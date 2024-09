Sulla G.U. del 23 settembre è pubblicato il d.lgs. 4 settembre 2024, n. 134 che attua la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio. L’entrata in vigore del provvedimento è fissata all’08 ottobre 2024.

1. Il decreto legislativo n. 134

Recepisce la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, concernente la resilienza dei soggetti critici (direttiva CER – critical entities resilience), allineandosi ai criteri di delega di cui all’articolo 5 della legge n. 15/2024 (delegazione europea 2022-2023). Il provvedimento si compone di 7 capi e 22 articoli.

2. La normativa vigente

La direttiva CER abroga la direttiva 2008/114/CE del Consiglio, relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione. La nuova direttiva CER presenta un ambito di applicazione più ampio, poiché non riguarda solo le infrastrutture critiche europee, e presenta l’obiettivo di introdurre norme armonizzate volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche siano forniti senza impedimenti nel mercato interno. A detto fine, la direttiva: pone in capo agli Stati membri l’obbligo di individuare gli operatori pubblici e privati titolari di infrastrutture critiche (impianti, reti, sistemi necessari alla fornitura di un servizio essenziale), cd. soggetti critici, almeno nei seguenti settori: energia, trasporti, bancario, acque potabili, acque reflue, produzione, trasformazione e distribuzione di alimenti, salute, spazio, infrastrutture dei mercati finanziari e infrastrutture digitali, nonché enti della pubblica amministrazione;

stabilisce per gli stessi soggetti critici obblighi volti a rafforzarne la resilienza (capacità di un soggetto critico di prevenire, attenuare, assorbire un incidente, di proteggersi da esso, di rispondervi, di resistervi, di adattarvisi e di ripristinare le proprie capacità operative) e la capacità di fornire i citati servizi essenziali nel mercato interno;

prevede l’adozione di una «strategia» per la definizione di obiettivi e misure per conseguire e mantenere un livello elevato di resilienza da parte dei soggetti;

regola le modalità di individuazione dei soggetti critici di particolare rilevanza a livello europeo;

contiene misure volte a consentire alle autorità competenti di reagire rapidamente e adeguatamente agli incidenti e di avere un quadro globale dell’impatto, della natura, delle cause e delle possibili conseguenze di un incidente affrontato dai “soggetti critici”;

stabilisce procedure comuni di cooperazione e comunicazione sull’applicazione della direttiva.

3. Oggetto e ambito di operatività

Si perimetra oggetto e ambito di applicazione, prevedendo l’introduzione di: misure specifiche volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell’ambiente, siano erogati senza impedimenti;

misure per individuare i soggetti critici e per sostenerli nell’adempimento degli obblighi imposti;

obblighi per i soggetti critici volti a rafforzare la loro resilienza e la loro capacità di fornire servizi essenziali in ambito nazionale ed europeo, nonché disposizioni in materia di vigilanza e irrogazione di sanzioni;

disposizioni sulla predisposizione della strategia nazionale, sulla valutazione del rischio, sul Comitato interministeriale per la resilienza, sulle autorità settoriali competenti e sul punto di contatto unico;

disposizioni per i soggetti critici di particolare rilevanza a livello europeo e per la cooperazione con gli altri Stati membri. Si prevede l’esclusione, dall’ambito di applicazione del decreto legislativo in disamina, delle materie disciplinate dal decreto legislativo di recepimento della direttiva UE 2022/2555 relativa a misure per un livello comune elevato di cibersicurezza nell’UE (direttiva NIS2). Infatti, le misure sulla gestione dei rischi della cybersicurezza sono basate su un approccio multirischio che mira a proteggere anche l’ambiente fisico dei sistemi informatici da eventi che possono avere origini diverse. Si prevede che, in presenza di un atto giuridico settoriale dell’UE, si applichino le disposizioni di detto atto giuridico, nella misura in cui gli effetti di tali obblighi siano, almeno, equivalenti a quelli degli obblighi di cui al decreto in commento.

4. Competenze del Presidente del Consiglio dei ministri

Si attribuisce, in via esclusiva, al Presidente del Consiglio dei Ministri l’alta direzione e la responsabilità generale delle politiche per la resilienza dei soggetti critici, compresa l’adozione della strategia nazionale nonché la competenza di impartire direttive per la resilienza dei soggetti critici. Il Presidente può delegare le competenze a un Ministro senza portafoglio ovvero a un Sottosegretario di Stato, i quali lo aggiornano periodicamente.

5. Comitato interministeriale per la resilienza

Si prevede, presso la Presidenza del Consiglio dei Ministri, l’istituzione del Comitato interministeriale per la resilienza (CIR), presieduto dal Presidente del Consiglio dei ministri ovvero dal Ministro senza portafoglio o dal Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, con delega alla resilienza dei soggetti critici, e composto dal Ministro degli affari esteri e della cooperazione internazionale, dal Ministro dell’interno, dal Ministro della giustizia, dal Ministro della difesa, dal Ministro dell’economia e delle finanze, dal Ministro delle imprese e del made in Italy, dal Ministro dell’agricoltura, della sovranità alimentare e delle foreste, dal Ministro dell’ambiente e della sicurezza energetica, dal Ministro delle infrastrutture e dei trasporti, dal Ministro della salute, dal Ministro per la protezione civile e le politiche del mare, dall’autorità delegata alla sicurezza della Repubblica e dall’autorità delegata alle politiche spaziali e aerospaziali. Il CIR ha funzioni di proposta, di alta sorveglianza sull’attuazione della strategia nazionale e di promozione. Le funzioni di segretario sono svolte dal responsabile del punto unico di contatto.

6. Strategia per la resilienza dei soggetti critici

Si prevede che, entro il 17 luglio 2025, il Presidente del Consiglio dei ministri, a seguito di una consultazione aperta ai portatori di interessi, sentito il Comitato interministeriale per la resilienza (di cui all’articolo 4) e tenuto conto della strategia nazionale per la cybersicurezza, detti la strategia nazionale per la resilienza dei soggetti critici e che successivamente la aggiorni almeno ogni quattro anni. Vengono elencati i contenuti che la strategia deve avere per conseguire e mantenere un livello elevato di resilienza da parte dei soggetti critici rientranti nell’ambito di applicazione del decreto in disamina.

7. Valutazione del rischio da parte dello Stato

Si prevede che la valutazione del rischio dello Stato sia compiuta dal PCU, entro il 17 luglio 2025 (successivamente, quando necessario e almeno ogni 4 anni), dopo aver acquisito le valutazioni del rischio proposte dalle ASC, tenendo conto dell’elenco dei servizi essenziali, individuato con regolamento (UE) 2023/2450, e degli ulteriori servizi essenziali eventualmente individuati con DPCM. Per la valutazione del rischio, il PCU può consultare pure i principali operatori fornitori di servizi essenziali, nonché esperti, anche appartenenti a università e istituti di ricerca.

8. Individuazione dei soggetti critici

Si prevede che le ASC individuino, entro il 17 gennaio 2026, ciascuna per i rispettivi settori e sottosettori di competenza, i soggetti ritenuti critici, tenendo conto della valutazione del rischio dello Stato e della strategia nazionale per la resilienza. In sede di individuazione dei soggetti critici, le ASC devono applicare i seguenti criteri: fornitura di servizi essenziali; ubicazione o operatività nel territorio nazionale; effetti negativi rilevanti di un eventuale incidente sull’erogazione di servizi essenziali. I soggetti, così individuati, devono essere comunicati dalle ASC al PCU. Ricevute le comunicazioni dalle ASC, il PCU coordina le attività delle ASC, avviando, ove necessario, apposite interlocuzioni al fine di garantire l’omogeneità dei criteri applicati, nel rispetto delle soglie di rilevanza degli effetti negativi (di cui all’art. 9) e forma un elenco dei soggetti critici, che sarà contenuto in un DPCM da adottare, sentito il CIR, entro il 17 luglio 2026.

9. Soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali

Ai soggetti critici del settore bancario, del settore delle infrastrutture dei mercati finanziari e del settore delle infrastrutture digitali, non sono applicabili le disposizioni concernenti la cooperazione con gli Stati membri dell’UE (articolo 12), gli obblighi di resilienza dei soggetti critici (capo III), i soggetti critici di particolare rilevanza europea (capo IV), nonché la vigilanza e l’esecuzione, ivi comprese quelle relative alle sanzioni, anche amministrative, e ai poteri ispettivi (capo VI).

10. Sostegno ai soggetti critici

Sono enunciate le attività di sostegno che il PCU e le ASC, anche sulla base della valutazione del rischio dello Stato, devono svolgere nei confronti dei soggetti critici. Tali attività si sostanziano in un supporto nel rafforzamento della loro resilienza, attraverso attività di scambio con essi di buone prassi, elaborazione di modelli, linee guida e metodologie di analisi, nell’organizzazione di esercitazioni volte a testare la loro resilienza, nonché nella realizzazione di corsi di formazione per il loro personale e ove possibile attività di consulenza. Si specifica che PCU e ASC devono agevolare la condivisione volontaria di informazioni tra i soggetti critici, nel rispetto delle disposizioni nazionali e unionali in materia di informazioni classificate e sensibili, di concorrenza e di protezione dei dati personali.

