Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

La direttiva CER 2022/2557del 27 dicembre 2022, (link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX%3A32022L2557)  ha sostituito  la direttiva 114/08 sull’identificazione e designazione delle infrastrutture critiche europee. Questo passo avanti rispecchia un’evoluzione necessaria nell’affrontare le crescenti minacce, spesso transfrontaliere, che mettono a rischio la sicurezza sia fisica che cibernetica dell’Unione.

La CER si muove in tandem con la direttiva NIS2, fondendo la sicurezza fisica con quella logica o cyber:

• La NIS2 si concentra sulla sicurezza cyber delle entità critiche, mentre 
• la CER si occupa della loro resilienza contro minacce fisiche, naturali o antropiche, comprese quelle di natura terroristica.

In particolare con la direttiva CER si interviene al fine di realizzare un adeguato livello di armonizzazione nell’individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici, rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali.

Per approfondire leggere anche Sicurezza della rete e dei sistemi informatici nella UE in Gazzetta il decreto

1) Direttiva CER : i settori coinvolti

I settori interessati dalla direttiva CER includono energia, trasporti, finanza, sanità, acqua, infrastrutture digitali, pubblica amministrazione e spazio. 

La CER adotta un approccio basato sul rischio per identificare le entità critiche a livello europeo, stabilendo procedure comuni per il reporting e la cooperazione tra Stati.

Ogni Stato membro svilupperà una strategia di resilienza che includerà un framework per le attività e le responsabilità, oltre a una catena di comando e controllo. Inoltre, la Commissione UE potrà delineare i servizi essenziali nei vari settori, su cui gli Stati membri baseranno il proprio risk assessment nazionale.

Le entità critiche saranno individuate sulla base dell’impatto derivante da incidenti potenziali, considerando diversi fattori come:

•     il numero di utenti coinvolti, 
•     le conseguenze economiche e ambientali, 
•     la disponibilità di alternative di approvvigionamento del servizio.

2) Normativa nazionale di attuazione: lo schema di d.lgs

Il 10 giugno 2024, il Consiglio dei ministri, ha approvato un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2557 relativa alla resilienza dei soggetti critici - direttiva CER – (link.:  https://www.affarieuropei.gov.it/it/comunicazione/notizie/240610-cdm/)

In attuazione dell’articolo 1 della direttiva CER lo schema di decreto legislativo prevede, al suo primo articolo (comma 1), l’introduzione di:

• - misure specifiche volte a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente, siano erogati senza impedimenti (lett. a);
• - criteri per individuare i soggetti critici (lett. a) e misure per sostenerli nell’adempimento degli obblighi loro imposti (lett. c);
• - obblighi per i soggetti critici volti a rafforzare la loro resilienza e la loro capacità di fornire servizi essenziali in ambito nazionale ed europeo (lett. b), nonché disposizioni in materia di vigilanza e irrogazione di sanzioni (lett. d);
• - disposizioni sulla predisposizione della strategia nazionale, sulla valutazione del rischio, sul Comitato interministeriale per la resilienza, sulle autorità settoriali competenti e sul punto di contatto unico (lett. f-h);
• - disposizioni per i soggetti critici di particolare rilevanza a livello europeo (lett. e) e per la cooperazione con gli altri Stati membri (lett. i).

In attuazione del paragrafo 2 della direttiva CER, si escludono, dall’ambito di applicazione del decreto legislativo, le materie disciplinate dal decreto legislativo di recepimento della direttiva UE 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’UE (cd. direttiva NIS2) (art. 1, co.2)

Il comma 4 dell’articolo 1 prevede poi che le informazioni riservate, secondo normativa unionale e nazionale, siano scambiate con la Commissione Europea e con altre autorità competenti per la resilienza dei soggetti critici solo se necessario, salvaguardando la riservatezza delle informazioni nonché la sicurezza e gli interessi commerciali dei soggetti critici.

Poiché la direttiva CER interviene al fine di:

- realizzare un adeguato livello di armonizzazione nell’individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici;

- rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali;

il decreto attuativo individua i c.d. soggetti critici almeno nei seguenti settori:

energia,  trasporti, bancario,  acque potabili,  acque reflue,  produzione, trasformazione e distribuzione di alimenti,  salute,  spazio,  infrastrutture dei mercati finanziari e infrastrutture digitali,  enti della pubblica amministrazione.

Stabilisce, inoltre, che gli stessi soggetti critici dovranno :

• - effettuare una valutazione del rischio, 
• - adottare misure tecniche, di sicurezza e organizzative, adeguate e proporzionate per garantire la propria resilienza, 
• - ripristinare le proprie capacità operative in caso di incidenti;
• - notificare senza indebito ritardo all’autorità competente gli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali;
• - prevedere l’adozione di una «strategia».

Il decreto attuativo, inoltre:

• - regola le modalità di individuazione dei soggetti critici di particolare rilevanza a livello europeo;
• - contiene misure volte a consentire di reagire rapidamente e adeguatamente agli incidenti (di carattere fisico);
• - stabilisce procedure comuni di cooperazione e comunicazione sull’applicazione della direttiva (in particolare deve essere assicurato il coordinamento con la normativa in materia di sicurezza cibernetica di cui alla direttiva NIS2);
• - esclude dall’ambito di applicazione gli enti della pubblica amministrazione che operano nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, ai quali non si applica il presente decreto;
• - prevede la possibilità di escludere specifici soggetti critici che svolgono attività di tali settori ovvero che forniscono servizi esclusivamente agli enti della pubblica citati.

3) Direttiva CER e organizzazione aziendale: il ruolo della Cabina di regia

In una ottica di compliance, considerato che le misure di sicurezza, tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete, sono basate su un approccio multirischio mirante a proteggere suddetti sistemi e il loro ambiente fisico da incidenti, si suggerisce – ai soggetti tenuti alla sua applicazione - di adottare un approccio comune alle seguenti norme:

•  NIS 2, 
• Regolamento unico ACN, 
• AGID,
•  Linee guida OSE, 
• GDPR, ecc., 

da concretarsi attraverso la formalizzazione di una apposita Cabina di regia.

Leggi anche Cypersicurezza le raccomandazioni dell'ANC sui prodotti legati alla Russia

La piena operatività della Cabina di regia sarà subordinata alla realizzazione di una serie di fattori che si vanno ad elencare:

a)    un forte commitment da parte del Management aziendale in grado di sensibilizzare tutte le maestranze; il top management avrà i seguenti compiti: supervisione, pianificazione strategica, processo decisionale e pianificazione finanziaria.

b)    la individuazione-formalizzazione dei ruoli che le singole funzioni aziendali dovranno svolgere e garantire per una corretta applicazione delle misure richiamate sia dalla normativa comunitaria che da quella, attuativa, nazionale. A tale riguardo si rende necessario individuare chi prende decisioni e chi ne risponde.

c)    Una definizione dei processi, interni ed esterni all’organizzazione, al fine di eliminare possibili zone d’ombra e permettere all’azienda di potere intervenire in maniera tempestiva e risolutiva al verificarsi di incidenti.

d)    L’attivazione di percorsi formativi ad hoc prevedendo il coinvolgimento di tutte le funzioni aziendali, a partire da quelle del ruolo Tecnico (in primis: Servizi Informativi, Risk Management, ecc..) che sono coinvolte in prima battuta nel presidio degli impianti, delle reti e dei sistemi necessari alla fornitura di un servizio essenziale.

In aggiunta a quanto sopra riportato, la Cabina di regia, avrà il compito di definire e regolamentare quali soluzioni tecniche, organizzative e di processo dovranno essere adottate per assicurare che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente, siano erogati senza impedimenti

Il datore di lavoro avrà, altresì, il compito di porre in essere politiche aziendali a tutela dei lavoratori che svolgono attività ritenute critiche e, quindi, pericolose in quanto caratterizzate da un rischio elevato.