Il 23 settembre 2024 è stata pubblicata sulla Gazzetta Ufficiale il Decreto Legislativo 4 settembre 2024 n. 134 che recepisce la Direttiva UE 2022/2557 relativa alla resilienza dei soggetti critici (c.d. Direttiva CER). Come noto la Direttiva CER completa il quadro di compliance cyber già introdotto attraverso la Direttiva NIS2, il cui recepimento è anch’esso imminente, come abbiamo discusso qui.
Che cos’è la Direttiva CER?
La Direttiva CER ha l’obiettivo principale di armonizzare la sicurezza nella fornitura di servizi essenziali nel mercato interno, aumentando la resilienza dei soggetti critici e migliorando la cooperazione transfrontaliera tra le autorità competenti. Tale disposto normativo è quindi volto ad introdurre un approccio più ampio ed inclusivo nella protezione delle infrastrutture critiche, anche per permettere agli Stati membri dell’Unione Europea di dotarsi di maggiori e più efficaci strumenti per affrontare le interdipendenze transfrontaliere e i potenziali effetti di minacce ed incidenti.
La Direttiva CER, non è applicabile alle materie disciplinate dalle disposizioni nazionali di attuazione della Direttiva NIS2.
A chi si applica la Direttiva CER?
La Direttiva CER si applica ai c.d. soggetti critici, ovvero ai soggetti pubblici o privati specificamente individuati che operano in settori identificati dalla stessa direttiva. Tali settori comprendono quello dell’energia, dei trasporti, bancario e infrastrutture dei mercati finanziari, della salute (e.g. prestatori di assistenza sanitaria, laboratori, soggetti che svolgono attività di ricerca e sviluppo sui medicali e produttori di farmaci, fabbricatori di dispositivi medici considerati critici durante una emergenza sanitaria), le acque potabili, acque reflue e acque irrigue, delle infrastrutture digitali (quali fornitori di servizi di cloud computing o di servizi di data center, prestatori di servizi fiduciari, fornitori di servizi di comunicazione), alcuni enti della PA, spazio, produzione, trasformazione e distribuzione di alimenti (purché impegnate nella logistica e nella distribuzione all’ingrosso nonché produzione su larga scala).
La identificazione di un soggetto pubblico o privato come soggetto critico spetta alle autorità settoriali competenti (le c.d. “ASC“) che sono responsabili della corretta applicazione ed esecuzione delle disposizioni della Direttiva e che sono diversificate a seconda dei settori di riferimento. Le ASC di cui al Decreto di recepimento della Direttiva sono quindi, per quanto concerne l’Italia, (i) il Ministero dell’ambiente e della sicurezza energetica per il settore energia e delle acque, (ii) il Ministero delle infrastrutture e dei trasporti per il settore dei trasporti, (iii) il Ministero dell’economia e delle Finanze per il settore bancario e delle infrastrutture dei mercati finanziari, (iv) il Ministero della salute, (v) l’Agenzia per la cybersicurezza nazionale per le infrastrutture digitali in collaborazione con il Ministero delle imprese e del Made in Italy, (vi) la Presidenza del Consiglio dei Ministri per il settore spazio ed (vii) il Ministero dell’agricoltura, della sovranità alimentare e delle foreste, per il settore alimentare.
Tali ASC individuano per ciascun settore i soggetti critici entro e non oltre il 17 gennaio 2026, tenendo in considerazione
- se il soggetto fornisce uno o più servizi considerati essenziali,
- se il soggetto opera e la sua infrastruttura critica sono situati sul territorio italiano,
- se eventuali incidenti avrebbero effetti negativi rilevanti sulla fornitura da parte del soggetto di uno o più servizi ritenuti essenziali ovvero sulla fornitura di altri servizi essenziali che dipendono da tale o tali servizi essenziali.
La lista dei soggetti critici deve quindi essere comunicata al Punto di Contatto Unico in materia di resilienza dei soggetti critici (“PCU“), istituito nell’ambito della Presidenza del Consiglio dei Ministri. Il PCU è chiamato, tra l’altro, a verificare l’omogeneità dei criteri applicati dalle ASC per l’individuazione dei soggetti critici. Entro il 17 luglio 2026 è quindi adottato l’elenco dei soggetti critici che dovrà essere – similmente a quanto già accaduto con la Direttiva NIS1 – secretato e non reso pubblico ed aggiornato con una cadenza di almeno 4 anni.
Le società che rientreranno tra i soggetti critici riceveranno idonea notifica a partire dalla quale tali società dovranno conformarsi agli obblighi di cui alla Direttiva CER entro e non oltre 10 mesi dal ricevimento della notifica stessa.
Cosa stabilisce la Direttiva CER?
A seguito della notifica ai soggetti critici, gli stessi sono chiamati ad effettuare una valutazione dei rischi rilevanti che potrebbero pregiudicare, anche solo temporaneamente, la fornitura dei servizi essenziali e le infrastrutture critiche ad essi connessi.
Proprio in funzione di tale valutazione del rischio, i soggetti critici sono quindi tenuti ad adottare ed applicare misure tecniche, di sicurezza e di organizzazione che siano adeguate e proporzionate a garantire la propria resilienza, anche in considerazione delle informazioni pertinenti fornite in merito alla valutazione del rischio dello Stato così come messe a disposizione dal PCU.
Tali misure devono però almeno comprendere alcune misure considerate minime ovvero:
- l’adozione di processi e sistemi volti ad evitare il verificarsi di incidenti e comunque l’adozione di sistemi volti a mitigare il verificarsi di tali incidenti e le relative conseguenze,
- l’adozione di sistemi volti ad un’adeguata protezione fisica dei propri siti e delle infrastrutture critiche,
- un sistema di ripristino delle proprie capacità operative in caso di incidenti,
- l’adozione di un’adeguata gestione della sicurezza del personale,
- l’obbligo di informare il personale in merito ai rischi e alle misure adottate, anche considerando la realizzazione di corsi di formazione, di materiale informativo e di esercitazioni.
Gli obblighi di notifica degli incidenti
Inoltre, attraverso un approccio che è molto simile a quello introdotto dalla Direttiva NIS2, anche la Direttiva CER impone ai soggetti critici stringenti obblighi in materia di notifica degli incidenti.
In particolare, i soggetti critici, entro 24 ore dalla conoscenza dell’incidente sono tenuti a notificati alle ASC e alla PCU gli incidenti rilevanti, intendendosi per tali quegli eventi di carattere fisico che possono perturbare in modo significativo la fornitura del rilevante servizio tenendo in considerazione il numero e la percentuale di utenti interessati, la durata della perturbazione e l’area geografica interessata.
La c.d. notifica early warning deve poi essere seguita da una relazione dettagliata dell’incidente entro un periodo di 30 giorni fermo restando che le notifiche sopra richiamate devono contenere ogni informazione utile a permettere alle ASC e alle PCU di conoscere natura, causa e possibili conseguenze dell’incidente, ivi inclusi eventuali impatti transfrontalieri.
Quali sono le sanzioni?
La mancata conformità con gli obblighi sopra richiamati può comportare importanti sanzioni per i soggetti critici, la cui compliance è soggetta alla verifica delle ASC competenti.
In particolare, a seguito della segnalazione della mancanza di conformità da parte delle ASC competenti, le stesse potranno applicare una sanzione amministrativa da € 25.000 a € 125.000 per determinate violazioni (ad esempio la mancanza di una valutazione del rischio o la mancata adozione di alcune misure di sicurezza o un difetto nella notifica degli incidenti significanti) oppure una sanzione amministrativa da € 10.000 a € 50.000 nei confronti dei soggetti critici che non fornisca le informazioni richieste su richiesta delle ASC.
Appare da subito evidente come tali sanzioni siano molto diverse rispetto a quelle previste dalla Direttiva NIS 2 che, come abbiamo evidenziato qui Il recepimento della Direttiva NIS2 in Italia, impongono sanzioni amministrative fino ad € 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.