Con il decreto Legislativo n. 134/2024 l’Italia ha recepito la Direttiva (UE) 2022/2557, nota come Direttiva CER, la quale introduce norme armonizzate per rafforzare la resilienza dei soggetti critici all’interno dell’Unione Europea. La Direttiva CER ha l’obiettivo di assicurare la protezione e la continuità delle attività di quei soggetti che forniscono servizi essenziali per il mantenimento delle funzioni vitali della società e dell’economia, intervenendo in settori quali l’energia, i trasporti, le telecomunicazioni, la salute pubblica, l’acqua potabile e molti altri.

In questo contesto, la Direttiva CER si distingue per il suo approccio olistico alla gestione dei rischi, coprendo una vasta gamma di minacce che includono non solo i rischi cibernetici (già regolati dalla Direttiva NIS 2), ma anche quelli fisici, naturali, accidentali e terroristici. Sebbene ci sia un’intersezione tra i soggetti disciplinati dalla CER e quelli regolati dalla NIS 2, l’introduzione della Direttiva CER mira a rafforzare ulteriormente la capacità degli Stati membri di prevenire, resistere e rispondere a incidenti di vario genere che potrebbero compromettere i servizi essenziali.

L’obiettivo di questo articolo è quello di esplorare il contenuto del D. Lgs. 134/2024 di recepimento della Direttiva CER, soffermandosi in particolare sui destinatari della normativa, sugli obblighi imposti ai soggetti critici e sul regime sanzionatorio che ne consegue.

I destinatari della Direttiva CER

I destinatari della Direttiva CER, come recepita dal Decreto Legislativo n. 134, comprendono una vasta gamma di soggetti pubblici e privati che operano in settori definiti critici, ovvero settori le cui attività sono essenziali per il funzionamento della società e dell’economia. In particolare, questi soggetti sono attivi nei seguenti settori: energia (elettricità, gas, petrolio), trasporti (stradale, ferroviario, aereo e via acqua), sanità, acqua potabile, acque reflue, infrastrutture digitali, banche e mercati finanziari, spazio e prodotti alimentari. In aggiunta, determinati segmenti della pubblica amministrazione sono anch’essi considerati critici, sebbene esistano eccezioni legate alla difesa nazionale, alla sicurezza pubblica e all’intelligence.

L’individuazione dei soggetti critici si basa su una valutazione della loro rilevanza per la fornitura di servizi essenziali e del possibile impatto che la loro interruzione avrebbe sulla società e sull’economia. Il Decreto, tramite le Autorità Settoriali Competenti (ASC), impone di eseguire periodiche valutazioni del rischio al fine di aggiornare l’elenco dei soggetti critici, riflettendo la dinamicità del panorama delle minacce.

Obblighi per i soggetti critici nella Direttiva CER e nel D. Lgs. 134/2024

Gli obblighi imposti ai soggetti critici dal Decreto Legislativo n. 134 del 2024, di recepimento della Direttiva CER, si articolano in una serie di disposizioni finalizzate a garantire la continuità dei servizi essenziali attraverso l’adozione di misure preventive, la gestione adeguata degli incidenti e il rapido ripristino delle operazioni in caso di interruzioni. Tali obblighi mirano a costruire un quadro di resilienza integrata, in cui la protezione delle infrastrutture critiche e la continuità operativa diventano un pilastro fondamentale per il funzionamento regolare della società e dell’economia.

Una delle principali preoccupazioni della normativa riguarda la capacità dei soggetti critici di prevenire e gestire gli incidenti. La prevenzione si concretizza nella necessità di adottare misure tecniche e organizzative idonee a ridurre la probabilità che si verifichino eventi critici, quali disastri naturali, attacchi terroristici o minacce interne. 

La protezione delle infrastrutture fisiche, per esempio, deve essere garantita tramite strumenti di controllo degli accessi, sistemi di sorveglianza e barriere fisiche. Tali misure non si limitano alla protezione del perimetro fisico, ma coinvolgono anche la gestione del rischio a livello organizzativo e strategico, richiedendo un coordinamento costante con le autorità nazionali e la preparazione di piani di gestione delle crisi.

In caso di incidenti, i soggetti critici sono tenuti a gestire l’evento in modo efficace e a ridurre al minimo gli impatti sulla fornitura dei servizi. Questo richiede una pianificazione preventiva che includa la capacità di risposta rapida e un sistema di comunicazione efficace sia internamente che verso le autorità competenti. L’obbligo di gestione degli incidenti implica, quindi, che le entità critiche – destinatarie della Direttiva CER – debbano non solo essere preparate a fronteggiare eventi straordinari, ma anche a garantire una risposta tempestiva e coordinata.

Inoltre, la capacità di recupero post-incidente è un elemento essenziale: il decreto impone ai soggetti critici di predisporre piani di continuità operativa, con l’obiettivo di ripristinare rapidamente i servizi interrotti, adottando anche soluzioni alternative o temporanee per evitare il prolungamento delle interruzioni.

Un ulteriore obbligo cruciale è quello della formazione del personale. I soggetti critici devono assicurare che i propri dipendenti siano costantemente formati sui rischi che riguardano le infrastrutture critiche e siano preparati ad affrontare situazioni di emergenza. Non si tratta semplicemente di un addestramento tecnico, ma di una cultura della sicurezza e della resilienza che deve permeare tutti i livelli dell’organizzazione. In questo contesto, il personale con accesso a informazioni sensibili o a infrastrutture critiche deve essere sottoposto a rigorosi controlli dei precedenti personali, al fine di garantire che solo individui adeguatamente qualificati e affidabili possano gestire risorse critiche.

Il Decreto Legislativo n. 134, di recepimento della Direttiva CER, impone inoltre un obbligo fondamentale di notifica degli incidenti. In caso di eventi che compromettano la fornitura dei servizi essenziali, i soggetti critici sono tenuti a informare tempestivamente il Punto di Contatto Unico (PCU) e le Autorità Settoriali Competenti (ASC). Questa notifica ha l’obiettivo di garantire che le autorità siano pronte a intervenire e a coordinare le risposte necessarie per minimizzare gli impatti. L’importanza della notifica non risiede solo nel consentire alle autorità di rispondere in tempo reale, ma anche nel promuovere una cooperazione tra i diversi settori e Stati membri, laddove gli incidenti abbiano effetti a livello transfrontaliero.

Tutti questi obblighi, dalla prevenzione alla gestione delle crisi, alla notifica degli incidenti e alla cooperazione internazionale, fanno parte di un quadro complesso che richiede un elevato grado di preparazione e coordinamento. La Direttiva CER, così come recepita dal Decreto Legislativo n. 134, mira a costruire un sistema integrato di resilienza, dove la protezione delle infrastrutture critiche diventa un compito collettivo, che coinvolge sia i soggetti critici sia le autorità nazionali ed europee.

Il rispetto di tali obblighi, oltre a richiedere significativi investimenti in termini di risorse e competenze, implica una pianificazione continua e un monitoraggio costante delle infrastrutture e dei servizi essenziali.

Regime sanzionatorio: dalla Direttiva CER al D. Lgs. 134/2024

Il regime sanzionatorio previsto dal Decreto Legislativo n. 134 del 2024 per i soggetti critici è finalizzato a garantire la piena conformità agli obblighi di resilienza imposti dalla Direttiva CER. Le sanzioni si applicano in caso di mancata adozione delle misure di prevenzione, protezione e gestione degli incidenti, nonché in caso di violazione degli obblighi di notifica degli eventi critici alle autorità competenti. Le Autorità Settoriali Competenti (ASC) sono responsabili dell’applicazione delle sanzioni, agendo in coordinamento con il Punto di Contatto Unico (PCU), l’organo che coordina le attività di vigilanza e supervisione.

Le sanzioni previste dal decreto si articolano principalmente in sanzioni amministrative pecuniarie. Queste possono variare da un minimo di 25.000 euro fino a 125.000 euro, a seconda della gravità delle violazioni e della mancata adozione delle misure prescritte. Ad esempio, un soggetto critico che non implementa le misure di resilienza richieste, come stabilito dall’art. 14 del decreto, può essere soggetto a sanzioni che si collocano nella fascia più alta. Le sanzioni si applicano anche nel caso in cui il soggetto critico ometta di aggiornare il proprio piano di resilienza o non rispetti i protocolli di sicurezza riguardanti il personale.

Un altro caso in cui possono essere comminate sanzioni è l’inosservanza degli obblighi di notifica degli incidenti, come previsto dall’art. 16. Se un soggetto critico non informa tempestivamente le autorità competenti in merito a un incidente che può influire sulla continuità del servizio, potrebbe incorrere in sanzioni significative, soprattutto se il ritardo nella comunicazione ha determinato un aggravamento della situazione o ha compromesso la possibilità di un’adeguata risposta da parte delle autorità.

Inoltre, il decreto di recepimento della Direttiva CER prevede sanzioni più elevate in caso di reiterazione delle violazioni. La reiterazione comporta un aumento delle sanzioni fino al triplo dell’importo originario, con l’obiettivo di disincentivare ulteriori comportamenti non conformi e rafforzare l’efficacia delle disposizioni normative. Tale misura riflette l’intento del legislatore di garantire un alto livello di adempimento da parte dei soggetti critici, specialmente in quei settori di particolare rilevanza per la sicurezza nazionale e la stabilità economica.

Un ulteriore aspetto del regime sanzionatorio riguarda la possibilità che le autorità competenti possano intraprendere azioni correttive, come la richiesta di misure specifiche per sanare le violazioni riscontrate. Qualora il soggetto critico non si conformi a tali richieste entro i termini previsti, può essere soggetto a ulteriori sanzioni. In alcuni casi, le autorità potrebbero anche richiedere il coinvolgimento di organismi indipendenti per valutare l’adeguatezza delle misure adottate dai soggetti critici.

In sintesi, il sistema sanzionatorio del Decreto Legislativo n. 134, di recepimento della Direttiva CER, è strutturato per garantire il rispetto degli obblighi di resilienza e continuità operativa da parte dei soggetti critici. Le sanzioni, che variano in base alla gravità e alla reiterazione delle violazioni, mirano a incentivare l’adozione di misure adeguate per la protezione delle infrastrutture critiche e la gestione tempestiva degli incidenti.

Conclusioni sulla Direttiva CER e sul D. Lgs. 134/2024

Il Decreto Legislativo n. 134 del 2024, che recepisce la Direttiva CER (UE) 2022/2557, segna un passo fondamentale nella protezione delle infrastrutture critiche e nella gestione dei rischi a cui tali infrastrutture sono esposte. La crescente complessità del panorama delle minacce, che include non solo attacchi cibernetici, ma anche rischi fisici e naturali, ha reso necessaria una regolamentazione specifica, complementare alla Direttiva NIS 2, ma con un focus esteso alla resilienza complessiva dei soggetti critici. L’introduzione di obblighi rigorosi, volti a prevenire, gestire e mitigare le conseguenze di incidenti, riflette l’importanza di garantire la continuità di quei servizi essenziali che costituiscono il cuore pulsante della società e dell’economia.

Le sanzioni previste per la non conformità, che vanno da pene pecuniarie a interventi correttivi, sottolineano la rilevanza strategica di queste misure e l’impegno dell’Unione Europea nel promuovere un elevato livello di sicurezza e resilienza in tutti gli Stati membri. L’obiettivo finale del decreto è quello di creare un sistema integrato e armonizzato a livello europeo, in grado di rispondere efficacemente alle sfide del presente e del futuro, riducendo al minimo i rischi di interruzione dei servizi critici.

Tuttavia, l’attuazione pratica di questi obblighi può risultare complessa per molti soggetti critici, soprattutto per quelli che operano in settori altamente interconnessi e con infrastrutture vulnerabili a più tipi di minacce. 

È quindi fondamentale che i soggetti coinvolti non solo adottino le misure richieste dalla normativa, ma si avvalgano anche di una consulenza legale qualificata per garantire la corretta implementazione di tali misure. Il nostro studio legale è a disposizione per fornire assistenza e supporto nella gestione delle nuove sfide legate alla resilienza delle entità critiche, aiutando le imprese a conformarsi agli obblighi normativi e a proteggere al meglio le proprie infrastrutture.

Per aggiornamenti sulla Direttiva CER e sulle normative in materia di cyber security seguici anche su: https://www.linkedin.com/company/dagostinolex