L’11 giugno la Presidenza del Consiglio dei ministri ha pubblicato la Strategia Nazionale per la Resilienza dei soggetti critici, in attuazione dell’articolo 6 del decreto legislativo 4 settembre 2024, n. 134, che recepisce nell’ordinamento italiano la direttiva (UE) 2022/2557, nota come direttiva CER.
Il testo si inserisce in un quadro più ampio, che comprende anche la Strategia nazionale di cybersicurezza 2022-2026, e affronta da subito un nodo che agli operatori del settore non sarà nuovo: il coordinamento tra gli obblighi sulla resilienza fisica previsti dalla CER e quelli sulla cybersicurezza previsti dalla NIS2, destinati a sovrapporsi per un numero rilevante di soggetti. A livello pratico, questo significa scambio informativo coerente, supervisione coordinata e un’interpretazione armonizzata degli obblighi, in modo da evitare che gli stessi operatori debbano rispondere due volte alla stessa esigenza con regole diverse. La Strategia insiste correttamente su questo punto, fin dalle prime pagine.
Indice degli argomenti
Strategia nazionale per la resilienza dei soggetti critici: il nodo CER e NIS2
Le due normative, NIS2 e CER, infatti, hanno strutture di governance diverse, autorità di riferimento diverse e soglie di notifica degli incidenti diverse: la CER dispone che ogni settore abbia la propria Autorità di riferimento (MASE per l’energia, MIT per i trasporti, Ministero della Salute per la sanità, e così via) e che queste Autorità siano coordinate dal Punto di Contatto Unico presso la Presidenza del Consiglio dei Ministri; per la NIS2, invece, il d.lgs. 138/2024 individua l’Agenzia per la Cybersicurezza Nazionale (ACN) come autorità nazionale competente unica e come punto di contatto unico. Lo stesso testo della Strategia segnala che ACN “opera su un doppio binario”, in quanto è al tempo stesso Autorità Settoriale Competente per le infrastrutture digitali in ambito CER. Questo produce una differenza concreta per l’operatore. Un gestore di reti energetiche, ad esempio, sotto CER risponde al MASE; sotto NIS2, risponde all’ACN. Per quanto riguarda le soglie e i tempi di notifica degli incidenti, invece, NIS2 prevede una early warning entro 24 ore, una notifica formale entro 72 ore e un rapporto finale entro un mese, mentre la CER usa criteri di “rilevanza” dell’incidente definiti settore per settore dalle ASC, con tempistiche non uniformi.
La Strategia stabilisce quindi la creazione di un tavolo di raccordo permanente tra il Punto di Contatto Unico (PCU) e l’Agenzia per la Cybersicurezza Nazionale (ACN), già avviato nell’ottobre 2025 (misura 3.3), e insiste sulla necessità di coordinare i due regimi. Vale la pena ricordare che, per il settore bancario e delle infrastrutture dei mercati finanziari, il quadro si complica ulteriormente con l’aggiunta del regolamento DORA sulla resilienza operativa digitale, che costituisce una normativa speciale rispetto alla CER per i profili di resilienza di quel comparto.
Rischi naturali, antropici e intersettoriali per le infrastrutture critiche
Il contesto da cui muove il documento è quello dei gestori di infrastrutture critiche, esposti a tre categorie di rischio: i rischi naturali, i rischi antropici e i rischi intersettoriali e transfrontalieri, questi ultimi originati dalle interdipendenze tra reti, funzioni e settori. È proprio su questo terzo fronte che la Strategia offre alcuni degli spunti più rilevanti per chi lavora nel settore, perché riconosce esplicitamente che la minaccia non è quasi mai isolata, in quanto molte interruzioni o danneggiamenti di infrastrutture possono inserirsi in campagne ibride, che combinano componenti fisiche, cyber, informative ed economiche.
Sul piano metodologico, la scelta di fondo è collocare la valutazione del rischio nazionale prima della definizione degli obiettivi e delle misure attuative. Ogni misura viene poi associata a un attore responsabile e a una data di avvio, su un arco temporale che si estende fino al 2027. Il processo di elaborazione, secondo quanto riportato nel documento, ha incluso incontri settoriali con le Autorità Settoriali Competenti (ASC) e le principali associazioni di categoria, oltre a una consultazione pubblica. Questo approccio è coerente con quanto raccomandato a livello europeo, e rappresenta un passo avanti rispetto a impostazioni precedenti, in cui gli obblighi tendevano a precedere l’analisi.
Cooperazione pubblico-privato e obiettivi della strategia CER
La Strategia riconosce che la resilienza nazionale non può essere costruita esclusivamente attraverso strumenti pubblici: la maggior parte delle infrastrutture che erogano servizi essenziali e una parte rilevante delle filiere strategiche sono gestite da operatori privati. Per questo la cooperazione pubblico-privato viene individuata come uno dei fattori essenziali per migliorare la capacità di prevenzione, risposta e ripristino, da realizzarsi attraverso lo scambio bidirezionale di informazioni, la condivisione di metodologie di analisi del rischio, l’organizzazione di stress test settoriali e intersettoriali e la formazione del personale dei soggetti critici. Questa cooperazione trova una sede stabile nella Conferenza per la Resilienza dei Soggetti Critici e nel canale programmato con AIPSA, l’Associazione Italiana dei Professionisti della Security Aziendale (misura 3.4).
Il decreto legislativo 134/2024 ha come obiettivo che i servizi essenziali siano forniti senza impedimenti, e che i soggetti che li erogano siano in grado di prevenire, attenuare e assorbire un evento negativo di carattere fisico, di rispondervi, di resistervi o adattarvisi, e di ripristinare le proprie capacità operative. La Strategia traduce questo mandato in tre obiettivi: la comprensione dello stato attuale della resilienza dei soggetti critici (obiettivo 1); il conseguimento e il mantenimento di un livello elevato di resilienza (obiettivo 2); la promozione della cooperazione e del coordinamento tra gli attori coinvolti a livello nazionale, europeo e internazionale (obiettivo 3).
Tra le misure che li traducono in pratica figurano l’analisi delle dipendenze extra-nazionali dei soggetti critici (misura 1.3), la mappatura delle dipendenze e interdipendenze settoriali (misura 1.4), la diffusione di linee guida per le fasi di prevenzione, protezione, risposta e ripristino (misura 2.2), la promozione di una comprensione reciproca tra pubblico e privato sulle criticità infrastrutturali e sulle competenze istituzionali (misura 2.3), e la definizione o l’estensione di accordi bilaterali con i Paesi esteri da cui dipendono asset e forniture strategiche (misura 3.1).
Interdipendenze settoriali e piattaforma di analisi predittiva
Particolarmente rilevante appare, in questo quadro, l’attenzione dedicata alle interdipendenze.
La misura 1.4, infatti, prevede lo sviluppo di una piattaforma per identificare e analizzare le interdipendenze settoriali, basata su un protocollo d’intesa con un organismo nazionale di ricerca. La piattaforma, che dovrà includere capacità di simulazione degli impatti a cascata e analisi predittive di tipo what-if, integrate con sistemi di intelligenza artificiale, rappresenta forse lo strumento più ambizioso della Strategia, e potrebbe diventare uno strumento di conoscenza del sistema-Paese senza precedenti, utile non solo per la gestione delle crisi ma anche per la pianificazione strategica in tempi ordinari.
La valutazione nazionale del rischio, condotta dal Punto di Contatto Unico (istituito presso la Presidenza del Consiglio dei ministri nella persona del Consigliere Militare del Presidente del Consiglio, con il supporto dell’Ufficio Infrastrutture Critiche) in cooperazione con le ASC, individua in energia, telecomunicazioni e trasporti i nodi centrali del sistema: tre comparti dai quali dipende, direttamente o indirettamente, la tenuta di tutti gli altri. Da questa indicazione discende la necessità, richiamata dalla Strategia, di comprendere meglio anche le dipendenze transnazionali e le fragilità delle catene di approvvigionamento, aspetti che gli ultimi anni hanno reso particolarmente evidenti.
Il quadro che ne emerge è articolato. Le interdipendenze settoriali vengono individuate come fattore di vulnerabilità comune a più comparti; la carenza di personale specializzato riguarda in particolare la Pubblica Amministrazione; i rischi idrogeologici e la scarsità idrica risultano classificati a livello medio o alto per la maggior parte dei settori, mentre i rischi sismici, vulcanici e da maremoto si collocano generalmente su un livello medio o medio-basso, salvo eccezioni locali. Il rischio di sabotaggio e terrorismo, pur meno frequente nella casistica, è classificato a livello medio-alto o alto in alcuni ambiti specifici come il gas, il trasporto aereo e ferroviario e le acque irrigue. Per la sanità, il documento richiama anche i rischi legati a emergenze da infezioni microbiologiche, contaminazioni chimiche e attività di tipo CBRN; per le infrastrutture digitali, le dipendenze dalla catena di fornitura e dal settore energetico rappresentano i fattori di vulnerabilità principali.
Infrastrutture critiche subacquee e PMI nel perimetro della resilienza
Tra le misure dell’obiettivo 2, vale la pena soffermarsi sulla 2.6, dedicata alla mappatura, classificazione e protezione delle infrastrutture critiche subacquee. Il tema non è nuovo per chi segue il settore: gli episodi di danneggiamento di cavi sottomarini nel Mar Baltico e nel Mediterraneo negli ultimi anni hanno reso evidente la vulnerabilità di tale categoria di infrastrutture, ma è la prima volta che entra in modo esplicito in un documento programmatico di questo livello. La misura prevede la costruzione di un archivio nazionale aggiornato dei cavi sottomarini e dei gasdotti, integrato con le banche dati europee e NATO, un sistema di sorveglianza e monitoraggio continuo presso il Centro di Sorveglianza della Marina Militare, e il raccordo con il Polo Nazionale della Dimensione Subacquea.
Un capitolo specifico è dedicato infine alle piccole e medie imprese: in Italia le PMI costituiscono il 99,9% delle imprese attive, e una quota significativa di esse svolge funzioni operative e logistiche di supporto che sono rilevanti per la continuità dei servizi essenziali, in particolare nei settori dell’energia, dei trasporti, delle telecomunicazioni, della sanità e della filiera agroalimentare. Il documento riconosce che ad oggi non esistono misure di sostegno dedicate alle PMI con ruolo critico, e indica l’intenzione di svilupparle una volta completato il processo di identificazione dei soggetti critici. È un punto da tenere sotto osservazione: la definizione delle soglie di rilevanza stabilirà chi è soggetto critico e chi non lo è, e avrà conseguenze dirette su quante e quali PMI entreranno nel perimetro degli obblighi.
DPCM soggetti critici e prossime scadenze degli obblighi
Resta, a questo punto, la domanda più importante. Una strategia ben scritta non equivale automaticamente a una strategia attuata: la vera sfida sarà la capacità di tradurre queste indicazioni in strumenti operativi, processi decisionali e capacità organizzative concrete. In altre parole, trasformare la Strategia in resilienza reale.
Verso questa direzione, alcune misure attuative sono state avviate ancor prima della pubblicazione del documento. Tra queste, il Tavolo Permanente sulla Resilienza per il settore Salute (giugno 2025), la mappatura delle infrastrutture critiche subacquee (luglio 2025) e il tavolo di raccordo tra PCU e ACN (ottobre 2025). Il passaggio successivo, quello che darà avvio alla parte più rilevante degli obblighi, è l’adozione del DPCM che formalizzerà l’elenco dei soggetti critici, con scadenza fissata al 17 luglio 2026: da quel momento prenderanno avvio le notifiche agli interessati, ai quali gli obblighi diventeranno applicabili nei dieci mesi successivi. Sarà lì, nei prossimi mesi, che si potrà cominciare a misurare la distanza tra le intenzioni e i fatti.
Partecipa alla community