano richiamate (ad esempio in relazione al contrasto al terrorismo, alla protezione civile, ai rischi di alluvioni e quelli relativi a sostanze pericolose, a quelli relativi all’energia elettrica e all’approvvigionamento di gas), per nessuna è indicato un coordinamento così forte e continuo, segno della rilevanza che ha assunto ormai la digitalizzazione nella capacità delle aziende di operare.
Strategia nazionale per la resilienza dei soggetti critici
Nell’ambito dell’attuazione di questa normativa, il Governo italiano ha quindi emanato in questi giorni la Strategia nazionale per la resilienza dei soggetti critici. Coerentemente con quanto appena indicato, la Strategia, pur facendo riferimento ad eventi di natura fisica, richiama subito il tema delle minacce di natura ibrida. Inoltre, fa subito riferimento ad un approccio integrato ispirato ai principi “all hazards –whole of government – whole of society” al centro di numerose iniziative europee.
Il primo capitolo della strategia definisce il modello di governance nazionale, definita in linea con quanto le strutture già in essere e con quanto richiesto dalla normativa. Hanno un ruolo centrale la Presidenza del Consiglio, il Comitato interministeriale per la resilienza, le autorità settoriali competenti e l’ACN. Segue un capitolo di panoramica sui temi di coordinamento e di scambio di informazioni. Il terzo capitolo discute le misure a sostegno dei soggetti critici. Qui è esplicitato e approfondito un punto importante solo accennato nella norma, quello degli stress test, tema già affrontato ad esempio nel settore bancario e che potrebbe essere ampliato a stress test settoriali e intersettoriali, con una particolare attenzione agli eventi di bassa probabilità ed alto impatto, ovvero quelli più pertinenti ai temi, appunto, della resilienza e della continuità operativa.
Abbiamo poi una panoramica sintetica e di alto livello dei rischi individuati per i diversi settori in perimetro.
I tre obiettivi strategici della resilienza CER
Nel capitolo successivo si comincia ad entrare nel merito dei tre obiettivi strategici:
• Comprensione dello stato attuale della resilienza dei soggetti critici
• Conseguimento e mantenimento di un elevato livello di resilienza dei soggetti critici
• Promozione della cooperazione e del coordinamento tra gli attori coinvolti a livello nazionale, europeo e internazionale
Per quanto riguarda il primo obiettivo, le misure previste si sovrappongono in parte con quanto strettamente necessario per l’attuazione degli obblighi legati all’implementazione della norma. Due misure sono però particolarmente interessanti, la 1.3 e la 1.6, ovvero:
1.3 Individuazione delle principali infrastrutture e assetti posti all’estero il cui non corretto funzionamento può ripercuotersi sulla capacità di erogazione dei servizi essenziali in Italia
1.6 Tavolo Permanente sulla Resilienza dei Soggetti Critici per il settore Salute
La 1.6 prevede l’istituzione di un tavolo nazionale apicale con funzioni di indirizzo strategico, coordinamento operativo e monitoraggio dell’efficacia delle misure di resilienza in ambito salute, identificando quindi un settore, quello della salute, in cui un’attività di coordinamento può essere particolarmente necessaria, sia in fase di prevenzione che nella gestione dell’emergenza.
Per quanto riguarda il secondo obiettivo, come detto una misura importante è data dalla previsione di stress test, ma anche dalle attività di formazione e di condivisione di buone pratiche. In effetti, anche in ambito NIS2, la disponibilità di linee guida e buone pratiche contestualizzate ai requisiti normativi è un’esigenza, particolarmente sentita dai soggetti in perimetro più piccoli e meno maturi. Anche qui una misura dedica specifica attenzione al settore della salute, ed una specifica affronta il tema della mappatura, classificazione e protezione delle infrastrutture critiche subacquee. Una misura affronta specificamente la resilienza fisica delle infrastrutture digitali, affrontando fra l’altro temi come la sicurezza e affidabilità del personale e ridondanza dei percorsi di connettività.
Il terzo obiettivo, legato alla promozione della cooperazione e del coordinamento, comprende prima di tutto un punto importante riguarda lo sviluppo di protocolli di cooperazione con i Paesi esteri che ospitano infrastrutture, assetti o forniture da cui dipende l’erogazione dei servizi essenziali. Per quanto riguarda l’ambito del digitale, si può evidenziare l’istituzione di un tavolo di raccordo permanente con l’ACN, anche per armonizzare gli obblighi. Infine, qui viene affrontato il tema delicato dei rischi legati ai comportamenti infedeli da parte del personale, e del bilanciamento fra le esigenze di sicurezza e le prerogative ed i diritti fondamentali dei lavoratori.
Individuazione dei soggetti critici e tempi di applicazione
Il capitolo successivo della strategia affronta le modalità ed i criteri di individuazione dei soggetti critici. Qui si sottolinea come la normativa preveda che gli obblighi ai quali i soggetti in perimetro sono soggetti divengono applicabili dieci mesi dopo la notifica. Dieci mesi, quando si parla di interventi nell’ambito della continuità operativa, non sono certamente tempi abbondanti. In questo saranno certamente avvantaggiati i soggetti che, approfittando degli obblighi di adeguamento alla NIS2, abbiano già affrontato il tema della continuità operativa non in una prospettiva minimale e puramente formale di rispetto del requisito, ma nell’ottica di gestire efficacemente la propria resilienza.
La strategia si conclude, oltre che con un elenco di portatori di interesse ed uno di acronimi, con un capitolo relativo alle misure per agevolare il rispetto degli obblighi da parte dei soggetti critici di piccole e medie dimensioni. Non bisogna dimenticare infatti che, per quanto le dimensioni possano concorrere alla valutazione se un soggetto sia o meno critico e quindi in perimetro, non vi è un vero criterio dimensionale analogo a quello della NIS2, e quindi l’attenzione agli oneri ed alle complessità imposti ad aziende anche piccole è maggiormente necessaria. In questa sezione si evidenzia che attualmente non esistono misure di sostegno specificamente dedicate alle PMI che rivestono un ruolo critico nella continuità dei servizi essenziali, manifestando l’intenzione di colmare questa lacuna, senza però entrare maggiormente nel merito di come raggiungere questo obiettivo.
Direttiva CER, prossima scadenza e impatto sulle aziende italiane
Con la pubblicazione della strategia, si entra quindi nel vivo dell’implementazione della normativa sulla resilienza dei soggetti critici. Per i soggetti che saranno individuati come in perimetro, sarà essenziale capire cosa venga loro chiesto esattamente, in funzione delle valutazioni di rischio effettuate. Gli investimenti nell’ambito della continuità operativa e della resilienza sono in generale investimenti importanti, ed i progetti di implementazione sono complessi e impattanti. È importante quindi evitare di imporre oneri che non siano improntati ad una efficacia sostanziale in termini di riduzione del rischio.
La prossima scadenza, fondamentale, è quella del 17 luglio, data entro la quale è prevista l’adozione dell’elenco dei soggetti in perimetro. Di lì, entro trenta giorni è prevista la notifica ai soggetti in elenco che sono stati individuati come soggetti critici. A quel punto potremo iniziare a farci un’idea dell’impatto che questa normativa avrà sulle aziende italiane.
Partecipa alla community