cyber corporate sulla direttiva CER: sicurezza informatica e resilienza delle infrastrutture critiche europee in un ecosistema digitale interconnesso.

Direttiva CER: resilienza delle entità critiche

A cura di:Redazione Ore

Dal paradigma della protezione alla governance della continuità sistemica.

La Direttiva (UE) 2022/2557 ridefinisce l’approccio europeo alla sicurezza delle infrastrutture critiche, introducendo un framework olistico che integra resilienza fisica, organizzativa e intersettoriale. Un’analisi del nuovo ecosistema normativo e delle sue implicazioni per il sistema-Paese.

Il sabotaggio dei gasdotti Nord Stream nel settembre 2022 ha rappresentato uno spartiacque nella percezione europea della vulnerabilità infrastrutturale. L’attacco, considerato tra i più gravi alle infrastrutture critiche del continente dalla Seconda Guerra Mondiale, ha dimostrato con drammatica evidenza come le interconnessioni che sostengono l’economia e la società contemporanea possano trasformarsi in vettori di propagazione del rischio sistemico.

In questo contesto geopolitico instabile, la Direttiva (UE) 2022/2557 sulla resilienza delle entità critiche, comunemente nota come Direttiva CER (Critical Entities Resilience), assume il ruolo di risposta strutturata dell’Unione Europea all’accresciuta complessità delle minacce contemporanee. Adottata dal Parlamento europeo e dal Consiglio il 14 dicembre 2022 ed entrata in vigore il 16 gennaio 2023, la Direttiva segna un’evoluzione concettuale fondamentale: il passaggio da un modello centrato sulla protezione a uno focalizzato sulla resilienza.

L’architettura normativa: dall’approccio settoriale alla visione sistemica

La precedente Direttiva 2008/114/CE circoscriveva il perimetro delle infrastrutture critiche europee ai soli settori dell’energia e dei trasporti, adottando un approccio prevalentemente reattivo e orientato alla mera identificazione delle vulnerabilità. La valutazione condotta dalla Commissione Europea ha evidenziato l’inadeguatezza di tale framework rispetto alla natura sempre più interconnessa e interdipendente delle infrastrutture contemporanee.

La Direttiva CER amplia significativamente il campo di applicazione, estendendolo a undici settori strategici: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio, e produzione, trasformazione e distribuzione di alimenti. Tale estensione riflette la consapevolezza che la resilienza non può essere conseguita attraverso interventi isolati, ma richiede un approccio intersettoriale capace di riconoscere le interdipendenze funzionali tra servizi essenziali.

Il Regolamento Delegato (UE) 2023/2450, adottato dalla Commissione il 25 luglio 2023, integra la Direttiva CER stabilendo un elenco non esaustivo di servizi essenziali per ciascun settore coperto. Tale catalogazione fornisce agli Stati membri una base metodologica uniforme per le attività di valutazione del rischio e identificazione delle entità critiche.

Il concetto di resilienza: una trasformazione epistemologica

La Direttiva CER introduce una definizione operativa di resilienza che trascende la tradizionale accezione difensiva. Il concetto viene declinato come la capacità di un’entità critica di prevenire gli incidenti, proteggere le proprie infrastrutture, rispondere tempestivamente agli eventi, resistere alle perturbazioni, mitigare gli impatti, assorbire gli shock, adattarsi alle nuove condizioni e ripristinare le proprie capacità operative.

Tale definizione incorpora elementi propri della teoria dei sistemi complessi, riconoscendo che le entità critiche operano all’interno di ecosistemi caratterizzati da non-linearità e feedback loops. Non si tratta più semplicemente di erigere barriere difensive, ma di costruire organizzazioni capaci di attraversare le perturbazioni mantenendo la continuità dei servizi essenziali.

L’approccio “all-hazards” adottato dalla Direttiva abbraccia l’intera gamma delle minacce potenziali. Da un lato i rischi naturali, che comprendono catastrofi, eventi climatici estremi e pandemie. Dall’altro i rischi antropici, sia accidentali che intenzionali, inclusi atti terroristici, sabotaggi, attacchi ibridi e le cosiddette insider threats. Il framework riconosce inoltre i rischi tecnologici derivanti da guasti tecnici e incidenti industriali.

Il framework istituzionale italiano: una governance multilivello

L’Italia ha recepito la Direttiva CER attraverso il Decreto Legislativo 4 settembre 2024, n. 134, pubblicato nella Gazzetta Ufficiale n. 223 del 23 settembre 2024 ed entrato in vigore l’8 ottobre 2024. Il provvedimento, che abroga il precedente D.Lgs. 61/2011 di recepimento della Direttiva 2008/114/CE, delinea un’architettura istituzionale articolata su più livelli di competenza.

Al vertice del sistema si colloca la Presidenza del Consiglio dei Ministri, cui compete l’alta direzione e la responsabilità generale delle politiche per la resilienza dei soggetti critici. Tale competenza può essere delegata a un Ministro senza portafoglio o a un Sottosegretario di Stato. Tra i compiti principali figura l’adozione, entro il 17 luglio 2025, della Strategia nazionale per la resilienza dei soggetti critici, che dovrà essere aggiornata almeno ogni quattro anni e definire obiettivi prioritari, modalità di sostegno alle entità critiche e meccanismi di coordinamento con l’Agenzia per la Cybersicurezza Nazionale.

Il Comitato Interministeriale per la Resilienza (CIR) costituisce l’organo di indirizzo strategico, presieduto dal Presidente del Consiglio o da un suo delegato. La composizione del Comitato riflette la natura trasversale della materia, includendo i Ministri degli Affari Esteri, dell’Interno, della Giustizia, della Difesa, dell’Economia, delle Imprese, dell’Agricoltura, dell’Ambiente, delle Infrastrutture, della Salute, nonché il Ministro per la Protezione Civile e le autorità delegate alla sicurezza della Repubblica e alle politiche spaziali.

Il Punto di Contatto Unico (PCU), istituito presso la Presidenza del Consiglio, svolge funzioni cruciali di collegamento con la Commissione Europea, coordinamento delle attività di sostegno ai soggetti critici e ricezione delle notifiche degli incidenti rilevanti. Spetta al PCU la redazione della valutazione del rischio dello Stato, da completare entro il 17 luglio 2025 e da aggiornare successivamente almeno ogni quattro anni.

A livello operativo, le Autorità Settoriali Competenti (ASC) sono responsabili della corretta applicazione ed esecuzione delle disposizioni nei rispettivi ambiti. Il Ministero dell’Ambiente e della Sicurezza Energetica è competente per i settori dell’energia, dell’acqua potabile e delle acque reflue. Il Ministero delle Infrastrutture e dei Trasporti supervisiona i trasporti e le acque irrigue.

Il Ministero dell’Economia e delle Finanze, in collaborazione con le Autorità di vigilanza, è competente per il settore bancario e per le infrastrutture dei mercati finanziari. Il Ministero della Salute, unitamente all’Agenzia Italiana del Farmaco (AIFA) per gli ambiti di propria competenza, presidia il settore sanitario. L’Agenzia per la Cybersicurezza Nazionale (ACN) è competente per le infrastrutture digitali. La Presidenza del Consiglio dei Ministri mantiene la competenza diretta per il settore spaziale. Infine, il Ministero dell’Agricoltura, della Sovranità Alimentare e delle Foreste sovrintende al settore della produzione, trasformazione e distribuzione di alimenti.

Le scadenze del processo di identificazione

Il D.Lgs. 134/2024 definisce una timeline rigorosa per l’implementazione del nuovo framework. Entro il 17 luglio 2025 la Presidenza del Consiglio deve adottare la Strategia nazionale e il PCU deve completare la valutazione del rischio dello Stato. Alle Autorità Settoriali Competenti spetta il compito di individuare, entro il 17 gennaio 2026, ciascuna per i rispettivi settori, i soggetti ritenuti critici, tenendo conto della valutazione del rischio e della strategia nazionale.

In sede di individuazione, le ASC applicano criteri specifici: la fornitura di uno o più servizi considerati essenziali, l’ubicazione o l’operatività nel territorio italiano dell’infrastruttura critica, e la portata dell’impatto di eventuali incidenti sulla fornitura di servizi essenziali, anche da parte di altri soggetti. L’elenco definitivo dei soggetti critici sarà adottato entro il 17 luglio 2026. A partire dalla notifica di designazione, i soggetti critici dovranno conformarsi agli obblighi previsti dalla normativa entro dieci mesi.

Obblighi delle entità critiche: il ciclo della resilienza

Il decreto italiano impone ai soggetti critici un insieme strutturato di obblighi articolati secondo la logica del ciclo di miglioramento continuo.

In primo luogo, entro nove mesi dalla notifica di designazione, ciascun soggetto critico deve effettuare una valutazione del rischio comprensiva che consideri i rischi naturali (eventi climatici, catastrofi, emergenze sanitarie), i rischi tecnologici (guasti, incidenti) e i rischi antropici (atti dolosi, terrorismo, minacce ibride). La valutazione deve tenere conto delle interdipendenze con altri servizi essenziali e deve essere aggiornata almeno ogni quattro anni e ogniqualvolta si verifichino modifiche sostanziali del profilo di rischio.

Sulla base della valutazione, le entità critiche devono adottare misure tecniche, di sicurezza e organizzative adeguate e proporzionate. Queste includono la protezione fisica delle infrastrutture critiche, piani di continuità operativa e disaster recovery, protocolli di gestione della sicurezza del personale con verifica dei precedenti per ruoli sensibili, programmi di formazione e sensibilizzazione, nonché procedure di gestione delle crisi e comunicazione.

Un obbligo fondamentale riguarda la notifica degli incidenti. I soggetti critici devono comunicare alle ASC e al PCU, entro 24 ore dalla conoscenza dell’evento, qualsiasi incidente che perturbi o possa perturbare significativamente la fornitura di servizi essenziali. Una relazione dettagliata deve seguire entro i successivi trenta giorni. Per determinare la rilevanza dell’incidente si considerano il numero e la proporzione di utenti interessati, la durata dell’interruzione, l’area geografica coinvolta e l’impatto economico e sociale.

L’integrazione con il framework cyber: complementarità tra CER e NIS2

La Direttiva CER si inserisce in un ecosistema normativo più ampio che comprende la Direttiva (UE) 2022/2555, nota come NIS2 e focalizzata sulla sicurezza delle reti e dei sistemi informativi, nonché il Regolamento (UE) 2022/2554, denominato DORA e dedicato alla resilienza operativa digitale del settore finanziario.

Mentre la NIS2 disciplina la sicurezza cibernetica delle entità essenziali e importanti, la CER si occupa della loro resilienza fisica e organizzativa. Il D.Lgs. 134/2024 esclude esplicitamente dall’ambito di applicazione le materie già coperte dalla normativa NIS2, evitando sovrapposizioni e garantendo complementarità. Tale integrazione riflette il riconoscimento che sicurezza fisica e sicurezza digitale costituiscono dimensioni inseparabili della resilienza complessiva: un attacco informatico può compromettere sistemi di controllo industriale con conseguenze fisiche devastanti, così come un’intrusione fisica può facilitare l’accesso a sistemi informatici critici.

Il decreto prevede inoltre specifiche esclusioni per alcuni settori. Le disposizioni sulla resilienza dei soggetti critici e sulla vigilanza non si applicano ai soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, ai quali si applica la disciplina settoriale specifica già in vigore.

Entità critiche di rilevanza europea: la dimensione transfrontaliera

La Direttiva CER introduce la categoria dei Soggetti Critici di particolare Rilevanza Europea (SCRE), definiti come entità che forniscono servizi essenziali a o in almeno sei Stati membri. Tale designazione riconosce che la resilienza delle infrastrutture transfrontaliere richiede un coordinamento sovranazionale che trascende le capacità dei singoli Stati membri.

Entro un mese dalla notifica di individuazione come soggetto critico, le entità che forniscono servizi essenziali in sei o più Stati membri devono comunicare al PCU e all’ASC competente quali servizi forniscono e a quali o in quali Stati. Il PCU notifica tali informazioni alla Commissione Europea ai fini della procedura di individuazione degli SCRE.

I soggetti critici di particolare rilevanza europea sono sottoposti a procedure di valutazione coordinate dalla Commissione, che può organizzare missioni di consulenza (advisory missions) per valutare le misure adottate e formulare raccomandazioni specifiche per il miglioramento della resilienza. Gli esperti nazionali che partecipano a tali missioni devono essere in possesso, ove necessario, di un valido nulla osta di sicurezza.

Le linee guida della Commissione: verso un’applicazione armonizzata

L’11 settembre 2025, la Commissione Europea ha adottato nuove linee guida per supportare gli Stati membri nell’attuazione della Direttiva CER. Tali linee guida, pur non essendo giuridicamente vincolanti, forniscono raccomandazioni metodologiche per l’identificazione delle entità critiche, un modello comune per la reportistica dei risultati delle valutazioni del rischio e criteri per determinare la significatività degli effetti destabilizzanti.

Il processo raccomandato si articola in cinque fasi: mappatura dei servizi essenziali nel territorio nazionale, identificazione delle entità che erogano tali servizi, valutazione dell’impatto potenziale di incidenti sulla continuità dei servizi, applicazione dei criteri di significatività stabiliti dalla Direttiva, e designazione formale delle entità critiche.

Le linee guida promuovono inoltre l’integrazione tra CER, NIS2 e strategie climatiche, riconoscendo che la resilienza operativa e quella ambientale sono dimensioni complementari della sicurezza infrastrutturale nel lungo periodo.

Il regime sanzionatorio: deterrenza e compliance

Il D.Lgs. 134/2024 prevede un articolato sistema sanzionatorio per le violazioni degli obblighi imposti ai soggetti critici. Le sanzioni amministrative pecuniarie possono variare da un minimo di 25.000 euro fino a 125.000 euro, a seconda della gravità delle violazioni e della mancata adozione delle misure prescritte.

Le ASC dispongono di poteri di vigilanza e ispezione che comprendono l’accesso alle infrastrutture critiche e ai siti utilizzati per fornire servizi essenziali, la richiesta di informazioni, documenti e ogni altro elemento utile a valutare le misure adottate, nonché l’esecuzione di controlli sulla conformità. In caso di inadempienza, le autorità possono emettere ordini di adeguamento con termini prescrittivi.

Le sanzioni si applicano in caso di mancata adozione delle misure di prevenzione, protezione e gestione degli incidenti, nonché in caso di violazione degli obblighi di notifica degli eventi critici. Il regime sanzionatorio mira a garantire che la compliance non sia percepita come un mero adempimento burocratico, ma come un investimento strategico nella continuità operativa.

Scenari evolutivi: verso una resilienza adattiva

L’implementazione della Direttiva CER si colloca in un contesto caratterizzato da rapida evoluzione delle minacce e crescente complessità sistemica. Le infrastrutture critiche europee sono esposte a un threat landscape in continuo mutamento, dove le minacce ibride che combinano elementi fisici e digitali rappresentano la nuova normalità.

Il Critical Entities Resilience Group (CERG), istituito dalla Direttiva presso la Commissione Europea, facilita la cooperazione tra Stati membri consentendo lo scambio di informazioni e buone pratiche. Il programma di lavoro per il biennio 2025-2026 prevede attività di coordinamento, esercitazioni congiunte e sviluppo di metodologie comuni.

La convergenza tra minacce cibernetiche, rischi fisici e sfide climatiche richiede un approccio integrato che superi la tradizionale compartimentazione delle competenze. La resilienza delle infrastrutture critiche emerge come un bene pubblico europeo che richiede impegno coordinato, investimenti adeguati e visione strategica di lungo periodo.

Conclusioni

La Direttiva CER e il suo recepimento italiano attraverso il D.Lgs. 134/2024 rappresentano un punto di svolta nella governance della sicurezza delle infrastrutture critiche europee. Il passaggio dal paradigma della protezione a quello della resilienza non costituisce un mero aggiornamento terminologico, ma riflette una trasformazione profonda nella comprensione delle vulnerabilità sistemiche contemporanee.

Per gli operatori identificati come soggetti critici, la conformità alla nuova normativa richiede un ripensamento delle strategie organizzative che vada oltre il mero adempimento formale. La valutazione del rischio, le misure di resilienza e i protocolli di notifica degli incidenti devono essere concepiti come elementi di un processo di miglioramento continuo, capace di adattarsi all’evoluzione dello scenario delle minacce.

La sfida per i prossimi mesi sarà tradurre il framework normativo in pratiche operative efficaci, costruendo ecosistemi organizzativi genuinamente resilienti. Il termine del 17 luglio 2025 per la Strategia nazionale e la valutazione del rischio statale, seguito dal 17 gennaio 2026 per l’identificazione dei soggetti critici e dal 17 luglio 2026 per l’adozione dell’elenco definitivo, definisce una roadmap stringente che richiede preparazione e coordinamento a tutti i livelli istituzionali e operativi.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi