A 14 anni dalla prima direttiva sulla protezione delle infrastrutture critiche, la nuova CER completa il panorama normativo europeo, offrendo un punto di vista all–hazard e risk–based
La nuova direttiva sulla resilienza e quindi sulla sicurezza cinetica delle infrastrutture critiche, oggi denominate entità critiche, che sostituisce la direttiva 114/08 sulla identificazione e designazione delle Infrastrutture critiche europee, è stata pubblicata a dicembre 2022 in Gazzetta Ufficiale, insieme con la NIS 2 direttiva europea dedicata alla sicurezza cyber delle entità critiche e al regolamento DORA sulla sicurezza delle entità del settore finanziario e bancario. Le due direttive emanate all’unisono riconciliano il concetto di sicurezza fisica o cinetica, come si dice oggi, con quello della sicurezza logica o cyber. La NIS2 si occupa infatti della sicurezza cyber delle entità critiche e altamente critiche e la CER della loro resilienza rispetto a minacce cinetiche sia naturali che antropiche, volontarie o involontarie, ivi comprese le minacce di stampo terroristico.
I settori delle potenziali entità critiche sono gli stessi della categoria altamente critici della NIS2 e cioè: energia, trasporti, banche e mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali (che comprende la gestione di servici ICT), Pubblica Amministrazione, spazio, ai quali si aggiunge anche produzione, trasformazione e distribuzione di alimenti (la quale rientra invece nella categoria critica della NIS2). È una direttiva risk-based che fornisce indicazioni sulla identificazione delle entità critiche, definisce le misure minime per raggiungere un grado definito di resilienza e stabilisce procedure comuni per il reporting e la cooperazione tra Stati. Il concetto di infrastruttura diventa materiale mentre quello di entità è immateriale. L’entità è pubblica o privata, fornisce un servizio essenziale ed è costituita anche da infrastrutture.
La CER, fra le altre cose, riporta l’obbligo, per gli stati membri, di individuare una o più autorità nazionali per la realizzazione della direttiva stessa e di quanto in essa previsto. Quando era stata emanata la direttiva 114/2008 sulle infrastrutture critiche europee si era posta la medesima questione. All’epoca, si decise di posizionare il tema della gestione delle infrastrutture critiche nella Presidenza del Consiglio dei Ministri perché la materia è altamente multidisciplinare e non può essere assolta da un unico ministero, mentre, dall’altro lato, tutti i dicasteri hanno competenze relative a qualche settore di infrastruttura critica. Fu creata la Segreteria per le Infrastrutture Critiche, un ufficio incastonato nell’Ufficio del Consigliere Militare del Presidente del Consiglio dei Ministri, il quale tuttora si occupa della materia e del recepimento della Direttiva CER. Le entità critiche saranno individuate, dalla autorità competente, nei settori indicati, dovranno essere appartenenti allo stato membro e verranno selezionate su base impatto derivante da incidenti che potrebbero causare discontinuità nella garanzia della fornitura del servizio essenziale correlato.
L’impatto sarà calcolato in base a: numero di utenti coinvolti, estensione su altri settori, durata, conseguenze economiche, ambientali, sulla salute, sulle attività sociali, sulla sicurezza pubblica e sul mercato libero, nonché area geografica coinvolta anche cross border e valutazione delle possibili alternative di approvvigionamento del medesimo servizio. Eventuali incidenti sulle entità critiche dovranno essere notificati all’autorità competente nazionale indicando il numero di persone interessate, l’area geografica e la durata. Se l’entità critica fornisce il servizio essenziale in sei o più stati membri è considerata critica a livello europeo e la Commissione potrà designare delle advisory mission per verificare la messa in opera delle contromisure.
La nuova direttiva CER completa il panorama normativo europeo sulle infrastrutture critiche e a 14 anni dalla prima direttiva esprime una profonda maturità dell’Europa sui temi della protezione delle IC, soprattutto riconciliando la sicurezza negli ambiti cibernetico e cinetico e offrendo un punto di vista all-hazard e risk-based.
Luisa Franchina componente del Comitato Direttivo Clusit