di Maria Cristina Urbano – 3 Febbraio 2025
La Direttiva (UE) 2022/2557 CER del Parlamento Europeo e del Consiglio relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio, adottata il 14 dicembre 2022, rappresenta un significativo avanzamento nel quadro normativo europeo per garantire la resilienza dei soggetti critici, ovvero quegli enti pubblici e privati che erogano servizi essenziali per il funzionamento delle società e delle economie moderne. L’Italia ha recepito questa Direttiva attraverso il Decreto Legislativo 134/2024, che mira a rafforzare la protezione delle infrastrutture critiche e a garantire la continuità operativa in caso di minacce fisiche, naturali o antropiche.
Il Decreto Legislativo 134/2024 definisce una serie di obblighi e misure che i soggetti critici e le autorità competenti devono adottare per migliorare la loro resilienza. Tra questi, spiccano
- la predisposizione di strategie nazionali,
- l’istituzione di un Comitato Interministeriale per la Resilienza (CIR) e
- l’adozione di strumenti di valutazione del rischio a livello nazionale e settoriale.
Questi elementi costituiscono il fulcro dell’adattamento italiano alla Direttiva CER (Critical Entities Resilience), evidenziando un impegno verso un approccio integrato e coordinato alla protezione delle infrastrutture critiche.
La Direttiva si inserisce in un contesto più ampio di regolamentazione europea, integrandosi con la Direttiva (UE) NIS2 2022/20025, focalizzata sulla cybersicurezza, e con il Regolamento Delegato (UE) 2023/2450, che stabilisce un elenco di servizi essenziali per i soggetti critici. Mentre la Direttiva CER si concentra sulla resilienza fisica e operativa dei soggetti critici, la NIS2 si occupa della sicurezza dei sistemi informatici che supportano tali entità. Questo approccio integrato riflette l’interdipendenza tra sicurezza fisica e digitale, evidenziata da crescenti minacce ibride e transfrontaliere.
Il Regolamento Delegato (UE) 2023/2450 integra la Direttiva CER, stabilendo un elenco non esaustivo di servizi essenziali che gli Stati membri possono utilizzare per identificare i soggetti critici. Tale elenco aiuta a uniformare le metodologie di valutazione del rischio e a garantire una maggiore coerenza nell’attuazione delle norme in tutta l’Unione Europea.
Direttiva CER e i soggetti critici: definizione e settori
La Direttiva CER identifica come soggetti critici quegli enti che, attraverso infrastrutture o processi operativi, garantiscono la fornitura di servizi essenziali. Questi servizi includono:
- Energia: produzione, distribuzione e gestione di energia elettrica, gas e petrolio.
- Trasporti: sistemi ferroviari, aeroportuali, portuali e stradali.
- Sanità: ospedali e centri di ricerca medica.
- Finanza: infrastrutture di pagamento e mercati finanziari.
- Infrastrutture digitali: data centers, reti di comunicazione e fornitori di servizi internet.
- Acqua: gestione delle risorse idriche e dei sistemi di trattamento delle acque reflue.
- Produzione alimentare: trasformazione e distribuzione industriale di alimenti.
L’Italia ha adottato un approccio basato sul rischio per identificare tali soggetti critici, considerando l’impatto potenziale derivante da incidenti o interruzioni, il numero di utenti coinvolti, le conseguenze economiche e ambientali e la disponibilità di alternative.
Obiettivi principali della Direttiva (UE) 2022/2557 CER e del Dlgs 134/2024
La Direttiva CER e il relativo Decreto Legislativo 134/2024 pongono come obiettivi principali:
- identificazione dei soggetti critici. Gli Stati membri devono identificare i soggetti critici nei settori chiave come energia, trasporti, sanità, finanza, acqua e infrastrutture digitali. Il Dlgs 134/2024 stabilisce criteri specifici per l’identificazione in Italia, coinvolgendo autorità centrali e regionali;
- valutazione del rischio. I soggetti critici devono effettuare valutazioni regolari dei rischi fisici ed informatici, considerando minacce naturali, accidentali ed intenzionali. Il decreto legislativo introduce linee guida dettagliate per uniformare questo processo sul territorio nazionale;
- piani di resilienza. Ogni soggetto critico è tenuto a sviluppare e implementare piani di resilienza per prevenire, gestire e rispondere a potenziali crisi. Il Dlgs 134/2024 specifica requisiti minimi e tempistiche per l’adozione di tali piani;
- cooperazione e comunicazione. La normativa promuove una stretta collaborazione tra autorità nazionali, soggetti critici e imprese private. In Italia, il decreto prevede la creazione di piattaforme di condivisione delle informazioni e l’organizzazione di esercitazioni congiunte.
Opportunità per le imprese di sicurezza privata
La Direttiva CER, ed il Dlgs 134/2004, che introducono nel nostro ordinamento concetti e metodologie ben conosciuti a chi di sicurezza si occupa, come ad esempio l’analisi del rischio, la business continuity, i piani di resilienza, offrono, a mio avviso, grandi e significative opportunità di sviluppo sia a professionisti quali i security managers, sia alle imprese di sicurezza, che potranno beneficiare di una importante espansione del mercato. Le norme di cui parliamo, per essere applicate in maniera costruttiva e non semplicemente burocratica, esigono un cambiamento di approccio culturale nei confronti del rischio e della protezione, cambiamento che coinvolgerà molteplici aspetti quali la formazione, che dovrà puntare su tecnologie e procedure. Ad esempio, gli operatori che lavorano in infrastrutture critiche dovranno essere addestrati a gestire sia minacce fisiche che informatiche, garantendo una risposta coordinata in situazioni di emergenza. Dovranno anche essere adottate tecnologie avanzate, quali quelle che si avvalgono dell’AI, cosa che stimolerà innovazione e sviluppo per migliorare l’efficienza e la precisione dei servizi di sicurezza. E ancora, le imprese di sicurezza potranno offrire servizi di consulenza specializzata ai soggetti critici, per aiutarli a sviluppare strategie di resilienza personalizzate. Questo include l’elaborazione di piani di gestione del rischio e la formazione dei dipendenti dei soggetti critici, aumentando così il valore percepito dei servizi di sicurezza offerti. Inoltre dovranno essere sviluppati sistemi di protezione integrata, che gestiscano non solamente la protezione fisica da eventi dolosi, ma anche la prevenzione ed il contenimento dei rischi da eventi accidentali. Infine, l’applicazione della normativa per la resilienza dei soggetti critici porterà ad una più stretta collaborazione fra pubblica amministrazione e soggetti economici privati, https://www.snewsonline.com/assiv-sicurezza-urbana-intensificare-collaborazione-gpg-forze-ordine/favorendo quell’integrazione pubblico – privato, che rappresenta e rappresenterà un ulteriore fattore di crescita e qualificazione per il nostro comparto.
Conclusioni
In definitiva, penso che l’attuazione della Direttiva (UE) 2022/2557 CER e del Dlgs 134/2024 rappresenti sia una sfida che una opportunità per le imprese di sicurezza privata, che potranno contribuire, in modo organico e multidisciplinare alla resilienza nazionale, rafforzando nel contempo la propria posizione competitiva in un mercato sempre più interconnesso. Certo, la regolamentazione di settore dovrà seguire con duttilità le nuove esigenze, favorendo con le opportune modifiche la possibilità, per le aziende di sicurezza, di sviluppare appieno le potenzialità già presenti in modo da poter svolgere, all’interno di una cornice normativa chiara ed adeguata, gli innumerevoli compiti che il progetto di resilienza nazionale richiede. Ma questo, come sappiamo, rappresenta un altro capitolo delle necessità del comparto.
#Assiv#Cybersecurity#Intelligenza Artificiale #Normative #Sicurezza Pubblica #Vigilanza
