Data protection

La Direttiva (UE) 2022/2557 CER (Critical Entities Resilience), a proposito delle infrastrutture critiche all’interno della comunità Europea.

La direttiva CER 2022/2557, del 27 dicembre 2022, (link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX%3A32022L2557) sostituisce la direttiva 114/08 sull’identificazione e designazione delle infrastrutture critiche europee. Questo passo avanti rispecchia un’evoluzione necessaria nell’affrontare le crescenti minacce, spesso transfrontaliere, che mettono a rischio la sicurezza sia fisica che cibernetica dell’Unione.

La CER si muove in tandem con la direttiva NIS2, fondendo la sicurezza fisica con quella logica o cyber. La NIS2 si concentra sulla sicurezza cyber delle entità critiche, mentre la CER si occupa della loro resilienza contro minacce fisiche, naturali o antropiche, comprese quelle di natura terroristica.

In particolare con la direttiva CER si interviene al fine di realizzare un adeguato livello di armonizzazione nell’individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici, rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali

I settori coinvolti

I settori interessati dalla direttiva CER includono energia, trasporti, finanza, sanità, acqua, infrastrutture digitali, pubblica amministrazione e spazio. La CER adotta un approccio basato sul rischio per identificare le entità critiche a livello europeo, stabilendo procedure comuni per il reporting e la cooperazione tra Stati.

Ogni Stato membro svilupperà una strategia di resilienza che includerà un framework per le attività e le responsabilità, oltre a una catena di comando e controllo. Inoltre, la Commissione potrà delineare i servizi essenziali nei vari settori, su cui baseranno il proprio risk assessment nazionale.

Le entità critiche saranno individuate sulla base dell’impatto derivante da incidenti potenziali, considerando diversi fattori come:

  • il numero di utenti coinvolti,
  • le conseguenze economiche e ambientali,
  • la disponibilità di alternative di approvvigionamento del servizio.

Normativa nazionale di attuazione

Il 10 giugno 2024, il Consiglio dei ministri, ha approvato un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2557 relativa alla resilienza dei soggetti critici – direttiva CER – (link.:  https://www.affarieuropei.gov.it/it/comunicazione/notizie/240610-cdm/)

In attuazione dell’articolo 1 della direttiva CER lo schema di decreto legislativo prevede, al suo primo articolo (comma 1), l’introduzione di:

misure specifiche volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell’ambiente, siano erogati senza impedimenti (lett. a);

– criteri per individuare i soggetti critici (lett. a) e misure per sostenerli nell’adempimento degli obblighi loro imposti (lett. c);

– obblighi per i soggetti critici volti a rafforzare la loro resilienza e la loro capacità di fornire servizi essenziali in ambito nazionale ed europeo (lett. b), nonché disposizioni in materia di vigilanza e irrogazione di sanzioni (lett. d);

– disposizioni sulla predisposizione della strategia nazionale, sulla valutazione del rischio, sul Comitato interministeriale per la resilienza, sulle autorità settoriali competenti e sul punto di contatto unico (lett. f-h);

– disposizioni per i soggetti critici di particolare rilevanza a livello europeo (lett. e) e per la cooperazione con gli altri Stati membri (lett. i).

In attuazione del paragrafo 2 della direttiva CER, si escludono, dall’ambito di applicazione del decreto legislativo, le materie disciplinate dal decreto legislativo di recepimento della direttiva UE 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’UE (cd. direttiva NIS2) (art. 1, co.2)

Il comma 4 dell’articolo 1 prevede poi che le informazioni riservate, secondo normativa unionale e nazionale, siano scambiate con la Commissione Europea e con altre autorità competenti per la resilienza dei soggetti critici solo se necessario, salvaguardando la riservatezza delle informazioni nonché la sicurezza e gli interessi commerciali dei soggetti critici.

Poiché la direttiva CER interviene al fine di:

– realizzare un adeguato livello di armonizzazione nell’individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici;

– rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali;

a tal fine, il decreto attuativo individua i c.d. soggetti critici almeno nei seguenti settori:

– energia,

– trasporti,

– bancario,

– acque potabili,

– acque reflue,

– produzione,

– trasformazione e distribuzione di alimenti,

– salute,

– spazio,

– infrastrutture dei mercati finanziari e infrastrutture digitali,

– enti della pubblica amministrazione.

Stabilisce, inoltre, che gli stessi soggetti critici dovranno effettuare:

– effettuare una valutazione del rischio,

– adottare misure tecniche, di sicurezza e organizzative, adeguate e proporzionate per garantire la propria resilienza,

– ripristinare le proprie capacità operative in caso di incidenti;

– notificare senza indebito ritardo all’autorità competente gli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali;

– prevedere l’adozione di una «strategia».

Il decreto attuativo, inoltre:

– regola le modalità di individuazione dei soggetti critici di particolare rilevanza a livello europeo;

– contiene misure volte a consentire di reagire rapidamente e adeguatamente agli incidenti (di carattere fisico);

– stabilisce procedure comuni di cooperazione e comunicazione sull’applicazione della direttiva (in particolare deve essere assicurato il coordinamento con la normativa in materia di sicurezza cibernetica di cui alla direttiva NIS2);

– esclude dall’ambito di applicazione gli enti della pubblica amministrazione che operano nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, ai quali non si applica il presente decreto;

– prevede la possibilità di escludere specifici soggetti critici che svolgono attività di tali settori ovvero che forniscono servizi esclusivamente agli enti della pubblica citati.

Nell’ottica tesa a definire un approccio alla gestione dei rischi si ritiene opportuno offrire un approfondimento dei concetti legati ai termini “all-hazards” e “multirischio” nelle metodologie di gestione del rischio.

Approccio all-hazards

Nella gestione del rischio, con l’approccio all-hazards si intende il principio generale della fase di identificazione del rischio che esprime la necessità di determinare in modo sistematico tutti i rischi che possono influenzare il raggiungimento degli obiettivi dell’impresa.

Per affrontare in modo efficace un rischio, è abbastanza evidente che deve essere nota la sua esistenza come prerequisito fondamentale per valutarlo. Dopo aver stabilito il contesto dove opera la gestione del rischio, in modo ciclico, si devono identificare tutti gli eventi che possono portare incertezza sugli obiettivi aziendali.

L’identificazione dei rischi utilizza varie categorie di tecniche di riconoscimento del rischio, quindi metodi storici, sistematici, induttivi o tassonomici, che possono essere applicati singolarmente o congiuntamente.

L’obiettivo è far emergere qualsiasi rischio esista, per poterlo valutare nella sua gravità ed eventualmente trattarlo. La fase di identificazione del rischio produce come output lo scenario di rischio, ossia la rappresentazione dell’evento di rischio su cui sviluppare l’analisi per determinare probabilità ed impatto dell’evento.

Approccio multirischio

Nella gestione del rischio, con approccio multi-risk si intende un caso specifico della fase finale dell’identificazione del rischio, ossia quando si deve creare lo scenario di rischio per rappresentare l’evento risultante dalla concomitanza di più rischi assieme che hanno una qualche relazione tra loro.

È tutt’altro che un approccio per arrivare a considerare tutti i rischi da contrastare, riguarda i soli casi specifici di rischi da analizzare in aggregato, per cause di condizionamento o concatenamento di eventi.

La valutazione di queste situazioni multirischio genera un livello di rischio che sarà come gravità uguale o superiore al peggiore dei rischi singoli in analisi, ma non sarà mai rappresentativo dell’insieme di tutti i rischi.

Anzi, in questo approccio manca proprio il requisito del raggiungimento della completezza nell’identificazione del rischio. Ad esempio, manca la ricerca dei rischi emergenti a seguito di cambiamenti, organizzativi o tecnologici che siano.

L’efficacia del processo di miglioramento della gestione del rischio richiede che siano sempre noti tutti i nuovi rischi.

Apparato sanzionatorio

L’articolo 21 stabilisce che le Autorità Settoriali competenti (ASC) siano competenti per l’accertamento delle violazioni e per l’irrogazione delle sanzioni amministrative, con riferimento ai rispettivi settori di competenza e fissa l’ammontare della sanzione amministrativa pecuniaria, da 25.000 euro a 125.000 euro, salvo che il fatto costituisca reato, da irrogare nei confronti dei soggetti critici che non abbiano:

  1. effettuato la valutazione del rischio ove prescritto,
  2. adottato il piano di resilienza o le misure di resilienza previste,
  3. individuato le infrastrutture critiche ai fini della valutazione del rischio
  4. adottato le misure inerenti alla:
    a) protezione fisica dei propri siti e delle infrastrutture critiche
    b)gestione, informazione e organizzazione del personale
  5. notificato gli incidenti.

Nei casi in cui il soggetto critico non fornisca entro trenta giorni le informazioni richieste per iscritto dalle ASC è stabilita la sanzione amministrativa pecuniaria, pari alla somma da 10.000 euro a 50.000 euro. La reiterazione determina l’aumento fino al triplo della sanzione prevista.

Tempi di attuazione

Il termine di attuazione della direttiva CER per i singoli stati membri è stato fissato per il 18 ottobre 2024.

La direttiva CER prevede, altresì, che entro il 17 luglio 2026 ogni stato individui i soggetti critici 

Cabina di regia

In una ottica di compliance, considerato che le misure di sicurezza, tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete, sono basate su un approccio multirischio mirante a proteggere suddetti sistemi e il loro ambiente fisico da incidenti, si suggerisce di adottare un approccio comune alle seguenti norme: NIS 2, Regolamento unico ACN, AGID,, Linee guida OSE, GDPR, ecc., da concretarsi attraverso la formalizzazione di una apposita Cabina di regia.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Cybersecurity
sicurezzainformatica

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

trattamento dei dati personali
La gestione dei rapporti tra titolare, responsabile e sub responsabile del trattamento alla luce del Parere 22/2024 reso dall’EDPB
15 Luglio 2024
Piano d’azione europea sulla sicurezza informatica di ospedali e fornitori di servizi sanitari.
10 Febbraio 2025
AI
AI, Decisioni e Discriminazione: Il Ruolo della Supervisione Umana
12 Maggio 2025

Start typing and press Enter to search