Speciale Pubblicato il 10/10/2024

Tempo di lettura: 7 minuti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

di Modesti dott. Giovanni

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo



La direttiva CER 2022/2557del 27 dicembre 2022, (link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX%3A32022L2557)  ha sostituito  la direttiva 114/08 sull’identificazione e designazione delle infrastrutture critiche europee. Questo passo avanti rispecchia un’evoluzione necessaria nell’affrontare le crescenti minacce, spesso transfrontaliere, che mettono a rischio la sicurezza sia fisica che cibernetica dell’Unione.

La CER si muove in tandem con la direttiva NIS2, fondendo la sicurezza fisica con quella logica o cyber:

In particolare con la direttiva CER si interviene al fine di realizzare un adeguato livello di armonizzazione nell’individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici, rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali.

Per approfondire leggere anche Sicurezza della rete e dei sistemi informatici nella UE : in Gazzetta il decreto

L'articolo continua dopo la pubblicità

Direttiva CER : i settori coinvolti

I settori interessati dalla direttiva CER includono energia, trasporti, finanza, sanità, acqua, infrastrutture digitali, pubblica amministrazione e spazio. 

La CER adotta un approccio basato sul rischio per identificare le entità critiche a livello europeo, stabilendo procedure comuni per il reporting e la cooperazione tra Stati.

Ogni Stato membro svilupperà una strategia di resilienza che includerà un framework per le attività e le responsabilità, oltre a una catena di comando e controllo. Inoltre, la Commissione UE potrà delineare i servizi essenziali nei vari settori, su cui gli Stati membri baseranno il proprio risk assessment nazionale.

Le entità critiche saranno individuate sulla base dell’impatto derivante da incidenti potenziali, considerando diversi fattori come:


Normativa nazionale di attuazione: lo schema di d.lgs

Il 10 giugno 2024, il Consiglio dei ministri, ha approvato un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2557 relativa alla resilienza dei soggetti critici - direttiva CER – (link.:  https://www.affarieuropei.gov.it/it/comunicazione/notizie/240610-cdm/)

In attuazione dell’articolo 1 della direttiva CER lo schema di decreto legislativo prevede, al suo primo articolo (comma 1), l’introduzione di:

In attuazione del paragrafo 2 della direttiva CER, si escludono, dall’ambito di applicazione del decreto legislativo, le materie disciplinate dal decreto legislativo di recepimento della direttiva UE 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’UE (cd. direttiva NIS2) (art. 1, co.2)

Il comma 4 dell’articolo 1 prevede poi che le informazioni riservate, secondo normativa unionale e nazionale, siano scambiate con la Commissione Europea e con altre autorità competenti per la resilienza dei soggetti critici solo se necessario, salvaguardando la riservatezza delle informazioni nonché la sicurezza e gli interessi commerciali dei soggetti critici.

Poiché la direttiva CER interviene al fine di:

- realizzare un adeguato livello di armonizzazione nell’individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici;

- rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali;

il decreto attuativo individua i c.d. soggetti critici almeno nei seguenti settori:

energia,  trasporti, bancario,  acque potabili,  acque reflue,  produzione, trasformazione e distribuzione di alimenti,  salute,  spazio,  infrastrutture dei mercati finanziari e infrastrutture digitali,  enti della pubblica amministrazione.

Stabilisce, inoltre, che gli stessi soggetti critici dovranno :

Il decreto attuativo, inoltre:


Direttiva CER e organizzazione aziendale: il ruolo della Cabina di regia

In una ottica di compliance, considerato che le misure di sicurezza, tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete, sono basate su un approccio multirischio mirante a proteggere suddetti sistemi e il loro ambiente fisico da incidenti, si suggerisce – ai soggetti tenuti alla sua applicazione - di adottare un approccio comune alle seguenti norme:

da concretarsi attraverso la formalizzazione di una apposita Cabina di regia.

Leggi anche Cypersicurezza le raccomandazioni dell'ANC sui prodotti legati alla Russia

La piena operatività della Cabina di regia sarà subordinata alla realizzazione di una serie di fattori che si vanno ad elencare:

a)    un forte commitment da parte del Management aziendale in grado di sensibilizzare tutte le maestranze; il top management avrà i seguenti compiti: supervisione, pianificazione strategica, processo decisionale e pianificazione finanziaria.

b)    la individuazione-formalizzazione dei ruoli che le singole funzioni aziendali dovranno svolgere e garantire per una corretta applicazione delle misure richiamate sia dalla normativa comunitaria che da quella, attuativa, nazionale. A tale riguardo si rende necessario individuare chi prende decisioni e chi ne risponde.

c)    Una definizione dei processi, interni ed esterni all’organizzazione, al fine di eliminare possibili zone d’ombra e permettere all’azienda di potere intervenire in maniera tempestiva e risolutiva al verificarsi di incidenti.

d)    L’attivazione di percorsi formativi ad hoc prevedendo il coinvolgimento di tutte le funzioni aziendali, a partire da quelle del ruolo Tecnico (in primis: Servizi Informativi, Risk Management, ecc..) che sono coinvolte in prima battuta nel presidio degli impianti, delle reti e dei sistemi necessari alla fornitura di un servizio essenziale.

In aggiunta a quanto sopra riportato, la Cabina di regia, avrà il compito di definire e regolamentare quali soluzioni tecniche, organizzative e di processo dovranno essere adottate per assicurare che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente, siano erogati senza impedimenti

Il datore di lavoro avrà, altresì, il compito di porre in essere politiche aziendali a tutela dei lavoratori che svolgono attività ritenute critiche e, quindi, pericolose in quanto caratterizzate da un rischio elevato.




TAG: Identità digitale Privacy 2024 Intelligenza Artificiale